基于全局网络PCA的DDoS攻击检测方法

网络入侵检测解决方案

网络入侵检测解决方案 1.网络型入侵侦测系统 入侵检测作为安全侦测的最后一道防线，能提供安全审计、监视、攻击识别和反攻击等多项功能，对内部攻击、外部攻击和误操作进行实时监控，是其它安全措施的必要补充，在网络安全防御中起到了不可替代的作用。 体系结构 系统采用引擎/控制台结构，引擎在网络中各个关键点部署，通过网络和中央控制台交换信息。 网络引擎部分运行于安全操作系统Open BSD之上，负责网络数据的获取、分析、检测，对警报进行过滤和实时响应，并发送给控制台进行显示和记录；控制台运行于Windows平台，负责警报信息的及时显示、记录、查阅，支持用户定制检测、响应策略和控制网络引擎。主要功能 “天眼”入侵侦测系统－网络型具备一般NIDS的主要功能，同时针对NIDS面临的威胁和NIDS发展方向开发出多项具有针对性的新功能，此外该系统对于国内外流行的防火墙包括本公司长城防火墙提供支持，具有较完备的检测、响应、互动能力，是一款高效实用的入侵防范工具，它的具体功能如下： 入侵侦测功能 能实时识别各种基于网络的攻击及其变形，包括DOS攻击、 CGI攻击、溢出攻击、后门探测和活动等。目前可以检测900余种攻击行为及其变形。 警报过滤功能 能根据定制的条件，过滤重复警报事件，减轻传输与响应的压力，同时还能保证警报信息不被遗。 实时响应功能 根据用户定义，警报事件在经过系统过滤后进行及时响应，包括实时切断连接会话、重新配置防火墙（支持中科网威“长城”防火墙、 CheckPoint FireWall-1和天融信防火墙）彻底屏蔽攻击、给管理员发送电子邮件、发送SNMP Trap报警、控制台实时显示、数据库记录等等。 系统策略定制功能 用户可以通过中央控制台详细定制系统策略、入侵侦测规则、警报过滤及响应规则等，还可以根据被保护平台、网络环境等信息选择预定义的策略，从而使系统能够真正适应具体环境的安全需求。