(入侵检测.pptVIP

产品特点 协议分析技术能够分析超过100种应用层协议，包括HTTP、FTP、SMTP 等，极大地提高检测的准确性，降低误报率。通过分析网络报文中包含的协议特征，发现其所在协议，然后递交给相应的协议分析引擎进行处理，能够高速的、智能的、准确的检测出对运行在任意端口的应用层协议的攻击行为和标准协议运行在非标准端口行为，准确发现绑定在任意端口的各种木马、 后门。 具有强大的IP 碎片重组、TCP 流汇聚，以及数据流状态跟踪等能力，能够检测到黑客采用任意分片方式进行的攻击。 配置灵活可选的病毒监测引擎，用户可选择基于卡巴斯基这些防病毒引擎，采用基于特征扫描和启发式扫描技术，实现针对HTTP、SMTP、 POP3、 IMAP、FTP、IM 等多种协议的病毒流量监测和实时报警，提醒用户及时采取必要的响应措施，避免遭受木马病毒、蠕虫病毒、宏病毒，以及脚本病毒的危害。 具有细粒度流量统计分析的功能，不是仅仅通过端口来判断协议进而统计流量，而是通过分析协议的内容后才进行统计，更精确可靠，同时能够基于IP 地址、攻击事件、应用协议等条件产生详细的流量报表，可以通过编辑自定义统计指定协议流量的TOP排名，能够协助管理员了解当前网络带宽的使用状况，并及时做出响应。 提供业界领先的基于对象的策略管理系统，完全统一的规则配置方式强大而灵活。所有策略（规则）配置都使用包括网络、服务、时间、事件等元素在内的预定义对象以及对象组完成，通过组的概念可以减少规则数量，简化了产品的管理工作量。 OSSEC 入侵检测系统 OSSEC是一款开源的多平台的入侵检测系统，可以运行于Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操作系统中。包括了日志分析，全面检测，rook-kit检测。另外有时候不需要安装完全版本得OSSEC，如果有多台电脑都安装了OSSEC，那么就可以采用客户端/服务器模式来运行。客户机通过客户端程序将数据发回到服务器端进行分析。在一台电脑上对多个系统进行监控对于企业或者家庭用户来说都是相当经济实用的。主要功能有日志分析、完整性检查、rootkit检测、基于时间的警报和主动响应。除了具有入侵检测系统功能外，它还一般被用在SEM/SIM(安全事件管理(/安全信息管理)解决方案中。因其强大的日志分析引擎，ISP、大学和数据中心用其监控和分析他们的防火墙、入侵检测系统、网页服务和验证等产生的日志 工作原理  (2)Event Viewer。这是一个单独的Unix、linux平台下的图形化用户界面，用于查看从Agent中获取的各种事件数据，也就是报警的窗口。这是OSSEC比较独特的一点。一般来说入侵检测系统的管理配置与事件查看功能会结合在一起，用户在看到事件查看模块中的报警后，可以利用管理配置模块来进行策略的调配或者采取其他行动。OSSEC这种分开的做法是出于对管理员职责划分的考虑，在某些企业里可能会把安全管理员分为不同的级别，级别高的管理员可以做所有的事情，而级别低的管理员只允许进行日常的状态与安全情况的监护，但不能实际采取操作去处理问题，他必须向上汇报情况，由上级管理员来处理。这时一个只能显示报警而不能进行实际策略的更改的Event Viewer就比较合适了。如果不需要这么细的管理措施，也可以把Event Viewe与Adminis- trator安装到一个管理工作台上，这样即可以显示报警，也可以配置策略。此外，Event Viewer还可以查询Manager的事件数据库，从而可以查看选定的刚刚发生的或已经发生的各种事件;向代理(Agent)发送各种OSSEC指令;生成并查看各种在线或历史报告。  (3) Manager。是一个运行在后台的应用软件，Manager没有图形化界面，是整个运行体系信息流的枢纽，它的应用使OSSEC可以适应大型网络的需要。Agent收集到的攻击与可疑信息会通过Manager向Event Viewer报告，Administrator和Viewer发出的命令与配置指令也会通过Manager下传到Agent上面。在配置时，Administrator、Evnet Viewer与Agent都需要首先到某一个Manager上注册，加入这个Manager所管理的域，才可以参与这个域的安全活动。简单说，就是Administrator注册到Manager A上后，才可以去管理Manager A上已经注册的Agent;Event Viewer注册到Manager A之后才能接受并显示它负责的Agent上报的信息;新的Agent注册到Manager A之后，才可以接受相关的Administrator的策略配置，并把安全报警在相应的Event Viewer上显示。 (4)Agent(代理)。主