1.Cisco公司的NetRanger
1996年3月,WheelGroup基于多年的業(yè)界經(jīng)驗推出了NetRanger。產(chǎn)品分為兩部分:監(jiān)測網(wǎng)絡(luò)包和發(fā)告警的傳感器(9000美元),以及接收并分析告警和啟動對策的控制器(1萬美元)。
另外,至少還需要一臺奔騰PC來跑傳感器程序以及一臺Sun SparcStation通過OpenView或NetView來跑控制器程序。兩者都運行Sun的Solaris。在軟硬件平臺中,傳感器上可能要花費1.3萬美元,控制器上要花費2.5萬美元。
NetRanger以其高性能而聞名,而且它還非常易于裁剪。控制器程序可以綜合多站點的信息并監(jiān)視散布在整個企業(yè)網(wǎng)上的攻擊。NetRanger的最大名聲在于其是針對企業(yè)而設(shè)計的。這種名聲的標(biāo)志之一是其分銷渠道,EDS、Perot Systems、IBM Global Services都是其分銷商。
NetRanger在全球廣域網(wǎng)上運行很成功。例如,它有一個路徑備份(Path-doubling)功能。如果一條路徑斷掉了,信息可以從備份路徑上傳過來。它甚至能做到從一個點上監(jiān)測全網(wǎng)或把監(jiān)測權(quán)轉(zhuǎn)給第三方。
NetRanger的另一個強(qiáng)項是其在檢測問題時不僅觀察單個包的內(nèi)容,而且還看上下文,即從多個包中得到線索。這是很重要的一點,因為入侵者可能以字符模式存取一個端口,然后在每個包中只放一個字符。如果一個監(jiān)測器只觀察單個包,它就永遠(yuǎn)不會發(fā)現(xiàn)完整的信息。
按照GartnerGroup公司的研究專家Jude O'Reilley的說法,NetRanger是目前市場上基于網(wǎng)絡(luò)的入侵檢測軟件中經(jīng)受實踐考驗最多的產(chǎn)品之一。
但是,對于某些用戶來講,NetRanger的強(qiáng)項也可能正好是其不足。它被設(shè)計為集成在OpenView或NetView下,在網(wǎng)絡(luò)運行中心(NOC)使用,其配置需要對Unix有詳細(xì)的了解。NetRanger相對較昂貴,這對于一般的局域網(wǎng)來講未必很適合。 2.Network Associates公司的CyberCop
Network Associates 公司是1977年由以做Sniffer類探測器聞名的Network General公司與以做反病毒產(chǎn)品為專業(yè)的 McAfee Associates公司合并而成的。NetWork Associates從Cisco那里取得授權(quán),將NetRanger的引擎和攻擊模式數(shù)據(jù)庫用在CyberCop中。
CyberCop基本上可以認(rèn)為是NetRanger的局域網(wǎng)管理員版。這些局域網(wǎng)管理員正是NetWork Associates的主要客戶群。其軟件價格比NetRanger還貴:傳感器為9000美元,服務(wù)器上的控制器為15000美元。但其平臺卻可以是運行Solaris 2.5.1的Dell PC(通常CyberCop是預(yù)裝在里面的)。跑傳感器的平臺一般要3000美元,控制器的平臺要5000美元。
另外,CyberCop被設(shè)計成一個網(wǎng)絡(luò)應(yīng)用程序,一般在20分鐘內(nèi)就可以安裝完畢。它預(yù)設(shè)了6種通常的配置模式:Windows NT和Unix的混合子網(wǎng)、Unix子網(wǎng)、NT子網(wǎng)、遠(yuǎn)程訪問、前沿網(wǎng)(如Internet的接入系統(tǒng))和骨干網(wǎng)。它沒有Netware的配置。
前端設(shè)計成瀏覽器方式主要是考慮易于使用,發(fā)揮Network General在提煉包數(shù)據(jù)上的經(jīng)驗,用戶使用時也易于查看和理解。像在Sniffer中一樣,它在幫助文檔里結(jié)合了專家知識。CyberCop還能生成可以被 Sniffer識別的蹤跡文件。與NetRanger相比,CyberCop缺乏一些企業(yè)應(yīng)用的特征,如路徑備份功能等。
按照CyberCop產(chǎn)品經(jīng)理Katherine Stolz的說法,Network Associates公司在安全領(lǐng)域?qū)⒂幸幌盗械呐e措和合作。"我們定位在大規(guī)模的安全上,我們將成為整體解決方案的提供者。"
3.Internet Security System公司的RealSecure
按照GartnerGroup的O'Reilley的說法,RealSecure的優(yōu)勢在于其簡潔性和低價格。與NetRanger和CyberCop類似,RealSecure在結(jié)構(gòu)上也是兩部分。引擎部分負(fù)責(zé)監(jiān)測信息包并生成告警,控制臺接收報警并作為配置及產(chǎn)生數(shù)據(jù)庫報告的中心點。兩部分都可以在NT、Solaris、SunOS和Linux上運行,并可以在混合的操作系統(tǒng)或匹配的操作系統(tǒng)環(huán)境下使用。它們都能在商用微機(jī)上運行。
對于一個小型的系統(tǒng),將引擎和控制臺放在同一臺機(jī)器上運行是可以的,但這對于NetRanger或CyberCop卻不行。RealSecure的引擎價值1萬美元,控制臺是免費的。一個引擎可以向多個控制臺報告,一個控制臺也可以管理多個引擎。
RealSecure可以對CheckPoint Software的FireWall-1重新進(jìn)行配置。根據(jù)入侵檢測技術(shù)經(jīng)理Mark Wood的說法,ISS還計劃使其能對Cisco的路由器進(jìn)行重新配置,同時也正開發(fā)OpenView下的應(yīng)用。
4.Intrusion Detection公司的Kane Security Monitor
基于主機(jī)的Kane Security Monitor(KSM) for NT是1997年9月推出的。它在結(jié)構(gòu)上由三部分組成,即一個審計器、一個控制臺和代理。代理用來瀏覽NT的日志并將統(tǒng)計結(jié)果送往審計器。系統(tǒng)安全員用控制臺的GUI界面來接收告警、查看歷史記錄以及系統(tǒng)的實時行為。KSM對每個被保護(hù)的服務(wù)器報價1495美元(包括審計器和控制臺),在此基礎(chǔ)上每個工作站代理報價295美元。
按照位于加州Playa Del Rey以安全技術(shù)見長的Miora Systems Consulting公司的資深咨詢專家David Brussin的看法,KSM在TCP/IP監(jiān)測方面特別強(qiáng)。但他也提到,Intrusion Detection的產(chǎn)品不是為較快的廣域網(wǎng)設(shè)計的。
公司的奠基人兼總裁Robert Kane說,Intrusion Detection在本季度將推出在OpenView下的應(yīng)用,隨后在年底將推出與Tivoli Management Environment(TME)的集成。將來,Intrusion Detection還計劃支持Unix、微軟的BackOffice和Novell的Netware。
5.Axent Technologies公司的OmniGuard/Intruder Alert
與KSM的審計器、控制臺、代理所對應(yīng)的OmniGuard/Intruder Alert(ITA)在結(jié)構(gòu)上的三個組成部分為一個管理器(1995美元)、控制臺(免費)和代理(每個服務(wù)器為995美元,每個工作站為95美元)。
ITA比Intrusion Detection的KSM提供了更廣泛的平臺支持。它的管理器和代理能在Windows NT、95、3.1和Netware 3.x、4.x上運行,所有的部分在多種Unix下都能運行,如Solaris、SunOS、IBM AIX、HP-UX以及DEC的Unix。
可以根據(jù)一些解決方案來剪裁ITA,這些解決方案可來自主流的操作系統(tǒng)、防火墻廠商、Web服務(wù)器廠商、數(shù)據(jù)庫應(yīng)用以及路由器制造商。Axent在2月份兼并了防火墻廠商Raptor,并將增強(qiáng)ITA,使其能對Raptor的防火墻進(jìn)行重配置。
6.Computer Associates公司的SessionWall-3/eTrust Intrusion Detection
SessionWall-3/eTrust Intrusion Detection可以通過降低對網(wǎng)絡(luò)管理技能和時間的要求,在確保網(wǎng)絡(luò)的連接性能的前提下,大大提高網(wǎng)絡(luò)的安全性。SessionWall-3/eTrust Intrusion Detection可以完全自動地識別網(wǎng)絡(luò)使用模式,特殊網(wǎng)絡(luò)應(yīng)用,并能夠識別各種基于網(wǎng)絡(luò)的各種入侵、攻擊和濫用活動。另外,SessionWall-3/eTrust Intrusion Detection還可以將網(wǎng)絡(luò)上發(fā)生的各種有關(guān)生產(chǎn)應(yīng)用、網(wǎng)絡(luò)安全和公司策略方面的眾多疑點提取出來。
SessionWall-3/eTrust Intrusion Detection是作為一種獨立或補(bǔ)充產(chǎn)品進(jìn)行設(shè)計的,它的特點包括:
·世界水平的攻擊監(jiān)測引擎,可以實現(xiàn)對網(wǎng)絡(luò)攻擊的監(jiān)測;
·豐富的URL控制表單,可以實現(xiàn)對200,000個以上分類站點的控制;
·世界水平對Java/ActiveX惡意小程序的監(jiān)測引擎和病毒監(jiān)測引擎;
·SessionWall-3/eTrust Intrusion Detection遠(yuǎn)程管理插件,用于沒有安裝SessionWall-3/eTrust Intrusion Detection的機(jī)器的SessionWall-3/eTrust Intrusion Detection記錄文件的歸檔和查閱,以及SessionWall-3/eTrust Intrusion Detection報表的查閱。
SessionWall-3/eTrust Intrusion Detection的網(wǎng)絡(luò)安全保護(hù)
SessionWall-3/eTrust Intrusion Detection屢獲殊榮,是最全面的網(wǎng)絡(luò)安全管理軟件。
SessionWall-3/eTrust Intrusion Detection的特點包括:
·提供從先進(jìn)的網(wǎng)絡(luò)統(tǒng)計到特定用戶使用情況的統(tǒng)計的全面網(wǎng)絡(luò)應(yīng)用報表;
·網(wǎng)絡(luò)安全功能包括內(nèi)容掃描、入侵監(jiān)測、阻塞、報警和記錄。
·Web和內(nèi)部網(wǎng)絡(luò)使用策略的監(jiān)視和控制,對Web和公司內(nèi)部網(wǎng)絡(luò)訪問策略實施監(jiān)視和強(qiáng)制實施;
·公司保護(hù)(Company preservation),或稱訴訟保護(hù),即對電子郵件的內(nèi)容進(jìn)行監(jiān)視,記錄、查看和存檔;
SessionWall-3/eTrust Intrusion Detection還包括用于WEB訪問的策略集(用于監(jiān)視/阻塞/報警)和用于入侵監(jiān)測的策略集(用于攻擊監(jiān)測、惡意小程序和惡意電子郵件)。這些策略集包含了SessionWall-3/eTrust Intrusion Detection對所有通信進(jìn)行掃描的策略,這些策略不僅指定了掃描的模式、通信協(xié)議、尋址方式、網(wǎng)絡(luò)域、URL以及掃描內(nèi)容,還指定了相應(yīng)的處理動作。一旦安裝了SessionWall-3/eTrust Intrusion Detection,它將立即投入對入侵企圖和可疑網(wǎng)絡(luò)活動的監(jiān)視,并對所有電子郵件、WEB瀏覽、新聞、Telnet和FTP活動進(jìn)行記錄。
SessionWall-3/eTrust Intrusion Detection還可以很方便地追加新規(guī)則,或利用菜單驅(qū)動選項對現(xiàn)有規(guī)則進(jìn)行修改。
SessionWall-3/eTrust Intrusion Detection可以滿足各種網(wǎng)絡(luò)保護(hù)需求,它的主要應(yīng)用對象包括審計人員、安全咨詢?nèi)藛T、執(zhí)法監(jiān)督機(jī)構(gòu)、金融機(jī)構(gòu)、中小型商務(wù)機(jī)構(gòu)、大型企業(yè)、ISP、教育機(jī)構(gòu)和政府機(jī)構(gòu)等。
SessionWall-3/eTrust Intrusion Detection的功能
SessionWall-3/eTrust Intrusion Detection是一種功能全面且使用方便的網(wǎng)絡(luò)保護(hù)解決方案,它克服了網(wǎng)絡(luò)保護(hù)中的主要業(yè)務(wù)障礙,其采用的主要手段包括:
·最大程度地降低用戶技能和資源需求;
·提供一種經(jīng)濟(jì)的和可擴(kuò)展的解決方案;
·提供管理報表;
·提供靈活易用的工具。
從操作的角度講,SessionWall-3/eTrust Intrusion Detection去除了某些網(wǎng)絡(luò)保護(hù)解決方案在安裝和操作的麻煩。實際上,SessionWall-3/eTrust Intrusion Detection可以提供許多人們所期望網(wǎng)絡(luò)內(nèi)在特性,而這些特性在過去是必需借助多種工具并通過復(fù)雜的分析之后才能夠得到的。為了達(dá)到這一目的,SessionWall-3/eTrust Intrusion Detection采用了如下措施:
·即插即用安裝(自動配置);
·易用的圖形用戶界面;
·登錄網(wǎng)絡(luò)活動的在線查閱;
·實時統(tǒng)計和圖形顯示;
·全面的"追根溯源(drill down)"報表;
·聯(lián)機(jī)查詢和定時報表;
·易于更新的監(jiān)視、阻塞和報警規(guī)則;
·綜合的響應(yīng)和報警集合,包括實時干涉,預(yù)定義阻塞規(guī)則、第三方應(yīng)用啟動響應(yīng)接口、以及不同的信息發(fā)送方式。
·用于監(jiān)視和阻塞的全面URL站點分類和控制列表。
·支持WEB自速率系統(tǒng)(RSACi)。
·先進(jìn)的可疑小程序監(jiān)測(例如,Java/ActiveX引擎)。
·綜合病毒掃描引擎和病毒庫。
·完整的格式化內(nèi)容和附件瀏覽器。
·電子文字模式內(nèi)容的掃描和阻塞;
·菜單驅(qū)動的自動地址解析。
·特殊的保密特性,可以對控制訪問權(quán)限提供登錄和管理的訪問控制。
SessionWall-3/eTrust Intrusion Detection的特點
SessionWall-3/eTrust Intrusion Detection與大多數(shù)網(wǎng)絡(luò)保護(hù)產(chǎn)品不同,后者是生硬地安插在網(wǎng)絡(luò)通信路徑中的,而前者則是完全透明的,它不需要對網(wǎng)絡(luò)和地址做任何的變化,也不會給獨立于平臺的網(wǎng)絡(luò)帶來任何的傳輸延遲。
SessionWall-3/eTrust Intrusion Detection可全面滿足你的需要!
SessionWall-3/eTrust Intrusion Detection代表了最新一代Internet和Intranet網(wǎng)絡(luò)保護(hù)產(chǎn)品,它具備前所未有的訪問控制水平、用戶的透明度、性能、靈活性、適應(yīng)性和易用性。SessionWall-3/eTrust Intrusion Detection無需使用昂貴的UNIX主機(jī),也避免了因非路由防火墻所造成的額外開銷。另外,SessionWall-3/eTrust Intrusion Detection還包括一個會話視窗,可以用于網(wǎng)絡(luò)入侵的監(jiān)視、審計,并可以為電子通信的濫用現(xiàn)象提供充分的證據(jù)。
技術(shù)規(guī)范
·操作系統(tǒng):Windows 95(OSR 2), Windows 98或Windows NT 4.0(SP3以上)以上版本;
·系統(tǒng)平臺:Intel Pentium 100MHz以上;
·內(nèi)存:64MB RAM
·磁盤空間:200MB可用空間
·網(wǎng)絡(luò)接口:標(biāo)準(zhǔn)以太網(wǎng)/令牌環(huán)網(wǎng)/FDDI
·軟件介質(zhì):CD-ROM
7.Trusted Information System公司的Stalkers
由Haystack Labs于1993年推出的Stalker是一個基于主機(jī)的監(jiān)測器,它能用于NT以及多種版本的Unix,包括Solaris、AIX、HP-UX和SCO的 UnixWare。2.1版的管理器價格為9995美元,每個代理為695美元。
Haystack Labs在1996年6月推出了WebStalker Pro,其操作系統(tǒng)運行平臺和Stalker是一樣的,但其使用對象是Web服務(wù)器。它在Unix下的報價是4995美元,在NT下的報價是2995美元。Sun的Netra Web服務(wù)器在銷售時就帶有一個WebStalker的專門版。IBM Global Services也銷售WebStalker。
開發(fā)基于NT防火墻產(chǎn)品Gauntlet的Trusted Information System公司于1997年10月收購了Haystack。于1997年12月宣布了只在NT下運行且為微軟的Proxy Server 2.0設(shè)計的監(jiān)測器——ProxyStalker。ProxyStalker計劃于第一季度推出,其價格尚未宣布,但估計和Proxy Server應(yīng)該是同等檔次的產(chǎn)品,即少于1000美元。
所有三種Stalker產(chǎn)品都可以對防火墻產(chǎn)品Gauntlet重新配置,三種產(chǎn)品也都可以在發(fā)現(xiàn)入侵的同時消滅入侵。例如,WebStalker Pro可以終止一個登錄或一個進(jìn)程,它也可以重啟一個Web服務(wù)器。Stalker家族也能與TME集成在一起。
8.Network Security Wizards公司的Dragon IDS
Network Security Wizards是一家新進(jìn)入IDS市場的公司。盡管它的產(chǎn)品Dragon現(xiàn)在還沒有多少名氣,但它在表現(xiàn)極好。它在檢測到較多攻擊。Dragon是一個非常原始的工具,建議不熟悉UNIX系統(tǒng)的用戶不要使用。但如果用戶十分在意入侵檢測的健壯性并且對易于使用要求不高的話, Dragon還是一個很不錯的選擇。
Dragon通過命令行方式來執(zhí)行,只有非常簡單的基于Web 的報告工具。除了NFR外,NSW是唯一一個將真正的代碼放在攻擊簽名中的產(chǎn)品。簽名文件是一個簡單的文本文件,使用一個非常簡單的指令集建立。指令集的簡單性也允許 Dragon的用戶很方便地定制和產(chǎn)生他們自己的攻擊簽名。Dragon的攻擊行為表示方法沒有NFR的n-code靈活,但它同樣能夠達(dá)到目的。通過使用一個基本的參數(shù)定義集合,用戶可以定義要搜索的端口、協(xié)議、樣本大小、字符串等。
不幸的是,Dragon在易于使用和事件可管理性方面完全失敗。Dragon沒有提供中央控制臺或任何類型的GUI管理工具,它產(chǎn)生的數(shù)據(jù)冗長而又復(fù)雜,很不容易看懂。Dragon的成熟還需要一個過程。
Dragon能夠處理碎片重組。它不僅能夠無錯地重組碎片,而且即使當(dāng)網(wǎng)絡(luò)占用率達(dá)70~80%時仍然性能不減。NSW 聲稱它在Dragon中部署了許多功能盒,這些功能盒能夠以130Mbps的速率運行。如果想要一個簡單而又強(qiáng)大的入侵檢測功能并且要求易于增加或修改攻擊簽名的話,那么Dragon是很好的選擇。
9.Network Ice公司的BlackIce Defender and Enterprise Icepac 1.0
Network Ice公司的BlackIce Defender是將基于主機(jī)和基于網(wǎng)絡(luò)的檢測技術(shù)結(jié)合起來并用于Windows系統(tǒng)的產(chǎn)品。在安裝BlackIce時,沒有留下特別的印象:管理接口相當(dāng)麻煩,配置選擇也不是很多。然而BalckIce執(zhí)行起來非常好,能夠進(jìn)行碎片重組。
BlackIce能夠檢測較多攻擊并且當(dāng)網(wǎng)絡(luò)負(fù)載很飽和時仍然能夠勝任。該公司聲稱提供了200多個攻擊簽名,BlackIce要比許多其他基于網(wǎng)絡(luò)的入侵檢測產(chǎn)品表現(xiàn)的好。
但BlackIce的報告機(jī)制還不太令人滿意。基于Web的工具難于使用,通信未加密就通過HTTP在線路上進(jìn)行傳輸,而RealSecure和Dragon對所有從傳感器到控制臺的通信都進(jìn)行加密。
BlackIce還提供一個被稱為Black Track的服務(wù),這對于一些企業(yè)是十分有用的,但它對于想隱蔽地進(jìn)行入侵檢測的用戶來講很不適用。Black Trace 通過發(fā)起NetBIOS和DNS反向查詢來收集敵對主機(jī)信息。幸運的是,與NetProwler不一樣,BlackIce允許用戶自己禁止這些查詢。
BlackIce的一個有趣特性是它可以作為一個個人IDS和防火墻的組合方案。BlackIce能關(guān)閉它檢測到產(chǎn)生敵意操作的所有網(wǎng)絡(luò)。
那些想保證自己的移動用戶安全的公司可能對BlackIce 特別感興趣。它的個人防火墻特性可以允許網(wǎng)絡(luò)管理員擴(kuò)展一些更高級別的安全保護(hù)。而它的價格只有大約40美元,是相當(dāng)物有所值的產(chǎn)品。
10.NFR公司的Intrusion Detection Appliance 4.0
NFR是提出開放源代碼概念的唯一IDS廠商,這是它能夠不斷普及的最重要原因。NFR通過NFR“研究版”免費發(fā)布它早期版本的源代碼,盡管正式版與研究版相比進(jìn)行了許多修改,但是后者仍然能提供一個完整的IDS方案。
在IDA 4.0中,NFR已經(jīng)解決了它在管理工具和簽名設(shè)置方面的種種不足。程序采用一個基于Win32的GUI管理工具來取代原來基于Java的工具,因為基于Java的管理工具由于瀏覽器的Java實現(xiàn)不連續(xù)會經(jīng)常崩潰。新的管理GUI為管理員提供了一個簡單的方法來配置和監(jiān)視部署的NFR傳感器,但事件清除仍然是一件費力的事情。
管理員只能得到單行的攻擊描述,對攻擊數(shù)據(jù)進(jìn)行翻頁操作非常麻煩。如果用戶對常用攻擊方式的表達(dá)不是很熟悉的話,就不得不經(jīng)常需要參考手冊的幫助。
另一個問題是NFR一直缺乏一個可靠的簽名集。雖然通過使用NFR內(nèi)置的過濾腳本n-code,用戶可以編寫自己的簽名,然而很少有哪一個公司有時間或資源這樣做。為了幫助解決這個問題,NFR已經(jīng)與L0pht Heavy Industries(www.l0pht.com)合作來產(chǎn)生攻擊簽名集。L0pht提供了300多個簽名,并且還將提供另外數(shù)百個簽名。不過這次我們只能測試其中的一小部分。這次測試的簽名工作得很好,但是RealSecure和NetRanger有大得多的攻擊簽名集。只有NFR發(fā)布了完整的簽名集以后,IDA才會成為一個真正強(qiáng)有力的產(chǎn)品。
NFR是一個非常有用的網(wǎng)絡(luò)監(jiān)視和報告工具:除了入侵檢測外,NFR還允許用戶收集通過網(wǎng)絡(luò)的Telnet、Ftp和Web數(shù)據(jù)。這個功能看似不起眼,但它對于那些想擁有這類集中化信息(尤其是當(dāng)跨越多個平臺時)的用戶來講卻非常有用。
11.CyberSafe公司的Centrax 2.2
同Axent和ISS一樣,CyberSafe正向集成化的基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測方向發(fā)展。其Centrax提供了三種類型的客戶端:一個批處理器、一個實時主機(jī)檢查器和一個實時網(wǎng)絡(luò)檢查器。一旦用戶搞清楚了哪一個組件是完成什么功能的,就會發(fā)現(xiàn)這個產(chǎn)品用起來相當(dāng)容易。
Centrax使用傳感器/控制臺方法,工作方式與RealSecure 的管理臺類似。與Axent的產(chǎn)品不同的是,Centrax能夠無縫地集成到主管理控制臺中。管理部署的傳感器制定一個模板策略,然后將它“推”給適當(dāng)?shù)膫鞲衅鳌P薷暮透滤羞h(yuǎn)程機(jī)器上的策略極其容易,只需簡單地選擇它們并且“應(yīng)用(apply)”一個預(yù)先定義的策略即可。
對Centrax的管理臺有兩點不滿意。第一,用戶無法清除報警。第二,對報警進(jìn)行分類處理很困難。當(dāng)四五十個報警同時出現(xiàn)時,無法對它們進(jìn)行分類控制,這會很快使管理員陷入困境。
以基于主機(jī)的方式進(jìn)行檢測時,Centrax從NT事件日志中提取絕大部分?jǐn)?shù)據(jù)。Centrax相當(dāng)棒的地方是它能夠進(jìn)行大范圍的主機(jī)內(nèi)容檢查,包括失敗的登錄、修改的系統(tǒng)文件和注冊設(shè)置等。
然而,Centrax基于網(wǎng)絡(luò)的檢測功能要弱得多。Centrax網(wǎng)絡(luò)傳感器預(yù)先定義的攻擊簽名只有約50個。雖然它具有良好的入侵檢測結(jié)構(gòu),但是極弱的簽名庫影響了它準(zhǔn)確檢測基于網(wǎng)絡(luò)的攻擊的能力。對于基于NT主機(jī)的監(jiān)視,Centrax 現(xiàn)在表現(xiàn)得不是很令人滿意。
12.中科網(wǎng)威的“天眼”入侵檢測系統(tǒng)
中科網(wǎng)威信息技術(shù)有限公司的“天眼”入侵檢測系統(tǒng)、“火眼”網(wǎng)絡(luò)安全漏洞檢測系統(tǒng)是國內(nèi)少有的幾個入侵檢測系統(tǒng)之一。它根據(jù)國內(nèi)網(wǎng)絡(luò)的特殊情況,由中國科學(xué)院網(wǎng)絡(luò)安全關(guān)鍵技術(shù)研究組經(jīng)過多年研究,綜合運用了多種檢測系統(tǒng)成果制研成功的。它根據(jù)系統(tǒng)的安全策略作出反映,實現(xiàn)了對非法入侵的定時報警、記錄事件,方便取證,自動阻斷通信連接,重置路由器、防火墻,同時及時發(fā)現(xiàn)并及時提出解決方案,它可列出可參考的全熱鏈接網(wǎng)絡(luò)和系統(tǒng)中易被黑客利用和可能被黑客利用的薄弱環(huán)節(jié),防范黑客攻擊。該系統(tǒng)的總體技術(shù)水平達(dá)到了“國際先進(jìn)水平”(1998年的關(guān)鍵技術(shù)“中國科學(xué)院若干網(wǎng)絡(luò)安全”項目成果鑒定會結(jié)論)。
13.啟明星辰的SkyBell(天闐)
啟明星辰公司的黑客入侵檢測與預(yù)警系統(tǒng),集成了網(wǎng)監(jiān)聽監(jiān)控、實時協(xié)議分析、入侵行為分析及詳細(xì)日志審計跟蹤等功能。對黑客入侵能進(jìn)行全方位的檢測,準(zhǔn)確地判斷上述黑客攻擊方式,及時地進(jìn)行報警或阻斷等其它措施。它可以在Internet和Intranet兩種環(huán)境中運行,以保護(hù)企業(yè)整個網(wǎng)絡(luò)的安全。
該系統(tǒng)主要包括兩部分:探測器和控制器。
探測器能監(jiān)視網(wǎng)絡(luò)上流過的所有數(shù)據(jù)包,根據(jù)用戶定義的條件進(jìn)行檢測,識別出網(wǎng)絡(luò)中正在進(jìn)行的攻擊。實時檢測到入侵信息并向控制器管理控制臺發(fā)出告警,由控制臺給出定位顯示,從而將入侵者從網(wǎng)絡(luò)中清除出去。探測器能夠監(jiān)測所有類型的TCP/IP網(wǎng)絡(luò),強(qiáng)大的檢測功能,為用戶提供了最為全面、有效的入侵檢測能力。
附:IDS軟件廠商的網(wǎng)址:
Axent Technologies公司網(wǎng)址: http://www.axent.com
Cisco Systems公司網(wǎng)址:http://www.cisco.com
Internet Security Systems公司網(wǎng)址:http://www.iss.net
Intrusion Detection公司網(wǎng)址:http://www.intrusion.com
Network Associates公司網(wǎng)址:http://www.nai.com http://www.ngc.com
Computer Associates公司網(wǎng)址:http://www.cai.com/
Trusted Information Systems公司網(wǎng)址:http://www.tis.com
Network Security Wizards公司網(wǎng)址:http://www.securitywizards.com
Network Ice公司網(wǎng)址: http://www.networkice.com
NFR公司網(wǎng)址:http://www.nfr.net/
CyberSafe公司網(wǎng)址:http://www.cybersafe.com/
中科網(wǎng)威公司網(wǎng)址:http://www.netpower.com.cn/
啟明星辰公司網(wǎng)址:http://www.venustech.com.cn/
