网络入侵检测系统哪个好

① 入侵检测系统IDS是什么，入侵检测系统的原理是什么

入侵检测系统(IDS)是对网络传输进行实时监控的一种安全保障。不同于传统的网络安全设备，当检测到外星入侵者时，会立即报警并采取积极的应对措施。而且他内置了入侵知识库，对网络上的流量特征进行收集和分析，一旦在高合规或者大流量的情况下，会立即预警或者反击。

一、入侵检测系统的工作

入侵检测系统简称IDS。IDS主要分为两部分:检测引擎和控制中心。检测引擎用于分析和读取数据。当控制中心接收到一个来自伊宁的数据时，会对数据进行过滤，进行检测分析，如果有威胁会立即报警。一些正常用户的异常检测行为，偏离了正常的活动规律，也会被视为攻击企图，会立即产生状态信号。IDS就像是对金库的监控。一旦有人准备入侵监控，或者在门前做了什么，就会被自己的控制中心检测到。

以上就是有关于入侵检测系统IDS是什么，入侵检测系统的原理是什么？的相关回答了，你了解了吗

② 各怀绝技主流入侵检测产品大比较

1.Cisco公司的NetRanger

1996年3月，WheelGroup基于多年的业界经验推出了NetRanger。产品分为两部分：监测网络包和发告警的传感器(9000美元)，以及接收并分析告警和启动对策的控制器(1万美元)。

另外，至少还需要一台奔腾PC来跑传感器程序以及一台Sun SparcStation通过OpenView或NetView来跑控制器程洞冲租序。两者都运行Sun的Solaris。在软硬件平台中，传感器上可能要花费1.3万美元，控制器上要花费2.5万美元。

NetRanger以其高性能而闻名，而且它还非常易于裁剪。控制器程序可以综合多站点的信息并监视散布在整个企业网上的攻击。NetRanger的名声在于其是针对企业而设计的。这种名声的标志之一是其分销渠道，EDS、Perot Systems、IBM Global Services都是其分销商。

NetRanger在全球广域网上运行很成功。例如，它有一个路径备份(Path-doubling)功能。如果一条路径断掉了，信息可以从备份路径上传过来。它甚至能做到从一个点上监测或把监测权转给第三方。

NetRanger的另一个强项是其在检测问题时不仅观察单个包的内容，而且还看上下文，即从多个包中得到线索。这是很重要的一点，因为入侵者可能以字符模式存取一个端口，然后在每个包中只放一个字符。如果一个监测器只观察单个包，它就永远不会发现完整的信息。

按照GartnerGroup公司的研究专纳兆家Jude O'Reilley的说法，NetRanger是目前市场上基于网络的入侵检测软件中经受实判迹践考验最多的产品之一。

但是，对于某些用户来讲，NetRanger的强项也可能正好是其不足。它被设计为集成在OpenView或NetView下，在网络运行中心(NOC)使用，其配置需要对Unix有详细的了解。NetRanger相对较昂贵，这对于一般的局域网来讲未必很适合。

2.Network Associates公司的CyberCop

Network Associates 公司是1977年由以做Sniffer类探测器闻名的Network General公司与以做反病毒产品为专业的 McAfee Associates公司合并而成的。NetWork Associates从Cisco那里取得授权，将NetRanger的引擎和攻击模式数据库用在CyberCop中。

CyberCop基本上可以认为是NetRanger的局域网管理员版。这些局域网管理员正是NetWork Associates的主要客户群。其软件价格比NetRanger还贵:传感器为9000美元，服务器上的控制器为15000美元。但其平台却可以是运行Solaris 2.5.1的Dell PC(通常CyberCop是预装在里面的)。跑传感器的平台一般要3000美元，控制器的平台要5000美元。

另外，CyberCop被设计成一个网络应用程序，一般在20分钟内就可以安装完毕。它预设了6种通常的配置模式:Windows NT和Unix的混合子网、Unix子网、NT子网、远程访问、前沿网(如Internet的接入系统)和骨干网。它没有Netware的配置。

前端设计成浏览器方式主要是考虑易于使用，发挥Network General在提炼包数据上的经验，用户使用时也易于查看和理解。像在Sniffer中一样，它在帮助文档里结合了专家知识。CyberCop还能生成可以被 Sniffer识别的踪迹文件。与NetRanger相比，CyberCop缺乏一些企业应用的特征，如路径备份功能等。

按照CyberCop产品经理Katherine Stolz的说法，Network Associates公司在安全领域将有一系列的举措和合作。"我们定位在大规模的安全上，我们将成为整体解决方案的提供者。"

3.Internet Security System公司的RealSecure

按照GartnerGroup的O'Reilley的说法，RealSecure的优势在于其简洁性和低价格。与NetRanger和CyberCop类似，RealSecure在结构上也是两部分。引擎部分负责监测信息包并生成告警，控制台接收报警并作为配置及产生数据库报告的中心点。两部分都可以在NT、Solaris、SunOS和Linux上运行，并可以在混合的操作系统或匹配的操作系统环境下使用。它们都能在商用微机上运行。

对于一个小型的系统，将引擎和控制台放在同一台机器上运行是可以的，但这对于NetRanger或CyberCop却不行。RealSecure的引擎价值1万美元，控制台是免费的。一个引擎可以向多个控制台报告，一个控制台也可以管理多个引擎。

RealSecure可以对CheckPoint Software的FireWall-1重新进行配置。根据入侵检测技术经理Mark Wood的说法，ISS还计划使其能对Cisco的路由器进行重新配置，同时也正开发OpenView下的应用。

4.Intrusion Detection公司的Kane Security Monitor

基于主机的Kane Security Monitor(KSM) for NT是1997年9月推出的。它在结构上由三部分组成，即一个审计器、一个控制台和代理。代理用来浏览NT的日志并将统计结果送往审计器。系统安全员用控制台的GUI界面来接收告警、查看历史记录以及系统的实时行为。KSM对每个被保护的服务器报价1495美元(包括审计器和控制台)，在此基础上每个工作站代理报价295美元。

按照位于加州Playa Del Rey以安全技术见长的Miora Systems Consulting公司的资深咨询专家David Brussin的看法，KSM在TCP/IP监测方面特别强。但他也提到，Intrusion Detection的产品不是为较快的广域网设计的。

公司的奠基人兼总裁Robert Kane说，Intrusion Detection在本季度将推出在OpenView下的应用，随后在年底将推出与Tivoli Management Environment(TME)的集成。将来，Intrusion Detection还计划支持Unix、微软的BackOffice和Novell的Netware。

5.Axent Technologies公司的OmniGuard/Intruder Alert

与KSM的审计器、控制台、代理所对应的OmniGuard/Intruder Alert(ITA)在结构上的三个组成部分为一个管理器(1995美元)、控制台(免费)和代理(每个服务器为995美元，每个工作站为95美元)。

ITA比Intrusion Detection的KSM提供了更广泛的平台支持。它的管理器和代理能在Windows NT、95、3.1和Netware 3.x、4.x上运行，所有的部分在多种Unix下都能运行，如Solaris、SunOS、IBM AIX、HP-UX以及DEC的Unix。

可以根据一些解决方案来剪裁ITA，这些解决方案可来自主流的操作系统、防火墙厂商、Web服务器厂商、数据库应用以及路由器制造商。Axent在2月份兼并了防火墙厂商Raptor，并将增强ITA，使其能对Raptor的防火墙进行重配置。

6.Computer Associates公司的SessionWall-3/eTrust Intrusion Detection

SessionWall-3/eTrust Intrusion Detection可以通过降低对网络管理技能和时间的要求，在确保网络的连接性能的前提下，大大提高网络的安全性。SessionWall-3/eTrust Intrusion Detection可以完全自动地识别网络使用模式，特殊网络应用，并能够识别各种基于网络的各种入侵、攻击和滥用活动。另外，SessionWall-3/eTrust Intrusion Detection还可以将网络上发生的各种有关生产应用、网络安全和公司策略方面的众多疑点提取出来。

SessionWall-3/eTrust Intrusion Detection是作为一种独立或补充产品进行设计的，它的特点包括：

·世界水平的攻击监测引擎，可以实现对网络攻击的监测；
·丰富的URL控制表单，可以实现对200，000个以上分类站点的控制；
·世界水平对Java/ActiveX恶意小程序的监测引擎和病毒监测引擎；
·SessionWall-3/eTrust Intrusion Detection远程管理插件，用于没有安装SessionWall-3/eTrust Intrusion Detection的机器的SessionWall-3/eTrust Intrusion Detection记录文件的归档和查阅，以及SessionWall-3/eTrust Intrusion Detection报表的查阅。

SessionWall-3/eTrust Intrusion Detection的网络安全保护

SessionWall-3/eTrust Intrusion Detection屡获殊荣，是面的网络安全管理软件。

SessionWall-3/eTrust Intrusion Detection的特点包括：

·提供从先进的网络统计到特定用户使用情况的统计的全面网络应用报表；
·网络安全功能包括内容扫描、入侵监测、阻塞、报警和记录。
·Web和内部网络使用策略的监视和控制，对Web和公司内部网络访问策略实施监视和强制实施；
·公司保护（Company preservation），或称诉讼保护，即对电子邮件的内容进行监视，记录、查看和存档；

SessionWall-3/eTrust Intrusion Detection还包括用于WEB访问的策略集（用于监视/阻塞/报警）和用于入侵监测的策略集（用于攻击监测、恶意小程序和恶意电子邮件）。这些策略集包含了SessionWall-3/eTrust Intrusion Detection对所有通信进行扫描的策略，这些策略不仅指定了扫描的模式、通信协议、寻址方式、网络域、URL以及扫描内容，还指定了相应的处理动作。一旦安装了SessionWall-3/eTrust Intrusion Detection，它将立即投入对入侵企图和可疑网络活动的监视，并对所有电子邮件、WEB浏览、新闻、Telnet和FTP活动进行记录。

SessionWall-3/eTrust Intrusion Detection还可以很方便地追加新规则，或利用菜单驱动选项对现有规则进行修改。

SessionWall-3/eTrust Intrusion Detection可以满足各种网络保护需求，它的主要应用对象包括审计人员、安全咨询人员、执法监督机构、金融机构、中小型商务机构、大型企业、ISP、教育机构和政府机构等。

SessionWall-3/eTrust Intrusion Detection的功能

SessionWall-3/eTrust Intrusion Detection是一种功能全面且使用方便的网络保护解决方案，它克服了网络保护中的主要业务障碍，其采用的主要手段包括：

·程度地降低用户技能和资源需求；
·提供一种经济的和可扩展的解决方案；
·提供管理报表；
·提供灵活易用的工具。

从操作的角度讲，SessionWall-3/eTrust Intrusion Detection去除了某些网络保护解决方案在安装和操作的麻烦。实际上，SessionWall-3/eTrust Intrusion Detection可以提供许多人们所期望网络内在特性，而这些特性在过去是必需借助多种工具并通过复杂的分析之后才能够得到的。为了达到这一目的，SessionWall-3/eTrust Intrusion Detection采用了如下措施：

·即插即用安装（自动配置）；
·易用的图形用户界面；
·登录网络活动的在线查阅；
·实时统计和图形显示；
·全面的"追根溯源（drill down）"报表；
·联机查询和定时报表；
·易于更新的监视、阻塞和报警规则；
·综合的响应和报警集合，包括实时干涉，预定义阻塞规则、第三方应用启动响应接口、以及不同的信息发送方式。
·用于监视和阻塞的全面URL站点分类和控制列表。
·支持WEB自速率系统（RSACi）。
·先进的可疑小程序监测（例如，Java/ActiveX引擎）。
·综合病毒扫描引擎和病毒库。
·完整的格式化内容和附件浏览器。
·电子文字模式内容的扫描和阻塞；
·菜单驱动的自动地址解析。
·特殊的保密特性，可以对控制访问权限提供登录和管理的访问控制。

SessionWall-3/eTrust Intrusion Detection的特点

SessionWall-3/eTrust Intrusion Detection与大多数网络保护产品不同，后者是生硬地安插在网络通信路径中的，而前者则是完全透明的，它不需要对网络和地址做任何的变化，也不会给独立于平台的网络带来任何的传输延迟。

SessionWall-3/eTrust Intrusion Detection可全面满足你的需要！

SessionWall-3/eTrust Intrusion Detection代表了最新一代Internet和Intranet网络保护产品，它具备前所未有的访问控制水平、用户的透明度、性能、灵活性、适应性和易用性。SessionWall-3/eTrust Intrusion Detection无需使用昂贵的UNIX主机，也避免了因非路由防火墙所造成的额外开销。另外，SessionWall-3/eTrust Intrusion Detection还包括一个会话视窗，可以用于网络入侵的监视、审计，并可以为电子通信的滥用现象提供充分的证据。

技术规范

·操作系统：Windows 95（OSR 2）， Windows 98或Windows NT 4.0（SP3以上）以上版本；
·系统平台：Intel Pentium 100MHz以上；
·内存：64MB RAM
·磁盘空间：200MB可用空间
·网络接口：标准以太网/令牌环网/FDDI
·软件介质：CD-ROM

7.Trusted Information System公司的Stalkers

由Haystack Labs于1993年推出的Stalker是一个基于主机的监测器，它能用于NT以及多种版本的Unix，包括Solaris、AIX、HP-UX和SCO的 UnixWare。2.1版的管理器价格为9995美元，每个代理为695美元。

Haystack Labs在1996年6月推出了WebStalker Pro，其操作系统运行平台和Stalker是一样的，但其使用对象是Web服务器。它在Unix下的报价是4995美元，在NT下的报价是2995美元。Sun的Netra Web服务器在销售时就带有一个WebStalker的专门版。IBM Global Services也销售WebStalker。

开发基于NT防火墙产品Gauntlet的Trusted Information System公司于1997年10月收购了Haystack。于1997年12月宣布了只在NT下运行且为微软的Proxy Server 2.0设计的监测器——ProxyStalker。ProxyStalker计划于第一季度推出，其价格尚未宣布，但估计和Proxy Server应该是同等档次的产品，即少于1000美元。

所有三种Stalker产品都可以对防火墙产品Gauntlet重新配置，三种产品也都可以在发现入侵的同时消灭入侵。例如，WebStalker Pro可以终止一个登录或一个进程，它也可以重启一个Web服务器。Stalker家族也能与TME集成在一起。

8.Network Security Wizards公司的Dragon IDS

Network Security Wizards是一家新进入IDS市场的公司。尽管它的产品Dragon现在还没有多少名气，但它在表现极好。它在检测到较多攻击。Dragon是一个非常原始的工具，建议不熟悉UNIX系统的用户不要使用。但如果用户十分在意入侵检测的健壮性并且对易于使用要求不高的话， Dragon还是一个很不错的选择。

Dragon通过命令行方式来执行，只有非常简单的基于Web 的报告工具。除了NFR外，NSW是一个将真正的代码放在攻击签名中的产品。签名文件是一个简单的文本文件，使用一个非常简单的指令集建立。指令集的简单性也允许 Dragon的用户很方便地定制和产生他们自己的攻击签名。Dragon的攻击行为表示方法没有NFR的n-code灵活，但它同样能够达到目的。通过使用一个基本的参数定义集合，用户可以定义要搜索的端口、协议、样本大小、字符串等。

不幸的是，Dragon在易于使用和事件可管理性方面完全失败。Dragon没有提供中央控制台或任何类型的GUI管理工具，它产生的数据冗长而又复杂，很不容易看懂。Dragon的成熟还需要一个过程。

Dragon能够处理碎片重组。它不仅能够无错地重组碎片，而且即使当网络占用率达70～80％时仍然性能不减。NSW 声称它在Dragon中部署了许多功能盒，这些功能盒能够以130Mbps的速率运行。如果想要一个简单而又强大的入侵检测功能并且要求易于增加或修改攻击签名的话，那么Dragon是很好的选择。

9.Network Ice公司的BlackIce Defender and Enterprise Icepac 1.0

Network Ice公司的BlackIce Defender是将基于主机和基于网络的检测技术结合起来并用于Windows系统的产品。在安装BlackIce时，没有留下特别的印象：管理接口相当麻烦，配置选择也不是很多。然而BalckIce执行起来非常好，能够进行碎片重组。

BlackIce能够检测较多攻击并且当网络负载很饱和时仍然能够胜任。该公司声称提供了200多个攻击签名，BlackIce要比许多其他基于网络的入侵检测产品表现的好。

但BlackIce的报告机制还不太令人满意。基于Web的工具难于使用，通信未加密就通过HTTP在线路上进行传输，而RealSecure和Dragon对所有从传感器到控制台的通信都进行加密。

BlackIce还提供一个被称为Black Track的服务，这对于一些企业是十分有用的，但它对于想隐蔽地进行入侵检测的用户来讲很不适用。Black Trace 通过发起NetBIOS和DNS反向查询来收集敌对主机信息。幸运的是，与NetProwler不一样，BlackIce允许用户自己禁止这些查询。

BlackIce的一个有趣特性是它可以作为一个个人IDS和防火墙的组合方案。BlackIce能关闭它检测到产生敌意操作的所有网络。

那些想保证自己的移动用户安全的公司可能对BlackIce 特别感兴趣。它的个人防火墙特性可以允许网络管理员扩展一些更高级别的安全保护。而它的价格只有大约40美元，是相当物有所值的产品。
10.NFR公司的Intrusion Detection Appliance 4.0

NFR是提出开放源代码概念的IDS厂商，这是它能够不断普及的最重要原因。NFR通过NFR“研究版”免费发布它早期版本的源代码，尽管正式版与研究版相比进行了许多修改，但是后者仍然能提供一个完整的IDS方案。

在IDA 4.0中，NFR已经解决了它在管理工具和签名设置方面的种种不足。程序采用一个基于Win32的GUI管理工具来取代原来基于Java的工具，因为基于Java的管理工具由于浏览器的Java实现不连续会经常崩溃。新的管理GUI为管理员提供了一个简单的方法来配置和监视部署的NFR传感器，但事件清除仍然是一件费力的事情。

管理员只能得到单行的攻击描述，对攻击数据进行翻页操作非常麻烦。如果用户对常用攻击方式的表达不是很熟悉的话，就不得不经常需要参考手册的帮助。

另一个问题是NFR一直缺乏一个可靠的签名集。虽然通过使用NFR内置的过滤脚本n-code，用户可以编写自己的签名，然而很少有哪一个公司有时间或资源这样做。为了帮助解决这个问题，NFR已经与L0pht Heavy Instries(www.l0pht.com)合作来产生攻击签名集。L0pht提供了300多个签名，并且还将提供另外数百个签名。不过这次我们只能测试其中的一小部分。这次测试的签名工作得很好，但是RealSecure和NetRanger有大得多的攻击签名集。只有NFR发布了完整的签名集以后，IDA才会成为一个真正强有力的产品。

NFR是一个非常有用的网络监视和报告工具：除了入侵检测外，NFR还允许用户收集通过网络的Telnet、Ftp和Web数据。这个功能看似不起眼，但它对于那些想拥有这类集中化信息（尤其是当跨越多个平台时）的用户来讲却非常有用。

11.CyberSafe公司的Centrax 2.2

同Axent和ISS一样，CyberSafe正向集成化的基于主机和基于网络的入侵检测方向发展。其Centrax提供了三种类型的客户端：一个批处理器、一个实时主机检查器和一个实时网络检查器。一旦用户搞清楚了哪一个组件是完成什么功能的，就会发现这个产品用起来相当容易。

Centrax使用传感器/控制台方法，工作方式与RealSecure 的管理台类似。与Axent的产品不同的是，Centrax能够无缝地集成到主管理控制台中。管理部署的传感器制定一个模板策略，然后将它“推”给适当的传感器。修改和更新所有远程机器上的策略极其容易，只需简单地选择它们并且“应用（apply）”一个预先定义的策略即可。

对Centrax的管理台有两点不满意。第一，用户无法清除报警。第二，对报警进行分类处理很困难。当四五十个报警同时出现时，无法对它们进行分类控制，这会很快使管理员陷入困境。

以基于主机的方式进行检测时，Centrax从NT事件日志中提取绝大部分数据。Centrax相当棒的地方是它能够进行大范围的主机内容检查，包括失败的登录、修改的系统文件和注册设置等。

然而，Centrax基于网络的检测功能要弱得多。Centrax网络传感器预先定义的攻击签名只有约50个。虽然它具有良好的入侵检测结构，但是极弱的签名库影响了它准确检测基于网络的攻击的能力。对于基于NT主机的监视，Centrax 现在表现得不是很令人满意。

12.中科网威的“天眼”入侵检测系统

中科网威信息技术有限公司的“天眼”入侵检测系统、“火眼”网络安全漏洞检测系统是国内少有的几个入侵检测系统之一。它根据国内网络的特殊情况，由中国科学院网络安全关键技术研究组经过多年研究，综合运用了多种检测系统成果制研成功的。它根据系统的安全策略作出反映，实现了对非法入侵的定时报警、记录事件，方便取证，自动阻断通信连接，重置路由器、防火墙，同时及时发现并及时提出解决方案，它可列出可参考的全热链接网络和系统中易被黑客利用和可能被黑客利用的薄弱环节，防范黑客攻击。该系统的总体技术水平达到了“国际先进水平”（1998年的关键技术“中国科学院若干网络安全”项目成果鉴定会结论）。

13.启明星辰的SkyBell(天阗)

启明星辰公司的黑客入侵检测与预警系统，集成了网监听监控、实时协议分析、入侵行为分析及详细日志审计跟踪等功能。对黑客入侵能进行全方位的检测，准确地判断上述黑客攻击方式，及时地进行报警或阻断等其它措施。它可以在Internet和Intranet两种环境中运行，以保护企业整个网络的安全。

该系统主要包括两部分：探测器和控制器。

探测器能监视网络上流过的所有数据包，根据用户定义的条件进行检测，识别出网络中正在进行的攻击。实时检测到入侵信息并向控制器管理控制台发出告警，由控制台给出定位显示，从而将入侵者从网络中清除出去。探测器能够监测所有类型的TCP/IP网络，强大的检测功能，为用户提供了最为全面、有效的入侵检测能力。

③ 想下载个扫描漏洞的系统哪个好

参数对比 启明星辰天境漏洞扫描系统便携版 绿盟ICEYE-1200P-03 [北京 无货 2008-03-13] ￥120 参考价格 ￥75.24万 [北京] 启明星辰 品牌 绿盟科技 中文 语言版本 中文 无 版本号 无 便携版 版本类型 无类型区分 CPU：不低于PIII 500，内存：256MB以上 适用硬件环境 ICEYE-1200P-03型，2U硬件平台，两个1000M接口模块插槽，一个管理口，支持一路IPS加一路IDS或三路IDS Windows 9X/2000/2003/NT/XP、Sun Solaris、HP Unix、IBM AIX、IRIX、Linux、BSD等，MSSQL，ORACLE，SYBASE，DB2，MySQL数据库 适用软件环境 Windows 操作系统 天镜脆弱性扫描与管理系统系统有单机版、便携版、分布版三种类型，具备分布扫描、集中管理、综合分析、多级控制功能。能够跨地域对多个网络同时进行漏洞扫描，并能够集中管理、配置各扫描引擎，将扫描结果集中分析，同时提供详细的系统脆弱性修补方案。 系统简介 天镜脆弱性扫描与管理系统是启明星辰信息技术有限公司自主研发的基于网络的安全性能评估分析系统,它采用实践性的方法扫描分析网络系统，综合检测网络系统中存在的弱点和漏洞，并以报表的方式提供给用户，适时提出修补方法和安全实施策略，天镜脆弱性扫描与管理系统内含基于国际标准建立的安全漏洞库，并通过网络升级与国际最新标准保持同步。 功能特点 强大的扫描功能 采用模块化的结构体系，有利于产品功能的扩展，同时采用了高频扫描驱动，结合全面的扫描方法数据库，对网络和系统进行全方位、高密度的扫描；多线程扫描和断点扫描技术的引入更加提高了工作效率，节省了扫描时间，同时提高了产品应用的灵活性和伸缩性，适应各种规模的企业网络需要。 支持扫描的目标系统 主流操作系统：Windows 9X/2000/2003/NT/XP、Sun Solaris、HP Unix、IBM AIX、IRIX、Linux、BSD等。 网络设备：Cisco、3Com、Checkpoint FW等。 支持扫描的数据库系统：MSSQL，ORACLE，SYBASE，DB2，MySQL。 完善而灵活的用户管理功能 允许使用者分别以不同的用户身份进行登录使用，每个用户所拥有的权限不同，从而维护系统的使用安全性和用户之间的保密性。 自由定制扫描策略 针对网络应用，按照国际划分惯例内置定时扫描，渐进式分级扫描等多种扫描策略，并提供了自定义策略的功能，让用户按需求定制策略，进行扫描。 详细灵活的扫描结果报告 系统中自带了三种不同的报告模板，提供定制化报告，其模板管理功能，允许用户按照关心的问题和所需的格式生成新的报告模板，为用户分析系统安全提供更具针对性的依据。 详尽的修补方案 天镜能准确地扫描出系统或网络中存在的缺陷或漏洞，并针对每一个漏洞提出详尽的修补方案。 快速方便的升级 用户登录到启明星辰公司的网站上，下载相应的升级文件并执行，即可完成所有的升级工作。 详细说明 冰之眼入侵检测系统由网络探测器、SSL加密传输通道、中央控制台、日志分析系统、SQL日志数据库系统及绿盟科技中央升级站点几部分组成。 产品特性 入侵检测系统最核心的要求就是准确地检测入侵事件，并采取有效措施进行防护和干预。由于技术原因以及欺骗性攻击技术的不断发展，漏报和误报一直是困扰入侵检测领域的两大难题。绿盟科技集中了业内最优秀的安全专家，在对各种攻击手段进行充分的研究后，总结出一套行之有效的检测手段，误报率、漏报率均远远低于国内外同类产品，并得到了权威机构的评测认可。 覆盖广泛的攻击特征库 冰之眼入侵检测系统携带了超过1800条经过仔细检测与时间考验的攻击特征，由着名的NSFocus安全小组精心提炼而成。针对每个攻击均附有详细描述和解决办法，对应NSFocus ID、CVE ID、Bugtraq ID，管理员直接点击里面的安全补丁URL连接可以直接将系统升级到最新版本，免除遭受第二波的攻击。 IP碎片重组与TCP流汇聚 冰之眼入侵检测系统具有完美的IP碎片重组与TCP流汇聚能力，能够检测到黑客采用任意分片方式进行的攻击。 协议识别 冰之眼入侵检测系统能够准确识别超过100种的应用层协议、木马、后门、P2P应用、IMS系统、网络在线游戏等。 协议分析 冰之眼入侵检测系统深入分析了接近100种的应用层协议，包括HTTP、FTP、SMTP...... 攻击结果判定 冰之眼入侵检测系统能够准确判断包括扫描、溢出在内的绝大多数攻击行为的最终结果。 协议异常检测 冰之眼入侵检测系统具备了强有力的协议异常分析引擎，能够准确发现几乎100%的未知溢出攻击与0-day Exploit。 拒绝服务检测 冰之眼入侵检测系统采用绿盟科技的 Collapsar专利技术，能够准确检测SYN Flood、ICMP Flood、Connection Flood、Null Stream Flood等多种拒绝服务攻击。配合绿盟科技的Collapsar产品，能够进行有效的防御保护

④ 比较基本网络和基于主机的入侵检测系统的优缺点.

话劫持以及拒绝服务攻击(DoS)都象瘟疫一般影响着无线局域网的安全。无线网络不但因为基于传统有线网络TCP/IP架构而受到攻击，还有可能受到基于电气和电子工程师协会 (IEEE) 发行802.11标准本身的安全问题而受到威胁。为了更好的检测和防御这些潜在的威胁，无线局域网也使用了一种入侵检测系统(IDS)来解决这个问题。以至于没有配置入侵检测系统的组织机构也开始考虑配置IDS的解决方案。这篇文章将为你讲述，为什么需要无线入侵检测系统，无线入侵检测系统的优缺点等问题。

来自无线局域网的安全

无线局域网容易受到各种各样的威胁。象802.11标准的加密方法和有线
对等保密（Wired Equivalent Privacy）都很脆弱。在"Weaknesses in the Key Scheling Algorithm of RC-4" 文档里就说明了WEP key能在传输中通过暴力破解攻击。即使WEP加密被用于无线局域网中，黑客也能通过解密得到关键数据。

黑客通过欺骗（rogue）WAP得到关键数据。无线局域网的用户在不知情的情况下，以为自己通过很好的信号连入无线局域网，却不知已遭到黑客的监听了。随着低成本和易于配置造成了现在的无线局域网的流行，许多用户也可以在自己的传统局域网架设无线基站(WAPs)，随之而来的一些用户在网络上安装的后门程序，也造成了对黑客开放的不利环境。这正是没有配置入侵检测系统的组织机构开始考虑配置IDS的解决方案的原因。或许架设无线基站的传统局域网用户也同样面临着遭到黑客的监听的威胁。

基于802.11标准的网络还有可能遭到拒绝服务攻击(DoS)的威胁，从而使得无线局域网难于工作。无线通讯由于受到一些物理上的威胁会造成信号衰减，这些威胁包括：树，建筑物，雷雨和山峰等破坏无线通讯的物体。象微波炉，无线电话也可能威胁基于802.11标准的无线网络。黑客通过无线基站发起的恶意的拒绝服务攻击(DoS)会造成系统重起。另外，黑客还能通过上文提到的欺骗WAP发送非法请求来干扰正常用户使用无线局域网。

另外一种威胁无线局域网的是ever-increasing pace。这种威胁确实存在，并可能导致大范围地破坏，这也正是让802.11标准越来越流行的原因。对于这种攻击，现在暂时还没有好的防御方法，但我们会在将来提出一个更好的解决方案。

入侵检测

入侵检测系统(IDS)通过分析网络中的传输数据来判断破坏系统和入侵事件。传统的入侵检测系统仅能检测和对破坏系统作出反应。如今，入侵检测系统已用于无线局域网，来监视分析用户的活动，判断入侵事件的类型，检测非法的网络行为，对异常的网络流量进行报警。

无线入侵检测系统同传统的入侵检测系统类似。但无线入侵检测系统加入了一些无线局域网的检测和对破坏系统反应的特性。

无线入侵检测系统可以通过提供商来购买，为了发挥无线入侵检测系统的优良的性能，他们同时还提供无线入侵检测系统的解决方案。如今，在市面上的流行的无线入侵检测系统是Airdefense RogueWatch 和Airdefense Guard。象一些无线入侵检测系统也得到了Linux 系统的支持。例如：自由软件开放源代码组织的Snort-Wireless 和WIDZ 。

架构

无线入侵检测系统用于集中式和分散式两种。集中式无线入侵检测系统通常用于连接单独的sensors ，搜集数据并转发到存储和处理数据的中央系统中。分散式无线入侵检测系统通常包括多种设备来完成IDS的处理和报告功能。分散式无线入侵检测系统比较适合较小规模的无线局域网，因为它价格便宜和易于管理。当过多的sensors需要时有着数据处理sensors花费将被禁用。所以，多线程的处理和报告的sensors管理比集中式无线入侵检测系统花费更多的时间。

无线局域网通常被配置在一个相对大的场所。象这种情况，为了更好的接收信号，需要配置多个无线基站(WAPs)，在无线基站的位置上部署sensors，这样会提高信号的覆盖范围。由于这种物理架构，大多数的黑客行为将被检测到。另外的好处就是加强了同无线基站(WAPs)的距离，从而，能更好地定位黑客的详细地理位置。

物理回应

物理定位是无线入侵检测系统的一个重要的部分。针对802.11 的攻击经常在接近下很快地执行，因此对攻击的回应就是必然的了,象一些入侵检测系统的一些行为封锁非法的IP。就需要部署找出入侵者的IP,而且,一定要及时。不同于传统的局域网，黑客可以攻击的远程网络,无线局域网的入侵者就在本地。通过无线入侵检测系统就可以估算出入侵者的物理地址。通过802.11的sensor 数据分析找出受害者的,就可以更容易定位入侵者的地址。一旦确定攻击者的目标缩小，特别反映小组就拿出Kismet或Airopeek根据入侵检测系统提供的线索来迅速找出入侵者,

策略执行

无线入侵检测系统不但能找出入侵者,它还能加强策略。通过使用强有力的策略,会使无线局域网更安全。

威胁检测

无线入侵检测系统不但能检测出攻击者的行为，还能检测到rogue WAPS，识别出未加密的802.11标准的数据流量。

为了更好的发现潜在的 WAP 目标，黑客通常使用扫描软件。Netstumbler 和Kismet这样的软件来。使用全球卫星定位系统（Global Positioning System ）来记录他们的地理位置。这些工具正因为许多网站对WAP的地理支持而变的流行起来。

比探测扫描更严重的是，无线入侵检测系统检测到的DoS攻击，DoS攻击在网络上非常普遍。DoS攻击都是因为建筑物阻挡造成信号衰减而发生的。黑客也喜欢对无线局域网进行DoS攻击。无线入侵检测系统能检测黑客的这种行为。象伪造合法用户进行泛洪攻击等。

除了上文的介绍，还有无线入侵检测系统还能检测到MAC地址欺骗。它是通过一种顺序分析，找出那些伪装WAP 的无线上网用户。

无线入侵检测系统的缺陷

虽然无线入侵检测系统有很多优点，但缺陷也是同时存在的。因为无线入侵检测系统毕竟是一门新技术。每个新技术在刚应用时都有一些bug，无线入侵检测系统或许也存在着这样的问题。随着无线入侵检测系统的飞速发展，关于这个问题也会慢慢解决。

结论

无线入侵检测系统未来将会成为无线局域网中的一个重要的部分。虽然无线入侵检测系统存在着一些缺陷，但总体上优大于劣。无线入侵检测系统能检测到的扫描，DoS攻击和其他的802.11的攻击，再加上强有力的安全策略，可以基本满足一个无线局域网的安全问题。随着无线局域网的快速发展，对无线局域网的攻击也越来越多，需要一个这样的系统也是非常必要的。