一、产品简介
　　海信“眼镜蛇”入侵检测系统（IDS）是北京海信数码科技有限公司网络安全系列产品之一。该产品是一款技术先进、性能优越、功能强大的检测黑客入侵并实时报警响应和防范的入侵检测系统，能够自动检测分析网络中传输的数据，对可疑事件进行准确检测和阻断，在内部局域网的主机和服务器遭受破坏之前阻止非法入侵行为，最大限度地保证企业、银行等网络的安全运行。

二、产品架构
 

　　海信“眼镜蛇”入侵检测系统主要由控制台和探测器两大部分组成。控制台负责探测器的远程管理和配置、规则库的维护、日志的保存、查询、报表、备份等。探测器负责检测网络上传输的数据包并进行实时分析，发现攻击行为后立即进行告警、响应以及阻断等。

三、主要功能特点

1) 功能强大管理平台：海信“眼镜蛇”入侵检测系统的控制中心是一个基于GUI的管理平台，采用分布式集中管理架构，探测器可以分布到多个不同网段，控制台可以同时统一管理多个探测器，并对多台探测器实施策略分发，可以实时监测网络产品的运行状态，CPU，内存的运行情况，同时可以动态显示被检测网段的网络协议分布情况

2) 先进的黑洞式结构：海信“眼镜蛇”入侵检测系统采用专用安全操作系统并且采用透明工作方式，网络探测器的监听网口不带IP地址，管理网口不对外开放端口，完全工作在透明模式下，不占用网络资源，对网络通讯不附加任何延时，不影响网络传输的效率。

3） 强大网络攻击特征识别能力：海信“眼镜蛇”入侵检测系统提供完备的攻击特征方法库，能够针对目前流行的黑客攻击做到有效监控。同时还可以抵抗和检测各种碎片攻击，可以支持IP，UDP碎片重组功能，可以检测并抵抗IP，TCP，UDP碎片重组攻击。在控制端管理员还能够查看攻击数据包原始报文，便于分析攻击者的意图。

4） 多协议分析支持：海信“眼镜蛇”入侵检测系统支持主流的状态协议(如:tcp、udp、icmp、ftp、http、snmp、smtp等)的分析技术，包括TCP流重组、端口扫描检测、IP碎片重组、BO攻击分析、异常轮廓统计分析、ARP欺骗分析、UNICODE漏洞分析、RPC请求分析、Telnet交互式格式化分析、极小碎片检测、缓冲溢出分析、智能的模式匹配等，适用广泛的网络及应用环境。支持大多数网络通信协议和应用协议。

5） 网络安全违规活动捕获：海信“眼镜蛇”入侵检测系统采用集中管理的分布式工作方式，可以监测多个网络出口或应用于广域网络监测，发现可疑的网络活动，对恶意网络连接做出反应。

6） 网络安全事件的自动响应：海信“眼镜蛇”入侵检测系统支持用户自定义网络安全策略，可以根据具体情况对安全事件做出多种响应（声音报警、记录原始报文、阻断会话、email 报警、执行应用程序、与防火墙联动等）。

7） 记录网络攻击的内容：根据放置的位置，可以监测对于防火墙的攻击；可以原原本本地记录网络活动，作为计算机系统日志的补充，而系统日志是有可能被黑客篡改抹去痕迹的。

8） 采用安全认证模式：控制平台可以对各个探测器进行远程配置和策略分发，并支持加密通讯和数字证书认证。控制台本身登录采用口令和 Netkey ( USB接口)双因子认证。控制台管理为四级管理权限。

9） 便捷的安全策略配发机制：海信“眼镜蛇”入侵检测控制台向用户提供了多种安全策略模板，管理员可根据自己的网络环境选择适合自己的安全策略。同时，管理员也可自定义安全策略模板。这种方式大大地减轻了管理员的工作量，有效地避免了重复劳动，较大程度地提高了工作效率。

10） 特定频率检测设置：海信“眼镜蛇”入侵检测系统通过设置攻击时间、频率和告警缓存大小来进行灵活的响应。

11） 提供与防火墙联动：海信“眼镜蛇”入侵检测系统提供与海信防火墙联动，而且还可以与天融信UTM等其他厂商的防火墙联动。当海信“眼镜蛇”入侵检测系统检测到来自外网的攻击行为时，它不但可以自己主动阻断这次入侵行为还可以通知防火墙，防火墙会自动增加一条规则，阻断入侵行为。

12） 强大灵活的系统升级能力：海信“眼镜蛇”入侵检测系统提供在线和离线升级攻击特征库，可以迅速有效的提高探测器的攻击监测能力，保证用户更高安全。

13） 丰富的攻击特征库：系统内置攻击模式库 > 2600 条，能检测出绝大多数攻击行为，系统的特征库与CVE完全兼容。能检测的主要攻击包括 WEB_ATTACKS攻击、WEB_IIS攻击、WEB_CGI攻击、WEB_FRONTPAGE攻击、FTP攻击、DOS攻击、DDOS攻击、BACKDOOR攻击、NETBIOS攻击、ICMP攻击、ICMP_EVENT攻击、DNS攻击、SMTP攻击、SCAN攻击、RPC攻击、MSSQL攻击、TELNET攻击、VIRUS攻击、SHELLCODE攻击、REMOTE_SERVICE攻击、FINGER攻击、OVERFLOW攻击等。

14） 防反 IDS 攻击：随着IDS（入侵检测系统）在网络环境中的使用越来越普遍，黑客在攻击一个装有IDS的网络时，首先考虑到的是对付IDS，一般采用的反IDS技术主要是"攻"（攻击IDS）或者"避"（绕过IDS的监视）。攻击IDS最有效的办法是利用Coretez Giovanni写的Stick程序，Stick使用了很巧妙的办法，它可以短时间内模拟大量的攻击，快速的告警信息的产生会让IDS反应不过来、产生失去反应甚至死机现象。由于Stick发出多个有攻击特征（按照snort的规则组包）的数据包，所以IDS匹配了这些数据包的信息时，就会频繁发出警告，造成管理者无法分辨哪些警告是针对真正的攻击发出的，从而使IDS失去作用。当有攻击表现的信息包数量超过IDS的处理能力的话，IDS会陷入拒绝服务状态。针对诸如：stick、snot等反IDS 的攻击，海信“眼镜蛇”IDS 采用了TCP状态跟踪技术来避开这种攻击。TCP状态跟踪技术主要是记录所监控网络的有效TCP 连接，入侵检测系统会根据这些记录来判断一个待检测的TCP数据包是否处在一个有效的TCP连接之中。这种技术能减少入侵检测系统的误报率。当入侵检测系统遭受到诸如stick、snot等这些专门针对入侵检测系统的攻击时，入侵检测系统不会出现误报。海信IDS 防止反IDS的黑客软件的攻击，更高强度地加固了系统自身的安全性。

15） 强大的日志管理与审计功能：海信“眼镜蛇”入侵检测控制台通过结合高性能的后台数据库来完成对日志信息的管理。日志检索功能向用户提供了丰富的检索条件，并能实时分析用户所检索出来的数据源，将检索结果以直观的图形展现给用户。用户还可以方便、灵活地设置日志备份方式来实现对数据库自动定时、定量的备份。

16） 多样化详尽的报表：管理平台能够生成详细的报告，并支持强大的检索功能，可以结合多个关键字检索；支持不同类型的报表输出，支持TEXT、WORD、EXCEL、HTML等多种格式报表的输出。

17） 友好的规则自定义接口：海信“眼镜蛇”入侵检测控制台向管理员提供友好的规则自定义接口，管理员可以根据自身需求定义适合自己的规则。