網路入侵檢測系統哪個好

① 入侵檢測系統IDS是什麼，入侵檢測系統的原理是什麼

入侵檢測系統(IDS)是對網路傳輸進行實時監控的一種安全保障。不同於傳統的網路安全設備，當檢測到外星入侵者時，會立即報警並採取積極的應對措施。而且他內置了入侵知識庫，對網路上的流量特徵進行收集和分析，一旦在高合規或者大流量的情況下，會立即預警或者反擊。

一、入侵檢測系統的工作

入侵檢測系統簡稱IDS。IDS主要分為兩部分:檢測引擎和控制中心。檢測引擎用於分析和讀取數據。當控制中心接收到一個來自伊寧的數據時，會對數據進行過濾，進行檢測分析，如果有威脅會立即報警。一些正常用戶的異常檢測行為，偏離了正常的活動規律，也會被視為攻擊企圖，會立即產生狀態信號。IDS就像是對金庫的監控。一旦有人准備入侵監控，或者在門前做了什麼，就會被自己的控制中心檢測到。

以上就是有關於入侵檢測系統IDS是什麼，入侵檢測系統的原理是什麼？的相關回答了，你了解了嗎

② 各懷絕技主流入侵檢測產品大比較

1.Cisco公司的NetRanger

1996年3月，WheelGroup基於多年的業界經驗推出了NetRanger。產品分為兩部分：監測網路包和發告警的感測器(9000美元)，以及接收並分析告警和啟動對策的控制器(1萬美元)。

另外，至少還需要一台奔騰PC來跑感測器程序以及一台Sun SparcStation通過OpenView或NetView來跑控制器程洞沖租序。兩者都運行Sun的Solaris。在軟硬體平台中，感測器上可能要花費1.3萬美元，控制器上要花費2.5萬美元。

NetRanger以其高性能而聞名，而且它還非常易於裁剪。控制器程序可以綜合多站點的信息並監視散布在整個企業網上的攻擊。NetRanger的名聲在於其是針對企業而設計的。這種名聲的標志之一是其分銷渠道，EDS、Perot Systems、IBM Global Services都是其分銷商。

NetRanger在全球廣域網上運行很成功。例如，它有一個路徑備份(Path-doubling)功能。如果一條路徑斷掉了，信息可以從備份路徑上傳過來。它甚至能做到從一個點上監測或把監測權轉給第三方。

NetRanger的另一個強項是其在檢測問題時不僅觀察單個包的內容，而且還看上下文，即從多個包中得到線索。這是很重要的一點，因為入侵者可能以字元模式存取一個埠，然後在每個包中只放一個字元。如果一個監測器只觀察單個包，它就永遠不會發現完整的信息。

按照GartnerGroup公司的研究專納兆家Jude O'Reilley的說法，NetRanger是目前市場上基於網路的入侵檢測軟體中經受實判跡踐考驗最多的產品之一。

但是，對於某些用戶來講，NetRanger的強項也可能正好是其不足。它被設計為集成在OpenView或NetView下，在網路運行中心(NOC)使用，其配置需要對Unix有詳細的了解。NetRanger相對較昂貴，這對於一般的區域網來講未必很適合。

2.Network Associates公司的CyberCop

Network Associates 公司是1977年由以做Sniffer類探測器聞名的Network General公司與以做反病毒產品為專業的 McAfee Associates公司合並而成的。NetWork Associates從Cisco那裡取得授權，將NetRanger的引擎和攻擊模式資料庫用在CyberCop中。

CyberCop基本上可以認為是NetRanger的區域網管理員版。這些區域網管理員正是NetWork Associates的主要客戶群。其軟體價格比NetRanger還貴:感測器為9000美元，伺服器上的控制器為15000美元。但其平台卻可以是運行Solaris 2.5.1的Dell PC(通常CyberCop是預裝在裡面的)。跑感測器的平台一般要3000美元，控制器的平台要5000美元。

另外，CyberCop被設計成一個網路應用程序，一般在20分鍾內就可以安裝完畢。它預設了6種通常的配置模式:Windows NT和Unix的混合子網、Unix子網、NT子網、遠程訪問、前沿網(如Internet的接入系統)和骨幹網。它沒有Netware的配置。

前端設計成瀏覽器方式主要是考慮易於使用，發揮Network General在提煉包數據上的經驗，用戶使用時也易於查看和理解。像在Sniffer中一樣，它在幫助文檔里結合了專家知識。CyberCop還能生成可以被 Sniffer識別的蹤跡文件。與NetRanger相比，CyberCop缺乏一些企業應用的特徵，如路徑備份功能等。

按照CyberCop產品經理Katherine Stolz的說法，Network Associates公司在安全領域將有一系列的舉措和合作。"我們定位在大規模的安全上，我們將成為整體解決方案的提供者。"

3.Internet Security System公司的RealSecure

按照GartnerGroup的O'Reilley的說法，RealSecure的優勢在於其簡潔性和低價格。與NetRanger和CyberCop類似，RealSecure在結構上也是兩部分。引擎部分負責監測信息包並生成告警，控制台接收報警並作為配置及產生資料庫報告的中心點。兩部分都可以在NT、Solaris、SunOS和Linux上運行，並可以在混合的操作系統或匹配的操作系統環境下使用。它們都能在商用微機上運行。

對於一個小型的系統，將引擎和控制台放在同一台機器上運行是可以的，但這對於NetRanger或CyberCop卻不行。RealSecure的引擎價值1萬美元，控制台是免費的。一個引擎可以向多個控制台報告，一個控制台也可以管理多個引擎。

RealSecure可以對CheckPoint Software的FireWall-1重新進行配置。根據入侵檢測技術經理Mark Wood的說法，ISS還計劃使其能對Cisco的路由器進行重新配置，同時也正開發OpenView下的應用。

4.Intrusion Detection公司的Kane Security Monitor

基於主機的Kane Security Monitor(KSM) for NT是1997年9月推出的。它在結構上由三部分組成，即一個審計器、一個控制台和代理。代理用來瀏覽NT的日誌並將統計結果送往審計器。系統安全員用控制台的GUI界面來接收告警、查看歷史記錄以及系統的實時行為。KSM對每個被保護的伺服器報價1495美元(包括審計器和控制台)，在此基礎上每個工作站代理報價295美元。

按照位於加州Playa Del Rey以安全技術見長的Miora Systems Consulting公司的資深咨詢專家David Brussin的看法，KSM在TCP/IP監測方面特別強。但他也提到，Intrusion Detection的產品不是為較快的廣域網設計的。

公司的奠基人兼總裁Robert Kane說，Intrusion Detection在本季度將推出在OpenView下的應用，隨後在年底將推出與Tivoli Management Environment(TME)的集成。將來，Intrusion Detection還計劃支持Unix、微軟的BackOffice和Novell的Netware。

5.Axent Technologies公司的OmniGuard/Intruder Alert

與KSM的審計器、控制台、代理所對應的OmniGuard/Intruder Alert(ITA)在結構上的三個組成部分為一個管理器(1995美元)、控制台(免費)和代理(每個伺服器為995美元，每個工作站為95美元)。

ITA比Intrusion Detection的KSM提供了更廣泛的平台支持。它的管理器和代理能在Windows NT、95、3.1和Netware 3.x、4.x上運行，所有的部分在多種Unix下都能運行，如Solaris、SunOS、IBM AIX、HP-UX以及DEC的Unix。

可以根據一些解決方案來剪裁ITA，這些解決方案可來自主流的操作系統、防火牆廠商、Web伺服器廠商、資料庫應用以及路由器製造商。Axent在2月份兼並了防火牆廠商Raptor，並將增強ITA，使其能對Raptor的防火牆進行重配置。

6.Computer Associates公司的SessionWall-3/eTrust Intrusion Detection

SessionWall-3/eTrust Intrusion Detection可以通過降低對網路管理技能和時間的要求，在確保網路的連接性能的前提下，大大提高網路的安全性。SessionWall-3/eTrust Intrusion Detection可以完全自動地識別網路使用模式，特殊網路應用，並能夠識別各種基於網路的各種入侵、攻擊和濫用活動。另外，SessionWall-3/eTrust Intrusion Detection還可以將網路上發生的各種有關生產應用、網路安全和公司策略方面的眾多疑點提取出來。

SessionWall-3/eTrust Intrusion Detection是作為一種獨立或補充產品進行設計的，它的特點包括：

·世界水平的攻擊監測引擎，可以實現對網路攻擊的監測；
·豐富的URL控製表單，可以實現對200，000個以上分類站點的控制；
·世界水平對Java/ActiveX惡意小程序的監測引擎和病毒監測引擎；
·SessionWall-3/eTrust Intrusion Detection遠程管理插件，用於沒有安裝SessionWall-3/eTrust Intrusion Detection的機器的SessionWall-3/eTrust Intrusion Detection記錄文件的歸檔和查閱，以及SessionWall-3/eTrust Intrusion Detection報表的查閱。

SessionWall-3/eTrust Intrusion Detection的網路安全保護

SessionWall-3/eTrust Intrusion Detection屢獲殊榮，是面的網路安全管理軟體。

SessionWall-3/eTrust Intrusion Detection的特點包括：

·提供從先進的網路統計到特定用戶使用情況的統計的全面網路應用報表；
·網路安全功能包括內容掃描、入侵監測、阻塞、報警和記錄。
·Web和內部網路使用策略的監視和控制，對Web和公司內部網路訪問策略實施監視和強制實施；
·公司保護（Company preservation），或稱訴訟保護，即對電子郵件的內容進行監視，記錄、查看和存檔；

SessionWall-3/eTrust Intrusion Detection還包括用於WEB訪問的策略集（用於監視/阻塞/報警）和用於入侵監測的策略集（用於攻擊監測、惡意小程序和惡意電子郵件）。這些策略集包含了SessionWall-3/eTrust Intrusion Detection對所有通信進行掃描的策略，這些策略不僅指定了掃描的模式、通信協議、定址方式、網路域、URL以及掃描內容，還指定了相應的處理動作。一旦安裝了SessionWall-3/eTrust Intrusion Detection，它將立即投入對入侵企圖和可疑網路活動的監視，並對所有電子郵件、WEB瀏覽、新聞、Telnet和FTP活動進行記錄。

SessionWall-3/eTrust Intrusion Detection還可以很方便地追加新規則，或利用菜單驅動選項對現有規則進行修改。

SessionWall-3/eTrust Intrusion Detection可以滿足各種網路保護需求，它的主要應用對象包括審計人員、安全咨詢人員、執法監督機構、金融機構、中小型商務機構、大型企業、ISP、教育機構和政府機構等。

SessionWall-3/eTrust Intrusion Detection的功能

SessionWall-3/eTrust Intrusion Detection是一種功能全面且使用方便的網路保護解決方案，它克服了網路保護中的主要業務障礙，其採用的主要手段包括：

·程度地降低用戶技能和資源需求；
·提供一種經濟的和可擴展的解決方案；
·提供管理報表；
·提供靈活易用的工具。

從操作的角度講，SessionWall-3/eTrust Intrusion Detection去除了某些網路保護解決方案在安裝和操作的麻煩。實際上，SessionWall-3/eTrust Intrusion Detection可以提供許多人們所期望網路內在特性，而這些特性在過去是必需藉助多種工具並通過復雜的分析之後才能夠得到的。為了達到這一目的，SessionWall-3/eTrust Intrusion Detection採用了如下措施：

·即插即用安裝（自動配置）；
·易用的圖形用戶界面；
·登錄網路活動的在線查閱；
·實時統計和圖形顯示；
·全面的"追根溯源（drill down）"報表；
·聯機查詢和定時報表；
·易於更新的監視、阻塞和報警規則；
·綜合的響應和報警集合，包括實時干涉，預定義阻塞規則、第三方應用啟動響應介面、以及不同的信息發送方式。
·用於監視和阻塞的全面URL站點分類和控制列表。
·支持WEB自速率系統（RSACi）。
·先進的可疑小程序監測（例如，Java/ActiveX引擎）。
·綜合病毒掃描引擎和病毒庫。
·完整的格式化內容和附件瀏覽器。
·電子文字模式內容的掃描和阻塞；
·菜單驅動的自動地址解析。
·特殊的保密特性，可以對控制訪問許可權提供登錄和管理的訪問控制。

SessionWall-3/eTrust Intrusion Detection的特點

SessionWall-3/eTrust Intrusion Detection與大多數網路保護產品不同，後者是生硬地安插在網路通信路徑中的，而前者則是完全透明的，它不需要對網路和地址做任何的變化，也不會給獨立於平台的網路帶來任何的傳輸延遲。

SessionWall-3/eTrust Intrusion Detection可全面滿足你的需要！

SessionWall-3/eTrust Intrusion Detection代表了最新一代Internet和Intranet網路保護產品，它具備前所未有的訪問控制水平、用戶的透明度、性能、靈活性、適應性和易用性。SessionWall-3/eTrust Intrusion Detection無需使用昂貴的UNIX主機，也避免了因非路由防火牆所造成的額外開銷。另外，SessionWall-3/eTrust Intrusion Detection還包括一個會話視窗，可以用於網路入侵的監視、審計，並可以為電子通信的濫用現象提供充分的證據。

技術規范

·操作系統：Windows 95（OSR 2）， Windows 98或Windows NT 4.0（SP3以上）以上版本；
·系統平台：Intel Pentium 100MHz以上；
·內存：64MB RAM
·磁碟空間：200MB可用空間
·網路介面：標准乙太網/令牌環網/FDDI
·軟體介質：CD-ROM

7.Trusted Information System公司的Stalkers

由Haystack Labs於1993年推出的Stalker是一個基於主機的監測器，它能用於NT以及多種版本的Unix，包括Solaris、AIX、HP-UX和SCO的 UnixWare。2.1版的管理器價格為9995美元，每個代理為695美元。

Haystack Labs在1996年6月推出了WebStalker Pro，其操作系統運行平台和Stalker是一樣的，但其使用對象是Web伺服器。它在Unix下的報價是4995美元，在NT下的報價是2995美元。Sun的Netra Web伺服器在銷售時就帶有一個WebStalker的專門版。IBM Global Services也銷售WebStalker。

開發基於NT防火牆產品Gauntlet的Trusted Information System公司於1997年10月收購了Haystack。於1997年12月宣布了只在NT下運行且為微軟的Proxy Server 2.0設計的監測器——ProxyStalker。ProxyStalker計劃於第一季度推出，其價格尚未宣布，但估計和Proxy Server應該是同等檔次的產品，即少於1000美元。

所有三種Stalker產品都可以對防火牆產品Gauntlet重新配置，三種產品也都可以在發現入侵的同時消滅入侵。例如，WebStalker Pro可以終止一個登錄或一個進程，它也可以重啟一個Web伺服器。Stalker家族也能與TME集成在一起。

8.Network Security Wizards公司的Dragon IDS

Network Security Wizards是一家新進入IDS市場的公司。盡管它的產品Dragon現在還沒有多少名氣，但它在表現極好。它在檢測到較多攻擊。Dragon是一個非常原始的工具，建議不熟悉UNIX系統的用戶不要使用。但如果用戶十分在意入侵檢測的健壯性並且對易於使用要求不高的話， Dragon還是一個很不錯的選擇。

Dragon通過命令行方式來執行，只有非常簡單的基於Web 的報告工具。除了NFR外，NSW是一個將真正的代碼放在攻擊簽名中的產品。簽名文件是一個簡單的文本文件，使用一個非常簡單的指令集建立。指令集的簡單性也允許 Dragon的用戶很方便地定製和產生他們自己的攻擊簽名。Dragon的攻擊行為表示方法沒有NFR的n-code靈活，但它同樣能夠達到目的。通過使用一個基本的參數定義集合，用戶可以定義要搜索的埠、協議、樣本大小、字元串等。

不幸的是，Dragon在易於使用和事件可管理性方面完全失敗。Dragon沒有提供中央控制台或任何類型的GUI管理工具，它產生的數據冗長而又復雜，很不容易看懂。Dragon的成熟還需要一個過程。

Dragon能夠處理碎片重組。它不僅能夠無錯地重組碎片，而且即使當網路佔用率達70～80％時仍然性能不減。NSW 聲稱它在Dragon中部署了許多功能盒，這些功能盒能夠以130Mbps的速率運行。如果想要一個簡單而又強大的入侵檢測功能並且要求易於增加或修改攻擊簽名的話，那麼Dragon是很好的選擇。

9.Network Ice公司的BlackIce Defender and Enterprise Icepac 1.0

Network Ice公司的BlackIce Defender是將基於主機和基於網路的檢測技術結合起來並用於Windows系統的產品。在安裝BlackIce時，沒有留下特別的印象：管理介面相當麻煩，配置選擇也不是很多。然而BalckIce執行起來非常好，能夠進行碎片重組。

BlackIce能夠檢測較多攻擊並且當網路負載很飽和時仍然能夠勝任。該公司聲稱提供了200多個攻擊簽名，BlackIce要比許多其他基於網路的入侵檢測產品表現的好。

但BlackIce的報告機制還不太令人滿意。基於Web的工具難於使用，通信未加密就通過HTTP在線路上進行傳輸，而RealSecure和Dragon對所有從感測器到控制台的通信都進行加密。

BlackIce還提供一個被稱為Black Track的服務，這對於一些企業是十分有用的，但它對於想隱蔽地進行入侵檢測的用戶來講很不適用。Black Trace 通過發起NetBIOS和DNS反向查詢來收集敵對主機信息。幸運的是，與NetProwler不一樣，BlackIce允許用戶自己禁止這些查詢。

BlackIce的一個有趣特性是它可以作為一個個人IDS和防火牆的組合方案。BlackIce能關閉它檢測到產生敵意操作的所有網路。

那些想保證自己的移動用戶安全的公司可能對BlackIce 特別感興趣。它的個人防火牆特性可以允許網路管理員擴展一些更高級別的安全保護。而它的價格只有大約40美元，是相當物有所值的產品。
10.NFR公司的Intrusion Detection Appliance 4.0

NFR是提出開放源代碼概念的IDS廠商，這是它能夠不斷普及的最重要原因。NFR通過NFR「研究版」免費發布它早期版本的源代碼，盡管正式版與研究版相比進行了許多修改，但是後者仍然能提供一個完整的IDS方案。

在IDA 4.0中，NFR已經解決了它在管理工具和簽名設置方面的種種不足。程序採用一個基於Win32的GUI管理工具來取代原來基於Java的工具，因為基於Java的管理工具由於瀏覽器的Java實現不連續會經常崩潰。新的管理GUI為管理員提供了一個簡單的方法來配置和監視部署的NFR感測器，但事件清除仍然是一件費力的事情。

管理員只能得到單行的攻擊描述，對攻擊數據進行翻頁操作非常麻煩。如果用戶對常用攻擊方式的表達不是很熟悉的話，就不得不經常需要參考手冊的幫助。

另一個問題是NFR一直缺乏一個可靠的簽名集。雖然通過使用NFR內置的過濾腳本n-code，用戶可以編寫自己的簽名，然而很少有哪一個公司有時間或資源這樣做。為了幫助解決這個問題，NFR已經與L0pht Heavy Instries(www.l0pht.com)合作來產生攻擊簽名集。L0pht提供了300多個簽名，並且還將提供另外數百個簽名。不過這次我們只能測試其中的一小部分。這次測試的簽名工作得很好，但是RealSecure和NetRanger有大得多的攻擊簽名集。只有NFR發布了完整的簽名集以後，IDA才會成為一個真正強有力的產品。

NFR是一個非常有用的網路監視和報告工具：除了入侵檢測外，NFR還允許用戶收集通過網路的Telnet、Ftp和Web數據。這個功能看似不起眼，但它對於那些想擁有這類集中化信息（尤其是當跨越多個平台時）的用戶來講卻非常有用。

11.CyberSafe公司的Centrax 2.2

同Axent和ISS一樣，CyberSafe正向集成化的基於主機和基於網路的入侵檢測方向發展。其Centrax提供了三種類型的客戶端：一個批處理器、一個實時主機檢查器和一個實時網路檢查器。一旦用戶搞清楚了哪一個組件是完成什麼功能的，就會發現這個產品用起來相當容易。

Centrax使用感測器/控制台方法，工作方式與RealSecure 的管理台類似。與Axent的產品不同的是，Centrax能夠無縫地集成到主管理控制台中。管理部署的感測器制定一個模板策略，然後將它「推」給適當的感測器。修改和更新所有遠程機器上的策略極其容易，只需簡單地選擇它們並且「應用（apply）」一個預先定義的策略即可。

對Centrax的管理台有兩點不滿意。第一，用戶無法清除報警。第二，對報警進行分類處理很困難。當四五十個報警同時出現時，無法對它們進行分類控制，這會很快使管理員陷入困境。

以基於主機的方式進行檢測時，Centrax從NT事件日誌中提取絕大部分數據。Centrax相當棒的地方是它能夠進行大范圍的主機內容檢查，包括失敗的登錄、修改的系統文件和注冊設置等。

然而，Centrax基於網路的檢測功能要弱得多。Centrax網路感測器預先定義的攻擊簽名只有約50個。雖然它具有良好的入侵檢測結構，但是極弱的簽名庫影響了它准確檢測基於網路的攻擊的能力。對於基於NT主機的監視，Centrax 現在表現得不是很令人滿意。

12.中科網威的「天眼」入侵檢測系統

中科網威信息技術有限公司的「天眼」入侵檢測系統、「火眼」網路安全漏洞檢測系統是國內少有的幾個入侵檢測系統之一。它根據國內網路的特殊情況，由中國科學院網路安全關鍵技術研究組經過多年研究，綜合運用了多種檢測系統成果制研成功的。它根據系統的安全策略作出反映，實現了對非法入侵的定時報警、記錄事件，方便取證，自動阻斷通信連接，重置路由器、防火牆，同時及時發現並及時提出解決方案，它可列出可參考的全熱鏈接網路和系統中易被黑客利用和可能被黑客利用的薄弱環節，防範黑客攻擊。該系統的總體技術水平達到了「國際先進水平」（1998年的關鍵技術「中國科學院若干網路安全」項目成果鑒定會結論）。

13.啟明星辰的SkyBell(天闐)

啟明星辰公司的黑客入侵檢測與預警系統，集成了網監聽監控、實時協議分析、入侵行為分析及詳細日誌審計跟蹤等功能。對黑客入侵能進行全方位的檢測，准確地判斷上述黑客攻擊方式，及時地進行報警或阻斷等其它措施。它可以在Internet和Intranet兩種環境中運行，以保護企業整個網路的安全。

該系統主要包括兩部分：探測器和控制器。

探測器能監視網路上流過的所有數據包，根據用戶定義的條件進行檢測，識別出網路中正在進行的攻擊。實時檢測到入侵信息並向控制器管理控制台發出告警，由控制台給出定位顯示，從而將入侵者從網路中清除出去。探測器能夠監測所有類型的TCP/IP網路，強大的檢測功能，為用戶提供了最為全面、有效的入侵檢測能力。

③ 想下載個掃描漏洞的系統哪個好

參數對比 啟明星辰天境漏洞掃描系統便攜版 綠盟ICEYE-1200P-03 [北京 無貨 2008-03-13] ￥120 參考價格 ￥75.24萬 [北京] 啟明星辰 品牌 綠盟科技 中文 語言版本 中文 無 版本號 無 便攜版 版本類型 無類型區分 CPU：不低於PIII 500，內存：256MB以上 適用硬體環境 ICEYE-1200P-03型，2U硬體平台，兩個1000M介面模塊插槽，一個管理口，支持一路IPS加一路IDS或三路IDS Windows 9X/2000/2003/NT/XP、Sun Solaris、HP Unix、IBM AIX、IRIX、Linux、BSD等，MSSQL，ORACLE，SYBASE，DB2，MySQL資料庫 適用軟體環境 Windows 操作系統 天鏡脆弱性掃描與管理系統系統有單機版、便攜版、分布版三種類型，具備分布掃描、集中管理、綜合分析、多級控制功能。能夠跨地域對多個網路同時進行漏洞掃描，並能夠集中管理、配置各掃描引擎，將掃描結果集中分析，同時提供詳細的系統脆弱性修補方案。 系統簡介 天鏡脆弱性掃描與管理系統是啟明星辰信息技術有限公司自主研發的基於網路的安全性能評估分析系統,它採用實踐性的方法掃描分析網路系統，綜合檢測網路系統中存在的弱點和漏洞，並以報表的方式提供給用戶，適時提出修補方法和安全實施策略，天鏡脆弱性掃描與管理系統內含基於國際標准建立的安全漏洞庫，並通過網路升級與國際最新標準保持同步。 功能特點 強大的掃描功能 採用模塊化的結構體系，有利於產品功能的擴展，同時採用了高頻掃描驅動，結合全面的掃描方法資料庫，對網路和系統進行全方位、高密度的掃描；多線程掃描和斷點掃描技術的引入更加提高了工作效率，節省了掃描時間，同時提高了產品應用的靈活性和伸縮性，適應各種規模的企業網路需要。 支持掃描的目標系統 主流操作系統：Windows 9X/2000/2003/NT/XP、Sun Solaris、HP Unix、IBM AIX、IRIX、Linux、BSD等。 網路設備：Cisco、3Com、Checkpoint FW等。 支持掃描的資料庫系統：MSSQL，ORACLE，SYBASE，DB2，MySQL。 完善而靈活的用戶管理功能 允許使用者分別以不同的用戶身份進行登錄使用，每個用戶所擁有的許可權不同，從而維護系統的使用安全性和用戶之間的保密性。 自由定製掃描策略 針對網路應用，按照國際劃分慣例內置定時掃描，漸進式分級掃描等多種掃描策略，並提供了自定義策略的功能，讓用戶按需求定製策略，進行掃描。 詳細靈活的掃描結果報告 系統中自帶了三種不同的報告模板，提供定製化報告，其模板管理功能，允許用戶按照關心的問題和所需的格式生成新的報告模板，為用戶分析系統安全提供更具針對性的依據。 詳盡的修補方案 天鏡能准確地掃描出系統或網路中存在的缺陷或漏洞，並針對每一個漏洞提出詳盡的修補方案。 快速方便的升級 用戶登錄到啟明星辰公司的網站上，下載相應的升級文件並執行，即可完成所有的升級工作。 詳細說明 冰之眼入侵檢測系統由網路探測器、SSL加密傳輸通道、中央控制台、日誌分析系統、SQL日誌資料庫系統及綠盟科技中央升級站點幾部分組成。 產品特性 入侵檢測系統最核心的要求就是准確地檢測入侵事件，並採取有效措施進行防護和干預。由於技術原因以及欺騙性攻擊技術的不斷發展，漏報和誤報一直是困擾入侵檢測領域的兩大難題。綠盟科技集中了業內最優秀的安全專家，在對各種攻擊手段進行充分的研究後，總結出一套行之有效的檢測手段，誤報率、漏報率均遠遠低於國內外同類產品，並得到了權威機構的評測認可。 覆蓋廣泛的攻擊特徵庫 冰之眼入侵檢測系統攜帶了超過1800條經過仔細檢測與時間考驗的攻擊特徵，由著名的NSFocus安全小組精心提煉而成。針對每個攻擊均附有詳細描述和解決辦法，對應NSFocus ID、CVE ID、Bugtraq ID，管理員直接點擊裡面的安全補丁URL連接可以直接將系統升級到最新版本，免除遭受第二波的攻擊。 IP碎片重組與TCP流匯聚 冰之眼入侵檢測系統具有完美的IP碎片重組與TCP流匯聚能力，能夠檢測到黑客採用任意分片方式進行的攻擊。 協議識別 冰之眼入侵檢測系統能夠准確識別超過100種的應用層協議、木馬、後門、P2P應用、IMS系統、網路在線游戲等。 協議分析 冰之眼入侵檢測系統深入分析了接近100種的應用層協議，包括HTTP、FTP、SMTP...... 攻擊結果判定 冰之眼入侵檢測系統能夠准確判斷包括掃描、溢出在內的絕大多數攻擊行為的最終結果。 協議異常檢測 冰之眼入侵檢測系統具備了強有力的協議異常分析引擎，能夠准確發現幾乎100%的未知溢出攻擊與0-day Exploit。 拒絕服務檢測 冰之眼入侵檢測系統採用綠盟科技的 Collapsar專利技術，能夠准確檢測SYN Flood、ICMP Flood、Connection Flood、Null Stream Flood等多種拒絕服務攻擊。配合綠盟科技的Collapsar產品，能夠進行有效的防禦保護

④ 比較基本網路和基於主機的入侵檢測系統的優缺點.

話劫持以及拒絕服務攻擊(DoS)都象瘟疫一般影響著無線區域網的安全。無線網路不但因為基於傳統有線網路TCP/IP架構而受到攻擊，還有可能受到基於電氣和電子工程師協會 (IEEE) 發行802.11標准本身的安全問題而受到威脅。為了更好的檢測和防禦這些潛在的威脅，無線區域網也使用了一種入侵檢測系統(IDS)來解決這個問題。以至於沒有配置入侵檢測系統的組織機構也開始考慮配置IDS的解決方案。這篇文章將為你講述，為什麼需要無線入侵檢測系統，無線入侵檢測系統的優缺點等問題。

來自無線區域網的安全

無線區域網容易受到各種各樣的威脅。象802.11標準的加密方法和有線
對等保密（Wired Equivalent Privacy）都很脆弱。在"Weaknesses in the Key Scheling Algorithm of RC-4" 文檔里就說明了WEP key能在傳輸中通過暴力破解攻擊。即使WEP加密被用於無線區域網中，黑客也能通過解密得到關鍵數據。

黑客通過欺騙（rogue）WAP得到關鍵數據。無線區域網的用戶在不知情的情況下，以為自己通過很好的信號連入無線區域網，卻不知已遭到黑客的監聽了。隨著低成本和易於配置造成了現在的無線區域網的流行，許多用戶也可以在自己的傳統區域網架設無線基站(WAPs)，隨之而來的一些用戶在網路上安裝的後門程序，也造成了對黑客開放的不利環境。這正是沒有配置入侵檢測系統的組織機構開始考慮配置IDS的解決方案的原因。或許架設無線基站的傳統區域網用戶也同樣面臨著遭到黑客的監聽的威脅。

基於802.11標準的網路還有可能遭到拒絕服務攻擊(DoS)的威脅，從而使得無線區域網難於工作。無線通訊由於受到一些物理上的威脅會造成信號衰減，這些威脅包括：樹，建築物，雷雨和山峰等破壞無線通訊的物體。象微波爐，無線電話也可能威脅基於802.11標準的無線網路。黑客通過無線基站發起的惡意的拒絕服務攻擊(DoS)會造成系統重起。另外，黑客還能通過上文提到的欺騙WAP發送非法請求來干擾正常用戶使用無線區域網。

另外一種威脅無線區域網的是ever-increasing pace。這種威脅確實存在，並可能導致大范圍地破壞，這也正是讓802.11標准越來越流行的原因。對於這種攻擊，現在暫時還沒有好的防禦方法，但我們會在將來提出一個更好的解決方案。

入侵檢測

入侵檢測系統(IDS)通過分析網路中的傳輸數據來判斷破壞系統和入侵事件。傳統的入侵檢測系統僅能檢測和對破壞系統作出反應。如今，入侵檢測系統已用於無線區域網，來監視分析用戶的活動，判斷入侵事件的類型，檢測非法的網路行為，對異常的網路流量進行報警。

無線入侵檢測系統同傳統的入侵檢測系統類似。但無線入侵檢測系統加入了一些無線區域網的檢測和對破壞系統反應的特性。

無線入侵檢測系統可以通過提供商來購買，為了發揮無線入侵檢測系統的優良的性能，他們同時還提供無線入侵檢測系統的解決方案。如今，在市面上的流行的無線入侵檢測系統是Airdefense RogueWatch 和Airdefense Guard。象一些無線入侵檢測系統也得到了Linux 系統的支持。例如：自由軟體開放源代碼組織的Snort-Wireless 和WIDZ 。

架構

無線入侵檢測系統用於集中式和分散式兩種。集中式無線入侵檢測系統通常用於連接單獨的sensors ，搜集數據並轉發到存儲和處理數據的中央系統中。分散式無線入侵檢測系統通常包括多種設備來完成IDS的處理和報告功能。分散式無線入侵檢測系統比較適合較小規模的無線區域網，因為它價格便宜和易於管理。當過多的sensors需要時有著數據處理sensors花費將被禁用。所以，多線程的處理和報告的sensors管理比集中式無線入侵檢測系統花費更多的時間。

無線區域網通常被配置在一個相對大的場所。象這種情況，為了更好的接收信號，需要配置多個無線基站(WAPs)，在無線基站的位置上部署sensors，這樣會提高信號的覆蓋范圍。由於這種物理架構，大多數的黑客行為將被檢測到。另外的好處就是加強了同無線基站(WAPs)的距離，從而，能更好地定位黑客的詳細地理位置。

物理回應

物理定位是無線入侵檢測系統的一個重要的部分。針對802.11 的攻擊經常在接近下很快地執行，因此對攻擊的回應就是必然的了,象一些入侵檢測系統的一些行為封鎖非法的IP。就需要部署找出入侵者的IP,而且,一定要及時。不同於傳統的區域網，黑客可以攻擊的遠程網路,無線區域網的入侵者就在本地。通過無線入侵檢測系統就可以估算出入侵者的物理地址。通過802.11的sensor 數據分析找出受害者的,就可以更容易定位入侵者的地址。一旦確定攻擊者的目標縮小，特別反映小組就拿出Kismet或Airopeek根據入侵檢測系統提供的線索來迅速找出入侵者,

策略執行

無線入侵檢測系統不但能找出入侵者,它還能加強策略。通過使用強有力的策略,會使無線區域網更安全。

威脅檢測

無線入侵檢測系統不但能檢測出攻擊者的行為，還能檢測到rogue WAPS，識別出未加密的802.11標準的數據流量。

為了更好的發現潛在的 WAP 目標，黑客通常使用掃描軟體。Netstumbler 和Kismet這樣的軟體來。使用全球衛星定位系統（Global Positioning System ）來記錄他們的地理位置。這些工具正因為許多網站對WAP的地理支持而變的流行起來。

比探測掃描更嚴重的是，無線入侵檢測系統檢測到的DoS攻擊，DoS攻擊在網路上非常普遍。DoS攻擊都是因為建築物阻擋造成信號衰減而發生的。黑客也喜歡對無線區域網進行DoS攻擊。無線入侵檢測系統能檢測黑客的這種行為。象偽造合法用戶進行泛洪攻擊等。

除了上文的介紹，還有無線入侵檢測系統還能檢測到MAC地址欺騙。它是通過一種順序分析，找出那些偽裝WAP 的無線上網用戶。

無線入侵檢測系統的缺陷

雖然無線入侵檢測系統有很多優點，但缺陷也是同時存在的。因為無線入侵檢測系統畢竟是一門新技術。每個新技術在剛應用時都有一些bug，無線入侵檢測系統或許也存在著這樣的問題。隨著無線入侵檢測系統的飛速發展，關於這個問題也會慢慢解決。

結論

無線入侵檢測系統未來將會成為無線區域網中的一個重要的部分。雖然無線入侵檢測系統存在著一些缺陷，但總體上優大於劣。無線入侵檢測系統能檢測到的掃描，DoS攻擊和其他的802.11的攻擊，再加上強有力的安全策略，可以基本滿足一個無線區域網的安全問題。隨著無線區域網的快速發展，對無線區域網的攻擊也越來越多，需要一個這樣的系統也是非常必要的。