萨客嘶入侵检测系统 v1.0

软件介绍 系统简介 萨客嘶入侵检测系统是一种积极主动的网络安全防护工具，提供了对内部和外部攻击的实时保护，它通过对网络中所有传输的数据进行智能分析和检测，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象， 在网络系统受到危害之前拦截和阻止入侵。 萨客嘶入侵检测系统基于协议分析，采用了快速的多模式匹配算法，能对当前复杂高速的网络进行快速精确分析，在网络安全和网络性能方面提供全面和深入的数据依据，是企业、政府、学校等网络安全立体纵深、多层次防御的重要产品。 主要功能 入侵检测及防御功能 检测用户网络中存在的黑客入侵，网络资源滥用，蠕虫攻击，后门木马，ARP欺骗、拒绝服务攻击等各种威胁。同时可以根据策略配置主动切断危险行为，对目标网络进行保护。 行为审计功能 对网络中用户的行为进行审计记录，包括用户范围WEB网站，收发邮件，使用FTP传输文件，使用MSN、QQ等即时通讯软件等行为，帮助管理员发现潜在的网络威胁。同时对网络中的敏感行为进行审计。 流量统计功能 对网络流量进行实时显示和统计分析，帮助用户有效的发现网络资源滥用、蠕虫、拒绝服务攻击，确保用户网络正常使用。 策略自定义功能 高级用户可以根据自身网络情况，对检测规则进行定义，制定针对用户网络的高效策略，加强入侵检测系统的检测准确性。 警报响应功能 对警报事件进行及时响应，包括实时切断会话连接、记录日志。 IP碎片重组 利用碎片穿透技术突破防火墙和欺骗IDS已经成为黑客们常用的手段，萨客嘶入侵检测系统能够进行完全的IP碎片重组，发现所有的基于IP碎片的攻击。 TCP状态跟踪及流重组 通过对TCP协议状态的跟踪，能够完全避免因单包匹配造成的误报。Stick、Snot等黑客工具通过发送没有经过三次握手的TCP攻击报文触发大量的 IDS报警，但这些TCP报文并不会真正对目标机器产生实际的效果。（通常是被丢弃）此时IDS产生大量的警告就属于误报。处理不当可能造成IDS系统瘫痪。萨客嘶入侵检测系统完全模仿受保护的机器丢弃这些残缺报文，极大地减小了误报率。 采用类似于Telnet方式将攻击报文拆成一个个的小报文进行发送，可以逃避基于单包的IDS的检测。萨客嘶入侵检测系统采用流汇重组式检测该类攻击手段。