模式匹配

    模式匹配就是将收集到的信息与已知的网络入侵或者滥用模式数据库进行比较，从而发现违背安全策略的行为。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）。一般来讲，一种进攻模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该方法的一大优点是只需收集相关的数据集合，显著减少系统负担，且技术已相当成熟。它与防病毒产品采用的方法一样，检测准确率和效率都相当高。但是，该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段.

统计分析

    统计分析方法首先给系统对象（如服务使用情况，网络传输量等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。例如，统计分析可能标识一个不正常行为，因为它发现一个在晚八点至早六点不登录的帐户却在凌晨两点试图登录。其优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法，目前正处于研究和发展之中，尚未有成熟的商业产品。

    入侵检测能力

    - 全面的知识库

    可检测超过1000种的攻击方式，特别包括众多面对国内系统特有漏洞的攻击，是大部分国外优秀产品所无法做到的。基于绿盟科技强大的研究实力，保证提取攻击特征的有效性，最大程度地降低漏报和误报。

最新的安全信息请访问：http://www.nsfocus.net/{page}

    - 优异的运行性能

    冰之眼使用了零拷贝、DMA传输、POLL方式三种关键技术来提高网络报文捕获性能。冰之眼百兆及千兆产品分别能够很好地满足于百兆及千兆网络，可以对高流量的数据进行有效报文采集和处理，不会因流量问题造成采集缺失而漏报。详细数据请查阅第四章产品指标。

    - IP碎片重组

    利用碎片穿透技术突破防火墙和欺骗IDS已经成为黑客们常用的手段，冰之眼入侵检测系统能够根据受保护的操作系统类型进行完全的IP碎片重组，发现所有的基于IP碎片的攻击。

    - TCP状态跟踪及流汇聚

    通过对TCP协议状态的检测，能够完全避免因单包匹配造成的误报。Stick、Snot等黑客工具通过发送没有经过三路握手的TCP攻击报文触发大量的IDS报警，但这些TCP报文并不会真正对于目标机器产生实际的效果。（通常是被丢弃）此时IDS产生大量的警告就属于误报。处理不当可能造成IDS系统瘫痪。冰之眼系统完全模仿受保护的机器丢弃这些残缺报文，极大地减小了误报率。

    采用类似于Telnet方式将攻击报文拆成一个个的小报文进行发送，可以逃避基于单包的IDS的检测。冰之眼采用流汇聚方式检测该类攻击手段。

    - 协议解码

    按照RFC协议，对主流常用协议进行解码分析，提高了入侵检测的速度以及准确程度。同时可以发现部分未知攻击。

    拒绝服务攻击检测

    冰之眼综合采用特征匹配，统计分析等多种方式，能够检测Synflood、Winnuke、Jolt、Teardrop等多种拒绝服务攻击。配合绿盟科技的专用抗拒绝服务产品“黑洞”（collapsar），能够进行有效的防御。

    - 内网监控

    冰之眼增加了对内网行为（内网拨号、IP-MAC对应关系改变、主机是否在线等发生在企业内网的特定事件）进行了有效的监控和跟踪，能够很好的帮助网络管理者发现和跟踪内网异常，确保对内网安全事件进行有效的监控管理。

    - 协议回放

    冰之眼入侵检测系统支持对特定连接进行跟踪记录，并对常见的网络协议（包括HTTP，SMTP，POP3等）进行回放，便于管理员对可疑的连接进行实时和直观的监控。

    - 主动防御（保护）能力

    传统的IDS仅仅是对入侵进行监控和报警，在电子数据日趋重要的今天，用户最关心的往往是其数据的安全性。绿盟科技认为，网络安全体系应该是通过完整的安全策略，利用多个安全产品有效互动实施全方位保护，而不是单纯的安全产品的堆砌，基于这种认识，绿盟科技在冰之眼产品中通过TCP RST切断和加强与防火墙以及其他安全管理产品的联动功能，协助用户搭建真正可靠的安全防护体系。

    通过对各种防火墙产品的联动操作，冰之眼入侵监测系统能够自动切断攻击行为，一台冰之眼网络探测器能够与10个不同种类的防火墙实现联动，真正起到主动防御（保护）作用。

    以下是冰之眼支持联动的防火墙产品列表：

  天融信防火墙

  Check Point FW-1

  东方龙马防火墙

    天网 （Sky Net）

  netscreen防火墙

  支持telnet命令行管理的其他防火墙，如PIX

    - 管理能力

    可管理性是IDS能够真正发挥作用的重要因素，一个IDS 产品，即便拥有再好的技术，缺乏有效的数据管理功能，依然无法让网络管理人员真正有效的利用起来，其价值也就无法得到体现。

    冰之眼产品具有强有力的管理特性：

    强大的集中监控中心 －分散信息采集和集中控制思想的实现。管理员在控制中心就能管理和综合分析所有探测器的告警信息和状态信息，形成统一分析的报表。

    信息过滤/合并功能－强有力的过滤系统，能够在控制台过滤一些低风险或者不可能成功的攻击行为，从而极大减少管理员的工作量，也使得重要攻击行为能够得到重点体现。

    多样化报表及检索能力 －报表系统可以自动生成各种形式的攻击统计报表，形式包括日报表，月报表，年报表等，通过来源分析，目标分析，类别分析等多种分析方式，以直观、清晰的方式从总体上分析网络上发生的各种事件，为管理人员提供方便。

    自动化系统－ 包括规则自动在线升级（同时也提供手动升级），日志数据库的自动维护，报表的自动生成和发送等一整套自动化系统。有效地降低了管理员的工作强度，提高了产品持续运行的时间。

    规则集定制－针对不同的探测器制定相应的规则集，更加灵活方便地适应实际的使用情况。

    自定义检测规则 ? 针对一些具有特殊安全防护需求，比如内容信息过滤，可以方便设置自定义的关键字过滤检测规则，通过与防火墙的联动，也可以将该涉及敏感信息的TCP会话阻断，防止企业重要信息泄露或者一些非法的网络信息传递。升级及技术支持

    网络安全永远没有一劳永逸的解决方案，新的安全漏洞和攻击方法几乎每天都会出现，缺乏升级和技术支持的安全产品，不论其产品技术和产品性能如何领先，也是没有生命力的。绿盟科技强大的研究团队，不断跟踪国内外最新安全研究成果，并且不断面向国际机构发布自己的研究成果。一直以安全研究能力在国内遥遥领先，确保用户能够得到最及时的安全规则升级和最优秀的技术支持，保护用户的投资。

    安全规则升级承诺：日常升级至少每7天一次，重大安全问题升级在全球首次发现后三个工作日内完成。

    访问绿盟科技冰之眼升级站点：http://update.nsfocus.com/nids/index.php

自身安全性

    一个安全产品，自身的安全性也是非常重要的，否则将不但难起到应有的保护作用，反而会成为网络安全体系的隐患。

    -  防欺骗性攻击：一些别有用心的攻击者，可能会通过欺骗IDS，通过一些工具造成大量误报，然后将侵入行为隐藏在大量无用的误报中暗渡陈仓。当精心构造的欺骗数据包达到一定规模，有可能导致IDS的崩溃。冰之眼IDS针对各种IDS欺骗方式和攻击方式进行了总结，并采用了基于状态的行为分析方式，有效避免了这种情况的发生，能够确保产品不会遭受诸如Stick、Snort的攻击。

    -  多点备份功能：当网络出现故障时， 探测器能够自动通过最多四条备用通道将数据发送到中央控制台，最大程度的保证告警消息的及时性和可靠性。

    -  SSL加密传输通道：确保管理控制信息不会被恶意用户截获和窥探。