七、Trusted Information System公司的Stalkers
由Haystack Labs于1993年推出的Stalker是一個基于主機的監測器,它能用于NT以及多種版本的Unix,包括Solaris、AIX、HP-UX和SCO的 UnixWare。2.1版的管理器價格為9995美元,每個代理為695美元。
Haystack Labs在1996年6月推出了WebStalker Pro,其操作系統運行平臺和Stalker是一樣的,但其使用對象是Web服務器。它在Unix下的報價是4995美元,在NT下的報價是2995美元。Sun的Netra Web服務器在銷售時就帶有一個WebStalker的專門版。IBM Global Services也銷售WebStalker。
開發基于NT防火墻產品Gauntlet的Trusted Information System公司于1997年10月收購了Haystack。于1997年12月宣布了只在NT下運行且為微軟的Proxy Server 2.0設計的監測器??ProxyStalker。ProxyStalker計劃于第一季度推出,其價格尚未宣布,但估計和Proxy Server應該是同等檔次的產品,即少于1000美元。
所有三種Stalker產品都可以對防火墻產品Gauntlet重新配置,三種產品也都可以在發現入侵的同時消滅入侵。例如,WebStalker Pro可以終止一個登錄或一個進程,它也可以重啟一個Web服務器。Stalker家族也能與TME集成在一起。
八、Network Security Wizards公司的Dragon IDS
Network Security Wizards是一家新進入IDS市場的公司。盡管它的產品Dragon現在還沒有多少名氣,但它在表現極好。它在檢測到較多攻擊。Dragon是一個非常原始的工具,建議不熟悉UNIX系統的用戶不要使用。但如果用戶十分在意入侵檢測的健壯性并且對易于使用要求不高的話, Dragon還是一個很不錯的選擇。
Dragon通過命令行方式來執行,只有非常簡單的基于Web 的報告工具。除了NFR外,NSW是唯一一個將真正的代碼放在攻擊簽名中的產品。簽名文件是一個簡單的文本文件,使用一個非常簡單的指令集建立。指令集的簡單性也允許 Dragon的用戶很方便地定制和產生他們自己的攻擊簽名。Dragon的攻擊行為表示方法沒有NFR的n-code靈活,但它同樣能夠達到目的。通過使用一個基本的參數定義集合,用戶可以定義要搜索的端口、協議、樣本大小、字符串等。
不幸的是,Dragon在易于使用和事件可管理性方面完全失敗。Dragon沒有提供中央控制臺或任何類型的GUI管理工具,它產生的數據冗長而又復雜,很不容易看懂。Dragon的成熟還需要一個過程。
Dragon能夠處理碎片重組。它不僅能夠無錯地重組碎片,而且即使當網絡占用率達70~80%時仍然性能不減。NSW 聲稱它在Dragon中部署了許多功能盒,這些功能盒能夠以130Mbps的速率運行。如果想要一個簡單而又強大的入侵檢測功能并且要求易于增加或修改攻擊簽名的話,那么Dragon是很好的選擇。
九、Network Ice公司的BlackIce Defender and Enterprise Icepac 1.0
Network Ice公司的BlackIce Defender是將基于主機和基于網絡的檢測技術結合起來并用于Windows系統的產品。在安裝BlackIce時,沒有留下特別的印象:管理接口相當麻煩,配置選擇也不是很多。然而BalckIce執行起來非常好,能夠進行碎片重組。
BlackIce能夠檢測較多攻擊并且當網絡負載很飽和時仍然能夠勝任。該公司聲稱提供了200多個攻擊簽名,BlackIce要比許多其他基于網絡的入侵檢測產品表現的好。
但BlackIce的報告機制還不太令人滿意。基于Web的工具難于使用,通信未加密就通過HTTP在線路上進行傳輸,而RealSecure和Dragon對所有從傳感器到控制臺的通信都進行加密。
BlackIce還提供一個被稱為Black Track的服務,這對于一些企業是十分有用的,但它對于想隱蔽地進行入侵檢測的用戶來講很不適用。Black Trace 通過發起NetBIOS和DNS反向查詢來收集敵對主機信息。幸運的是,與NetProwler不一樣,BlackIce允許用戶自己禁止這些查詢。
BlackIce的一個有趣特性是它可以作為一個個人IDS和防火墻的組合方案。BlackIce能關閉它檢測到產生敵意操作的所有網絡。
那些想保證自己的移動用戶安全的公司可能對BlackIce 特別感興趣。它的個人防火墻特性可以允許網絡管理員擴展一些更高級別的安全保護。而它的價格只有大約40美元,是相當物有所值的產品。
十、NFR公司的Intrusion Detection Appliance 4.0
NFR是提出開放源代碼概念的唯一IDS廠商,這是它能夠不斷普及的最重要原因。NFR通過NFR“研究版”免費發布它早期版本的源代碼,盡管正式版與研究版相比進行了許多修改,但是后者仍然能提供一個完整的IDS方案。
在IDA 4.0中,NFR已經解決了它在管理工具和簽名設置方面的種種不足。程序采用一個基于Win32的GUI管理工具來取代原來基于Java的工具,因為基于Java的管理工具由于瀏覽器的Java實現不連續會經常崩潰。新的管理GUI為管理員提供了一個簡單的方法來配置和監視部署的NFR傳感器,但事件清除仍然是一件費力的事情。
管理員只能得到單行的攻擊描述,對攻擊數據進行翻頁操作非常麻煩。如果用戶對常用攻擊方式的表達不是很熟悉的話,就不得不經常需要參考手冊的幫助。
另一個問題是NFR一直缺乏一個可靠的簽名集。雖然通過使用NFR內置的過濾腳本n-code,用戶可以編寫自己的簽名,然而很少有哪一個公司有時間或資源這樣做。為了幫助解決這個問題,NFR已經與L0pht Heavy Industries(www.l0pht.com)合作來產生攻擊簽名集。L0pht提供了300多個簽名,并且還將提供另外數百個簽名。不過這次我們只能測試其中的一小部分。這次測試的簽名工作得很好,但是RealSecure和NetRanger有大得多的攻擊簽名集。只有NFR發布了完整的簽名集以后,IDA才會成為一個真正強有力的產品。
NFR是一個非常有用的網絡監視和報告工具:除了入侵檢測外,NFR還允許用戶收集通過網絡的Telnet、Ftp和Web數據。這個功能看似不起眼,但它對于那些想擁有這類集中化信息(尤其是當跨越多個平臺時)的用戶來講卻非常有用。
十一、CyberSafe公司的Centrax 2.2
同Axent和ISS一樣,CyberSafe正向集成化的基于主機和基于網絡的入侵檢測方向發展。其Centrax提供了三種類型的客戶端:一個批處理器、一個實時主機檢查器和一個實時網絡檢查器。一旦用戶搞清楚了哪一個組件是完成什么功能的,就會發現這個產品用起來相當容易。
Centrax使用傳感器/控制臺方法,工作方式與RealSecure 的管理臺類似。與Axent的產品不同的是,Centrax能夠無縫地集成到主管理控制臺中。管理部署的傳感器制定一個模板策略,然后將它“推”給適當的傳感器。修改和更新所有遠程機器上的策略極其容易,只需簡單地選擇它們并且“應用(apply)”一個預先定義的策略即可。
對Centrax的管理臺有兩點不滿意。第一,用戶無法清除報警。第二,對報警進行分類處理很困難。當四五十個報警同時出現時,無法對它們進行分類控制,這會很快使管理員陷入困境。
以基于主機的方式進行檢測時,Centrax從NT事件日志中提取絕大部分數據。Centrax相當棒的地方是它能夠進行大范圍的主機內容檢查,包括失敗的登錄、修改的系統文件和注冊設置等。
然而,Centrax基于網絡的檢測功能要弱得多。Centrax網絡傳感器預先定義的攻擊簽名只有約50個。雖然它具有良好的入侵檢測結構,但是極弱的簽名庫影響了它準確檢測基于網絡的攻擊的能力。對于基于NT主機的監視,Centrax 現在表現得不是很令人滿意。
十二、中科網威的“天眼”入侵檢測系統
中科網威信息技術有限公司的“天眼”入侵檢測系統、“火眼”網絡安全漏洞檢測系統是國內少有的幾個入侵檢測系統之一。它根據國內網絡的特殊情況,由中國科學院網絡安全關鍵技術研究組經過多年研究,綜合運用了多種檢測系統成果制研成功的。它根據系統的安全策略作出反映,實現了對非法入侵的定時報警、記錄事件,方便取證,自動阻斷通信連接,重置路由器、防火墻,同時及時發現并及時提出解決方案,它可列出可參考的全熱鏈接網絡和系統中易被黑客利用和可能被黑客利用的薄弱環節,防范黑客攻擊。該系統的總體技術水平達到了“國際先進水平”(1998年的關鍵技術“中國科學院若干網絡安全”項目成果鑒定會結論)。
十三、啟明星辰的SkyBell(天闐)
啟明星辰公司的黑客入侵檢測與預警系統,集成了網監聽監控、實時協議分析、入侵行為分析及詳細日志審計跟蹤等功能。對黑客入侵能進行全方位的檢測,準確地判斷上述黑客攻擊方式,及時地進行報警或阻斷等其它措施。它可以在Internet和Intranet兩種環境中運行,以保護企業整個網絡的安全。
該系統主要包括兩部分:探測器和控制器。
探測器能監視網絡上流過的所有數據包,根據用戶定義的條件進行檢測,識別出網絡中正在進行的攻擊。實時檢測到入侵信息并向控制器管理控制臺發出告警,由控制臺給出定位顯示,從而將入侵者從網絡中清除出去。探測器能夠監測所有類型的TCP/IP網絡,強大的檢測功能,為用戶提供了最為全面、有效的入侵檢測能力。
