网络安全 频道

ICEYE-200P-03入侵管理特性

    【IT168 专稿】冰之眼中央控制台能够灵活部署在网络的任意节点,控制台支持任意层次级联部署与分布式部署。强有力的集中监控体系提供给管理员统管全局的能力,配合冰之眼新一代的探测引擎,管理员可以在最短的时间内对于入侵风险作出最快速的反应。

    攻击统计

    作为新一代NIDS 入侵管理观念体现,冰之眼控制台不再局限于以往告警日志高中低分类显示方式,而是转变为以各种实时攻击统计为主。通过查看这些实时的数据,管理员从中获得当前网络的总体安全状态。

    控制台对于以下类别进行了统计计数:总的事件、归并后的事件、过滤的事件、攻击事件、网络监控事件、成功的攻击数、攻击成功 率、失败的攻击数、攻击失败率、高风险攻击、中风险攻击、低风险攻击、防火墙阻断响应、TCPKill 响应。

    实时告警分类 实时地将告警日志按各种条件进行分类有助于帮助管理员迅速地发现某些特定攻击。冰之眼控制台可以按多种标准动态地切换告警日志的分类。目前支持:攻击结果(成功-失败-未知)、高中低风险、服务、攻击流行程度、攻击采用的技术手段、攻击源-目的-事件名称、攻击时间等。对于每条攻击日志可按事先的定义以不同的颜色高亮显示。

    先进的过滤与监控系统

    规则驱动的冰之眼先进的告警过滤与监控系统支持采用任何粒度过滤探测器所产生的告警日志,当前支持:攻击发生时间范围、事件名称、事件类别、所属服务、源网络范围、目的网络范围、触发探测器、攻击结果、事件动作等。管理员可以制定基于时间的攻击检测规则。如:控制探测器仅仅检测凌晨2~5点发生的失败的属于FTP 协议的攻击事件。

    灵活的运用的此功能,可以控制冰之眼系统仅仅记录管理员关心的攻击告警事件,极大地减小了攻击告警的数量,降低了管理员的工作强度,提高了对于高风险攻击的反应速度。冰之眼系统支持定义超过1,000 条的过滤或监控规则。

    攻击取样与取证

    异常检测技术的发展成熟使得检测未知的攻击成为可能。由于未知攻击的特点,NIDS事先没有其对应的详细描述与漏洞修复方法。冰之眼系统对于未知攻击自动的提取其样本(包括攻击现场与攻击原始报文),NSFocus  安全小组会在最短的时间 内分析提取特征,提供详细的解决办法。同时,由于攻击样本的保存,使得调查取证成为可能。原始的攻击样本可以提交作为法律证物。同时,冰之眼具有如下特性使得管理员可以迅速定位入侵者位置:

    自动解析入侵者机器名/域名。
    自动取得入侵者所使用的机器型号。

    例如:来源:192.168.5.20 jingdg (Dell Computer Corp.)

    网络异常监控

    冰之眼探测器实时统计了当前网络中的各种报文流量发送到中央控制台,包括:PPS,BPS,TCPSession。管理员通过观察这些实时数据,可以判断当前网络运行状况是否良好。 基于XML 的开放式的联动协议冰之眼系统提供了Open Source 的基于XML 的开放式联动接口。任何安全产品可以基于此接口接收冰之眼系统的攻击告警。当前支持:Windows系列,Linux 系列,*BSD 系列,SUN OS 系列。

    方便的探测器管理

    冰之眼中央控制台可灵活部署在网络的各个角落。管理员通过控制台可以查看到实时的攻击告警日志,并可修改探测器端加载的攻击特征规则库。同时,也支持包括包括串口(RS232)、远程SSH  的探测器管理方式。其中串口方式支持中/英文两种语言,并可实时切换。

    对于运行中的探测器,冰之眼控制台24  小时不间断地监控其健康情况,管理员可随时查看探测器的各种主要参数性能,包括:CPU、内存、剩余硬盘空间等。

    可信时间戳

    为提高检测精度,冰之眼控制台与探测器内置了时钟同步机制,所有连接同一控制台的探测器均保持毫秒一级的精确度。同时,冰之眼探测器还提供了系统时区的修改,即使探测器安装在伦敦,控制台放置在北京也可准确无误地工作。

0
相关文章