攻击取样与取证
异常检测技术的发展成熟使得检测未知的攻击成为可能。由于未知攻击的特点,NIDS事先没有其对应的详细描述与漏洞修复方法。冰之眼系统对于未知攻击自动的提取其样本(包括攻击现场与攻击原始报文),NSFocus 安全小组会在最短的时间 内分析提取特征,提供详细的解决办法。同时,由于攻击样本的保存,使得调查取证成为可能。原始的攻击样本可以提交作为法律证物。同时,冰之眼具有如下特性使得管理员可以迅速定位入侵者位置:
自动解析入侵者机器名/域名。
自动取得入侵者所使用的机器型号。
例如:来源:192.168.5.20 jingdg (Dell Computer Corp.)