普赛顿入侵检测解决方案

2006-9-15　网友评论 0 条　点击进入论坛

【编者按】Intruder Alert是基于主机的入侵检测工具，通过监视企业重要服务器和各种应用以避免企业资源被攻击、滥用和误用，如果这些系统遭到攻击或威胁，Intruder Alert可以立即通知管理员或采取预先设置好的响应措施以避免信息的丢失或破坏。

　　Intruder Alert主机入侵检测

　　Intruder Alert是基于主机的入侵检测工具，通过监视企业重要服务器和各种应用以避免企业资源被攻击、滥用和误用，如果这些系统遭到攻击或威胁，Intruder Alert可以立即通知管理员或采取预先设置好的响应措施以避免信息的丢失或破坏。

　　Intruder Alert 采用Drop and Detect技术，同时Intruder Alert也能完成对网络攻击的实时告警，实时保护网络免受攻击。Drop and Detect 测试函数特性的预先定义方案使得安全管理人员能够快速简单的安装入侵告警系统。这使得你能够避免最经常性的危险的威胁，以保护你的NT或其它关键的企业系统。同时，Drop and Detect 测试函数让安全管理员不必等待新"hard-coded"版的软件包就可以升级你的系统。

　　实时监控检测恶意行为

　　Intruder Alert检测未经授权的及恶意的行为，保护系统、应用及数据不被滥用。实时监控把对系统的威胁通知管理员，使他们能够采取预防措施来防止资料被窃取或丢失。Intruder Alert允许管理员在活动地保持系统及数据的可用性及完整性的同时创建并部署新的策略。它还能够集中收集并安全地存档审计日志，以便用于事后分析。

　　高级监控及升级--适用于所有主要平台

　　Intruder Alert利用基于策略的监控实现对整个系统的完全控制。这种基于策略的监控能够决定检测哪些系统及活动和采取什么措施。Intruder Alert中包含一整套工具，在主机及系统组件上，它们都可以快速创建并运用新的规则，同时还提供图表的形式实时入侵检测更新。专门的软件代理支持大部份服务器平台，其中包括Windows NT、UNIX的大部份商业版本及NetWare。

　　企业级的强大管理平台

　　Intruder Alert平台允许管理员定义不同角色的安全管理工作。静态安装及远程调试简化了软件部署及系统维护工作，而且管理向导还能够执行许多例行任务。

　　与网络管理系统的集成

　　Intruder Alert中包含一系列管理模块，它们可用于在Tivoli Enterprise、BMC Patrol及HP OpenView管理平台上实现安全管理。

　　与网络入侵检测的集成

　　Intruder Alert完整的集成了NetProwler SNMP功能，为保护企业网络提供一个完全的IDS。如果Intruder Alert检测到了安全威胁，它将自动鸣响警报，或者采取其它

　　预设的措施来阻止数据损失，例如将事件转发给适当的平台。

　　主要特点

　　1. 连续监视用户行为，检测和防止未经授权的活动。

　　2. 提供功能强大的入侵检测系统（IDS）策略创建及定制。

　　3. 立即部署新的或修改的IDS策略及签名，保证当前策略得以实施。

　　4. 以简洁的图表说明主机及网络IDS活动。

　　5. 收集并安全地保存审计数据，以便用于存档及事后分析。

　　6. 允许管理员从一个平台管理全网络范围内的响应。

NetProwler网络入侵检测

　　NetProwler是基于网络的入侵检测工具，通过监视服务器、工作站和其他网络设备间的网络通讯，能够检测出类似IP Spoofs 和 SYN Floods 这样的网络攻击。它能够将许多严重的攻击在危及网络安全之前检查出来，对内部破坏者和外部黑客非法访问计算机系统能够立即做出响应，记录日志和终止非法访问。

　　NetProwler采用具有专利技术的SDSI（Stateful Dynamic Signature Inspection状态化的动态特征检测）入侵检测技术。在这种设计中，每个攻击特征都是一组指令集，这些指令是由SDSI虚处理器通过使用一个高速缓存入口来描述目前用户状态和当前从网络上收到数据包的办法执行。每一个被监测的网络服务器都有一个小的相关攻击特征集，这些攻击特征集都是基于服务器的操作和服务器所支持的应用而建立的。

　　主要特点

　　1. 由于SDSI技术能够动态装载新的更新。信息安全小组SWAT以最快的速度研究并发布新的入侵检测方案，保护企业已有的投资。

　　2. 黑客反跟踪技术。可以对TCP/IP欺骗信号进行核查。

　　3. 优秀的报表输出功能，有三种不同的输出方式：快速报表、自定义格式报表和使用Crystal 报表设计工具生成报表。

　　4. NetProwler遵循OPSEC协议，具有良好的互操作性。

　　5. 加固防火墙的安全性：将入侵检测产品和其他网络安全产品（如防火墙、网络防病毒产品等）配合使用，能够使网络更加坚固、安全，使各种安全产品充分发挥自身的特性。NetProwler在响应攻击事件时，可以修改Raptor Firewall、 Checkpoint Firewall等的安全策略和访问控制规则。

　　6. 可以和Intruder Alert 相集成，提供一个完整的防黑客安全解决方案。

　　7. 被动网络监测：NetProwler可以把在本系统中安装的网卡置于混杂模式(Promiscuous)实时检测各种攻击。由于它采用数据缓冲技术而不是采用存储/转发技术，因此不会影响网络或应用的性能。

　　8. 用户自定义攻击定义特征：管理员可以根据企业的资源和应用情况制定相应的攻击特征定义。

　　9. NetProwler通过自动发现网络主机、应用以及自动实施攻击特征，提供无缝的安装和配置功能。

　　10. 全企业范围内可扩展的管理结构：可以为多个NetProwler Agent提供一个直观、方便的集中的管理、配置和监测平台。NetProwler的三级结构（Console, Manager, Agent）具有极好的可扩展性。因此在分布式网络中极易管理。

　　11. 基于WEB的攻击特征更新和和自动下载：NetProwler对大多数攻击响应的配置都非常容易。系统不需要离线就可以直接从WEB站点下载升级程序和用户定义的攻击信号，并进行配置。

　　12. 攻击字典：提供详细的有关攻击描述包括CVE（Common Vulnerability），同时有相应的联接直接连接到SWAT网站。

　　13. 支持双网卡：NetProwler Agent通过多个硬件来提高性能，同时支持双网卡在DMZ区运行于秘密的模式。从而大大提高了性能和安全性。

　　14. 实时的会话监测：NetProwler的"talker"特点为常见的应用提供扩展的会话监测，如HTTP、FTP、TELNET、Email、chat、rshell、rlogin等。使管理员实时记录、中断恶意的会话，同时记录下来的数据也可以为用户自定义攻击特征提供参考。

　　15. 可以通过NetProwler Console 实时地、定时地、自动地把最新的攻击特征分发到远程的Agent上。

已有 0 位对此文章感兴趣的网友发布了看法　

我来评两句	登录邮箱：密码：
请您在这里发表您的个人看法，发言时请各位遵纪守法并注意语言文明！
	匿名发表