洞察网络变化

利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网络保护，降低网络安全风险。但是，仅仅使用防火墙还远远无法保证网络安全，因此，入侵检测系统就显得非常重要了。实时入侵检测系统能够对付来自内部网络的攻击，缩短黑客入侵的反应时间。

技术领先

绿盟科技自主研发的“冰之眼”网络入侵侦测系统，是绿盟科技系列安全软件中一款专门针对网络遭受黑客攻击行为而研制的网络安全产品。该产品可大限度地、全天候地监控，提供企业级的安全检测手段。在事后分析的时候，可以清楚的界定责任人和责任事件，为网络管理人员提供强有力的保障。
冰之眼采用国际上先进的分布式入侵检测理论构架，是高智能化的分步式入侵检测系统。其强有力的分布式探测器，分散在每一个子网的旁路，24小时全天候监视各个子网络的通信情况，及时捕获入侵行为。所有的告警和流量信息都实时地汇总到监控中心，在这里完成集中式的探测器管理、监控和复杂而智能的入侵检测分析。
冰之眼的监控、管理和分析模块采用中文化的设计，提供了强大的中文报表生成功能和入侵技术的详细中文解释，并给出了针对每一条攻击的解决方案。其体系结构如下:
◆网络探测器：基于先进的网络报文捕获技术，采用各种先进的检测技术与内置的规则系统相匹配，检测已知的和未知但可能存在的入侵行为，并根据指定的策略阻断或警告。
◆内网探测器：专用于企业内部网，检测其特有事件，弥补了网络探测器在这些方面的不足。
◆SSL传输通道：在冰之眼各产品之间进行128bit加密传输的专有通道。
◆中央控制台：集中管理各冰之眼探测器，并可根据探测器制定不同的策略，以便更好地进行入侵侦测。
◆SQL日志数据库：用于集中存取所有冰之眼告警日志和系统日志的大型数据库系统。当前采用的是Microsoft SQL Server。
◆日志分析：针对日志数据库中的历史记录进行统计分析，产生便于理解的各种报表。
◆绿盟科技中央升级站点：提供了最新的安全公告及对应的规则库。

功能概览

入侵侦测能力和全面的知识库
可侦测超过1000种的攻击方式，特别包括众多面对国内系统特有漏洞的攻击，是大部分国外优秀产品所无法做到的。基于绿盟科技强大的研究实力，保证提取攻击特征的有效性，最大程度地降低漏报和误报。
优异的运行性能
冰之眼使用了零拷贝、DMA传输、POLL方式三种关键技术来提高网络报文捕获性能。冰之眼百兆及千兆产品分别能够很好地满足百兆及千兆网络，可以对高流量的数据进行有效报文采集和处理，不会因流量问题造成采集缺失而漏报。
IP碎片重组
利用碎片穿透技术突破防火墙和欺骗IDS已经成为黑客们常用的手段，冰之眼入侵侦测系统能够根据受保护的操作系统类型进行完全的IP碎片重组，发现所有的基于IP碎片的攻击。
TCP状态跟踪及流汇聚
通过对TCP协议状态的检测，能够完全避免因单包匹配造成的误报。Stick、Snot等黑客工具通过发送没有经过三路握手的TCP攻击报文触发大量的IDS报警，但这些TCP报文并不会真正对于目标机器产生实际的效果，此时IDS产生大量的警告就属于误报，处理不当可能造成IDS系统瘫痪。冰之眼系统完全模仿受保护的机器丢弃这些残缺报文，极大地减小了误报率。采用类似于Telnet方式，将攻击报文拆成一个个的小报文进行发送，可以逃避基于单包的IDS的检测，冰之眼采用流汇聚方式检测该类攻击手段。
协议解码
按照RFC协议，对主流常用协议进行解码分析，提高了入侵侦测的速度及准确程度。同时可以发现部分未知攻击。
拒绝服务攻击检测
冰之眼综合采用特征匹配、统计分析等多种方式，能够检测Synflood、Winnuke、Jolt和Teardrop等多种拒绝服务攻击。配合绿盟科技的黑洞，能够进行有效的防御。
内网监控
冰之眼增加了对内网行为（内网拨号、IP-MAC对应关系改变、主机是否在线等发生在企业内网的特定事件）进行了有效的监控和跟踪，能够很好的帮助网络管理者发现和跟踪内网异常，确保对内网安全事件进行有效的监控管理。
主动防御（保护）能力
绿盟科技在冰之眼产品中通过TCP RST切断和加强与防火墙以及其他安全管理产品的联动功能，协助用户搭建真正可靠的安全防护体系。
通过对各种防火墙产品的联动操作，冰之眼入侵监测系统能够自动切断攻击行为，一台冰之眼网络探测器能够与10个不同种类的防火墙实现联动，真正起到主动防御（保护）作用。