入侵检测被认为是防火墙之后的第二道安全闸门，它在不影响网络性能的情况下能对网络进行有效监测。然而，长期以来，IDS的“漏报”和“误报”问题，作为IDS的“老大难”，一直困扰着用户。对此，东软NetEye IDS从“应用为先”出发，在全线产品中严格贯彻这一思想，基于“全面关注网络健康”的管理理念，全面整治IDS的“软肋”。

　　做完整网络行为的录像机

　　东软认为，加强审计、内容恢复是减少“漏报”和“误报”现象的首要手段。对此，东软NetEye IDS 2.2在原有2.1的基础上做了进一步的优化。通过添加审计、内容恢复等功能，NetEye IDS 2.2可帮助网管员以及系统积累实际素材，建立学习的过程，来降低IDS的误报与漏报，形象地讲，这些功能就像是一台网络行为录像机。它利用数据流智能重组，轻松处理分片和乱序数据包。并综合使用模式匹配、异常识别、统计分析、协议分析、行为分析等多种方法，可综合检测1700种以上的攻击与入侵行为;同时，该系统提供默认策略，用户也可以方便地定制策略;而且，该系统还自带数据库存储攻击与入侵信息，以便用户随时按需检索;另外，该系统还可提供强大的网络信息审计功能，可对网络的运行、使用情况进行全面地监控、记录、审计和重放，使用户对网络运行状况一目了然。

　　这样，在审计和监控等多项功能上，得到加强的东软NetEye IDS已经赋予了IDS更多的创新和实用性能，它再也不是传统意义上的IDS，它是适用于用户需求，保护用户网络健康的新型IDS。

　　多种通信协议实现内容恢复功能

　　为了改变以往“漏报”和“误报”这两个IDS的老问题，NetEye IDS 2.2 入侵监测系统针对多种常用的应用协议，包括HTTP、FTP、SMTP、POP3、TELNET、NNTP、IMAP、DNS、Rlogin、Rsh、MSN、Yahoo MSG等，可提供数据连接内容恢复功能，它能够完全记录通信的全过程与内容，并将其回放，还可自定义协议，以便用户随需扩充。此功能对于了解攻击者的攻击过程，监控内部网络中的用户是否滥用网络资源,发现未知的攻击，具有很大的作用。例如，HTTP通信内容恢复功能可恢复HTTP通信的所有内容，包括文本、图形和原始的会话信息，便于分析基于HTTP协议的攻击行为;POP3或SMTP协议内容恢复功能可完整的恢复电子邮件的标题、正文、附件、会话信息。

　　在NetEye IDS 2.2 入侵监测系统推出之前，入侵监测系统管理员是不可以重现整个攻击过程的，因此，不能发现未知的攻击。NetEye IDS 2.2 入侵监测系统的推出，很大程度上改变了这一事实。它可直观地看到任何人的信件内容(包括附件)，TELNET或者FTP用户所作的操作，检查他们都去过哪些网站和看过哪些内容(包括文字和图片的再现)。通过此功能，不但可以及时发现攻击事件，还可以重现整个攻击过程;不但可以发现外部黑客的攻击，还可以发现内部用户的恶意行为;不但可以发现已知攻击，而且可以发现未知攻击。这些功能的实现，标志着东软NetEye IDS的发展步入一个新阶段。