萨客嘶入侵检测系统

萨客嘶入侵检测系统软件简介：

萨客嘶入侵检测系统是一种积极主动的网络安全防护工具，提供了对内部和外部攻击的实时保护，它通过对网络中所有传输的数据进行智能分析和检测，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象，在网络系统受到危害之前拦截和阻止入侵。

萨客嘶入侵检测系统基于协议分析，采用了快速的多模式匹配算法，能对当前复杂高速的网络进行快速精确分析，在网络安全和网络性能方面提供全面和深入的数据依据，是企业、政府、学校等网络安全立体纵深、多层次防御的重要产品。

主要功能

入侵检测及防御功能

检测用户网络中存在的黑客入侵，网络资源滥用，蠕虫攻击，后门木马，ARP欺骗、拒绝服务攻击等各种威胁。同时可以根据策略配置主动切断危险行为，对目标网络进行保护。

行为审计功能

对网络中用户的行为进行审计记录，包括用户范围WEB网站，收发邮件，使用FTP传输文件，使用MSN、QQ等即时通讯软件等行为，帮助管理员发现潜在的网络威胁。同时对网络中的敏感行为进行审计。

流量统计功能

对网络流量进行实时显示和统计分析，帮助用户有效的发现网络资源滥用、蠕虫、拒绝服务攻击，确保用户网络正常使用。

策略自定义功能

高级用户可以根据自身网络情况，对检测规则进行定义，制定针对用户网络的高效策略，加强入侵检测系统的检测准确性。

警报响应功能

对警报事件进行及时响应，包括实时切断会话连接、记录日志。

IP碎片重组

利用碎片穿透技术突破防火墙和欺骗IDS已经成为黑客们常用的手段，萨客嘶入侵检测系统能够进行完全的IP碎片重组，发现所有的基于IP碎片的攻击。

TCP状态跟踪及流重组

通过对TCP协议状态的跟踪，能够完全避免因单包匹配造成的误报。Stick、Snot等黑客工具通过发送没有经过三次握手的TCP攻击报文触发大量的IDS报警，但这些TCP报文并不会真正对目标机器产生实际的效果。（通常是被丢弃）此时IDS产生大量的警告就属于误报。处理不当可能造成IDS系统瘫痪。萨客嘶入侵检测系统完全模仿受保护的机器丢弃这些残缺报文，极大地减小了误报率。

采用类似于Telnet方式将攻击报文拆成一个个的小报文进行发送，可以逃避基于单包的IDS的检测。萨客嘶入侵检测系统采用流汇重组式检测该类攻击手段

萨客嘶入侵检测系统的下载与安装：1）下载界面截图：

图1-1 2）安装向导，点击下一步：

图1-2 3）安装完成：

图1-3

4）打开软件，弹出注册界面，按要求进行注册：

图1-4 5）系统主界面，点击开始按钮对系统进行扫描：

图1-5

6）入侵检测系统统计信息摘要：

图1-6