NetDetector 是为 IP 网络设计的一种强大的安全监控设施，借助它，安全管理员能够全面地分析各种网络事件。除此以外，它还能探测各种网络异常情况并发出警报，包括拒绝服务袭击以及通过网络传输的蠕虫和病毒。

　　NetDetector 使用 NIKSUN 的高性能流量记录和统计分析机制。 NetDetector 以非侵入性方式记录局域网 LAN 接口上的网络流量，通过分析分组和流以近实时方式探测某些网络异常情况，并收集各种信息，过后对网络事故进行详细的事件分析。

　　NetDetector 的事件后分析特性包括易于使用的流量分析屏幕，借助它，用户能够看到各层的网络流量，并显示流量组合情况。用户不但可以容易地深入到某个时间间隔、 IP 地址或子网和 / 或应用，还可以通过分析流量调查任何网络事件。

　　NetDetector 还提供强大的 TCP 分析和重组屏幕，使管理员能够重新生成 http 、电子邮件、 ftp 、 telnet 、 irc 和其它 TCP 应用。通过这种应用层 TCP 的重组，安全管理员可以很方便地查看网络流量中的各种应用内容信息，例如邮件内容（甚至包括附件）、 WWW 访问的页面内容、 ftp 存取的文件原文等等。

　　除事件后调查功能外， NetDetector 还能够以近实时的方式探测以下网络流量异常，并发出警报，通知相关人员：

　　1. 网络利用率：探测在某个时间段，某条链路上的平均带宽利用率于何时超过了某个定值。

　　2. 端口扫描：探测在某个时间段，单台目标主机上的某些端口于何时从某台源主机进行了扫描。提供的信息包括源 IP 地址和目标 IP 地址，以及接受扫描的端口的数量。

　　3. 主机扫描：探测在某个时间段，一定量目标主机于何时接受了某台源主机的访问。提供的信息包括源主机的 IP 地址，以及它访问过的主机的数量。

　　4. 主机泛滥：探测在某个时间段，一定量主机于何时接受了某台目标主机的访问。这是分布式拒绝服务（ DDoS ）袭击的典型方式。提供的信息包括泛滥的目标 IP 地址，以及涉及的源主机的数量。

　　5. 主机对字节：探测在某个时间段，一定量的字节于何时在一个主机对之间进行了交换。提供的信息包括源地址和目标地址，以及涉及的实际字节数。

　　6. 无效地址：探测发现某相邻地址范围以外的地址的时间。在发现某种异常情况之后，安全管理员将能够借助 NetDetector 重新生成与入侵相关的事件，从而调查并阻止网络入侵。另外，在探测到入侵之后，还可以选择执行以下几种警告机制：

　　1. 弹出屏幕警报：将弹出信息发送到所有用户当前正在登录的屏幕

　　2. 电子邮件 / 寻呼机警报：将电子邮件信息发送到特定的接收者

　　3. SNMP 陷阱警报：将 SNMP 陷阱信息发送到特定的陷阱接收地址

　　4. 档案警报：将与警报相关的数据自动保存在磁盘上，防止这些信息被覆盖由于 NetDetector 是连续记录的，因此，它能够收集第三方安全工具调查已发现的入侵行为所需要的全部信息，包括入侵探测系统（ IDS ）。调查第三方警报时，可以使用用于分析本地警报的深入分析功能。 NetDetector 的存储功能可以按照用户的不同要求定制：最大内部存储 1.4TB ，外部存储数没有限制。

　　NetDetector 还可以在指定以太网端口上回放流量，将数据传输到指定主机，或者将数据复制到相连的磁盘驱动器。除本地 NIKSUN 专用格式外，数据还可以象在 tcpdump 和 snort 设施中那样以 Network Associates DOS Sniffer 格式（非压缩的 .enc ）或标准 libpcap 格式（ .pcap ）输入和输出。所有非法行为和未经授权的行为都将记录在案，以便作进一步分析，或者帮助实现合法保护。

　　NetDetector 的核心技术是比特级的网络流量记录和分析：它可以以流量生成的速度，捕捉并记录链路上每一个比特的流量，而专业的智能化分析软件，可以实时对记录的大量数据进行分析，发现网路流量的异常变化，从而可以侦测到正在进行的网络攻击，并及时发送告警。对于已经发生的攻击， NetDetector 可以通过重组网络应用和进程，迅速查明入侵方式和安全漏洞，恢复系统的安全运行，同时，所有非法的入侵活动都被记录下来，可以作为控告和惩治非法入侵者的有力证据。

　　此外， NetDetector 还可以为其它安全系统（如各种 IDS 入侵检测系统、防火墙等）发出的告警提供详细的原始分析数据，从而帮助安全管理人员迅速查明并修复安全漏洞。 NetDetector 是事后调查和分析的终极工具，可以帮助破获各种网络犯罪活动，惩治和威慑网络犯罪分子，与加密、鉴权、防火墙和其它入侵检测系统一起，构成全面的网络安全解决方案。