网警产品说明白书.doc

网警产品说明 一、产品概述 网警etSentry)是一套在技术上处于国际领先地位的网络入侵检测系统，由安络组织国际一流的华人网络安全专家和优秀程序员，根据中国网络安全管理和技术的具体特点，采用先进的嗅探技术、底层的协议分析技术和智能规则技术经过艰苦的技术攻关和大量缜密的编码工作，最终形成了独具民族特色实用性极强的监控网上黑客和可疑行为的安全产品。网警 网警有一个高度智能化的数据库 该数据库包含大量的黑客攻击、渗透、扫描、破解行为的特征信息，网警对黑客攻击和入侵行为的识别，正是建立在这样一个数据库的基础上的，管理员可以通过它来灵活地定制适合自己的网络安全策略。 网警具有强大的嗅探功能 一套网警产品，能实现对整个局域网的安全监控，管理员可以借助网警实现对多台机器的安全集中管理；入侵活动和可疑行为发生时，经网警识别确认后，可以通过声音报警、邮件通知、传呼告警、运行指定程序等方式及时通知管理员，使管理员可以方便、及时地了解网络安全状况和处理突发事件。 网络内一旦有符合特征的可疑行为发生，网警将及时报警，通知管理员。并精确记录当前时间、入侵者IP、入侵行为，同时切断入侵者的连接，使入侵者留下罪证，徒劳而返。 一目了然的图形界面，使管理员可以随时了解网络内的连接情况，可以对特定的连接实行实时的观察和跟踪 网警具有高度的兼容性 通用于Windows95/98/WindowsNT等各种Windows平台。网警操作简便，界面友善，适合中国人使用。 智能事件规则技术(Event Rules)： 通过使用网络对象，网络协议，入侵规则，动作响应，运行时间等，形象地描述了一个网络事件内容。预先定义了四百种多种的事件定义，对当前的已知的网络入侵行为做了描述。用户也可以通过自定义网络事件，来灵活定制自己的安全策略。 完善的网络对象定义(NetObject Define)： 提供多达7种方式的网络定义方法，能定义IP地址（IP Address）,MAC地址(MAC Address)，内部网（Internal Network），外部网(External Network)，特定网络(Network)，网络对象组(Group), 反向网络对象(Exclude)等等。 完善的网络协议定义(Protocol Define)： 预先设定了目前网络涉及几乎全部的网络协议，特别定义了FTP,POP3,SMTP,TELNET,HTTP,NNTP,IMAP,NFS等协议。 灵活的入侵规则技术(Network Rules)： 提供多达35种的判断规则类型标准，并根据网络协议做了相应的组合。能对网络中的数据包做全面的检测。多种预定义方式极大方便规则的定义，满足用户绝大部分需求。 实时检测与跟踪： 实时检测网络中的非法入侵，追踪入侵者的攻击位置； 智能动作响应： 过入侵规则技术确认后，认定是入侵行为后，根据定义好的动作做出反应，及时地进行报警或阻断。提供了多达22种的动作方案，包含阻断，声音报警，邮件通知，传呼告警，指定程序运行等等。 采用OPSET技术： 自动配置防火墙阻挡外部攻击。 多国语言技术： 通过编辑语言库，实现对简体中文，繁体中文，英文，日文等等的支持。 攻击行为记录： 详细记录攻击行为的时间，来源，内容，用于事后分析，并作为起诉计算机犯罪的证据；网警提供详实的历史记录，可查询当天的网络安全情况。 网警主机独立： 网警主机可以配置成无IP运行，进一步保障其自身的安全性。 网警提供了强有力的网络状态观察工具： 图形化的网络传输状态显示程序(TCP Connect View) 网络通信监察(Session Monitor) 在线帐号监察(Account Monitor) 全中文并图形化的路由跟踪(RouteTrack) 网络流量统计(Flowmeter) 系统进程观察(Proess List) 自启动管理(Startup Manager) 邮件汇报(Mail Report) 本机网络状态观察(TCPState) 在线/离线网络行为的现场监视 网络行为的明文和二进制监视 HTML和电子邮件的重现 图形化的告警记录浏览 网警在较高硬件配置下所能承受的流量为100M，成为IDS处理能力的佼佼者 四、网警工作原理示意分析 网警主要采用事件驱动，调用各个功能模块进行分析与处理，实现对网络进行的监控从而最大限度保证系统安全。其事件分析流程图如下： Netsentry事件分析流程框图 其主要功能模块详细一览表： 主要模块 详细说明 包解析模块 接收数据包。 对特殊入侵行为进行检测并发送告警消息 根据事件定义对包进行端口过滤和地址过滤，根据事件中的 服务用不同的解析器对包进行解析，根据事件的动作发送告警 消息。 后台辅助模块 实时或