网络入侵检测解决方案

1.网络型入侵侦测系统
入侵检测作为安全侦测的最后一道防线，能提供安全审计、监视、攻击识别和反攻击等多项功能，对内部攻击、外部攻击和误操作进行实时监控，是其它安全措施的必要补充，在网络安全防御中起到了不可替代的作用。
体系结构
系统采用引擎/控制台结构，引擎在网络中各个关键点部署，通过网络和中央控制台交换信息。
网络引擎部分运行于安全操作系统Open BSD之上，负责网络数据的获取、分析、检测，对警报进行过滤和实时响应，并发送给控制台进行显示和记录；控制台运行于Windows平台，负责警报信息 的及时显示、记录、查阅，支持用户定制检测、响应策略和控制网络引擎。主要功能
 “天眼”入侵侦测系统－网络型具备一般NIDS的主要功能，同时针对NIDS面临的威胁和NIDS发展方向开发出多项具有针对性的新功能，此外 该系统对于国内外流行的防火墙包括本公司长城防火墙提供支持，具有较完备的检测、响应、互动能力，是一款高效实用的入侵防范工具，它的具体功能如下：
入侵侦测功能
能实时识别各种基于网络的攻击及其变形， 包括DOS攻击、 CGI攻击、溢出攻击、后门探测和活动等。目前可以检测900余种攻击行为及其变形。
警报过滤功能
能根据定制的条件， 过滤重复警报事件， 减轻传输与响应的压力，同时还能保证警报信息不被遗。
实时响应功能
根据用户定义，警报事件在经过系统过滤后进行及时响应，包括实时切断连接会话、重新配置防火墙（支持中科网威“长城”防火墙、 CheckPoint FireWall-1和天融信防火墙）彻底屏蔽攻击、给管理员发送电子邮件、发送SNMP Trap报警、控制台实时显示、数据库记录等等。
系统策略定制功能
用户可以通过中央控制台详细定制系统策略、入侵侦测规则、警报过滤及响应规则等，还可以根据被保护平台、网络环境等信息选择预定义的策略，从而使系统能够真正适应具体环境的安全需求。
引擎管理功能
管理员在中央控制台可以直接控制各个引擎的行为，包括启动、停止、添加、删除引擎，也可以按照引擎查看、删除、查询实时警报。
电子邮件跟踪监视功能
对于网络上传输的电子邮件，可根据地址、收信人、发信人以及其他条件定制监视对象，系统自动记录邮件内容，支持中文和其他各种编码，支持附件。此项功能根据用户需求以专用工具提供。
系统需求
 “天眼”入侵侦测系统－网络型包含两部分：网络引擎和控制台。
网络引擎：以工控机形式直接提供。
控制台：
• 软件环境：
Windows NT、Windows2000或更高的版本
西文Windows要求用户加装中文环境，如：RichWin for NT等汉字系统
正确配置TCP/IP网络，要求安装运行用户具备管理员权限。
• 硬件环境：
586或更高主频的PC计算机
64MB或更高容量的内存
8GB以上空余硬盘空间
增加软件及硬件 增加软件及硬件 地点 数量
“天眼”引擎（硬件） 被监控服务器前端交换机 1
监控台 内网管理工作站 1
2.主机型入侵检测系统
 “天眼”入侵侦测系统－主机型是由北京中科网威信息技术有限公司根据市场和用户的实际需求，独立研发的一款辅助网络管理员加大安全管理力度和广度的监控系统。它是网络入侵检测系统的合理补充，尤其适合对局域网内关键主机涉及的可疑网络行为进行监控和审计。
整个系统采用Client/Server结构，分为控制台和主机引擎两部分。
控制台主要对主机引擎进行集中管理，包括：监控策略下发，报警信息处理、检索和报表，以及所有受监控主机状态的反馈等。
主机引擎是被监控主机上后台运行的代理程序，它主要负责采集系统关注的信息（如：网络连接和人机界面信息等），并根据控制台设置的策略进行相应的报警和响应。
主要功能
作为常规网络入侵检测系统的辅助工具，“天眼”入侵侦测系统－主机型在了解国内网络用户实际需求的基础上，将监控信息聚焦于几个实用的角度，通过不断地改进和优化，已经成为一款高效实用的入侵防范工具，其主要功能如下：
主机拨号监控功能
电话拨号上网可以轻易地从企业的内部网络撕开一条通向外部的秘密通道，绕过企业防火墙、基于网络的入侵检测系统的监控，对企业内部局域网的 安全构成极大的影响。主机引擎可以监视宿主主机的所有拨号行为，并可以根据控制台发布的合法拨号号码和时间段规则，进行报警和切断的功能。
主机网络连接监视功能
系统可以实时查看被监视主机所有的TCP、UDP和网络共享连接信息，并可以方便地将指定或可疑的连接直接加入非法或合法规则列表中。
主机人机界面监视功能
当管理员发现内部主机正在进行可疑网络行为时，有时需要了解该主机更详细的状态信息。
报警策略定制功能
用户可以通过控制台定制系统报警策略，具体包括：合法拨号号码和拨号时间段规则、非法TCP和UDP连接规则、合法网络共享连接规则等。
引擎集中管理功能
管理员在控制台可以集中管理各个引擎，包括：搜索、添加、删除引擎，此外，可以查看引擎的信息（如本地用户名、操作系统版本、MAC地址、连接模式等），并且可以查看被监控主机的运行状态，可以及时发现主机引擎被非法异常终止的情况。
警报信息的报表功能
系统提供了非常简便的报警信息统计和报表工具。用户可以根据各种可选条件，例如：报警类别、引擎IP地址、事件类型、警报产生时间等等。