七、Trusted Information System公司的Stalkers
由Haystack Labs于1993年推出的Stalker是一個(gè)基于主機(jī)的監(jiān)測(cè)器,它能用于NT以及多種版本的Unix,包括Solaris、AIX、HP-UX和SCO的 UnixWare。2.1版的管理器價(jià)格為9995美元,每個(gè)代理為695美元。
Haystack Labs在1996年6月推出了WebStalker Pro,其操作系統(tǒng)運(yùn)行平臺(tái)和Stalker是一樣的,但其使用對(duì)象是Web服務(wù)器。它在Unix下的報(bào)價(jià)是4995美元,在NT下的報(bào)價(jià)是2995美元。Sun的Netra Web服務(wù)器在銷售時(shí)就帶有一個(gè)WebStalker的專門版。IBM Global Services也銷售WebStalker。
開發(fā)基于NT防火墻產(chǎn)品Gauntlet的Trusted Information System公司于1997年10月收購了Haystack。于1997年12月宣布了只在NT下運(yùn)行且為微軟的Proxy Server 2.0設(shè)計(jì)的監(jiān)測(cè)器??ProxyStalker。ProxyStalker計(jì)劃于第一季度推出,其價(jià)格尚未宣布,但估計(jì)和Proxy Server應(yīng)該是同等檔次的產(chǎn)品,即少于1000美元。
所有三種Stalker產(chǎn)品都可以對(duì)防火墻產(chǎn)品Gauntlet重新配置,三種產(chǎn)品也都可以在發(fā)現(xiàn)入侵的同時(shí)消滅入侵。例如,WebStalker Pro可以終止一個(gè)登錄或一個(gè)進(jìn)程,它也可以重啟一個(gè)Web服務(wù)器。Stalker家族也能與TME集成在一起。
八、Network Security Wizards公司的Dragon IDS
Network Security Wizards是一家新進(jìn)入IDS市場的公司。盡管它的產(chǎn)品Dragon現(xiàn)在還沒有多少名氣,但它在表現(xiàn)極好。它在檢測(cè)到較多攻擊。Dragon是一個(gè)非常原始的工具,建議不熟悉UNIX系統(tǒng)的用戶不要使用。但如果用戶十分在意入侵檢測(cè)的健壯性并且對(duì)易于使用要求不高的話, Dragon還是一個(gè)很不錯(cuò)的選擇。
Dragon通過命令行方式來執(zhí)行,只有非常簡單的基于Web 的報(bào)告工具。除了NFR外,NSW是唯一一個(gè)將真正的代碼放在攻擊簽名中的產(chǎn)品。簽名文件是一個(gè)簡單的文本文件,使用一個(gè)非常簡單的指令集建立。指令集的簡單性也允許 Dragon的用戶很方便地定制和產(chǎn)生他們自己的攻擊簽名。Dragon的攻擊行為表示方法沒有NFR的n-code靈活,但它同樣能夠達(dá)到目的。通過使用一個(gè)基本的參數(shù)定義集合,用戶可以定義要搜索的端口、協(xié)議、樣本大小、字符串等。
不幸的是,Dragon在易于使用和事件可管理性方面完全失敗。Dragon沒有提供中央控制臺(tái)或任何類型的GUI管理工具,它產(chǎn)生的數(shù)據(jù)冗長而又復(fù)雜,很不容易看懂。Dragon的成熟還需要一個(gè)過程。
Dragon能夠處理碎片重組。它不僅能夠無錯(cuò)地重組碎片,而且即使當(dāng)網(wǎng)絡(luò)占用率達(dá)70~80%時(shí)仍然性能不減。NSW 聲稱它在Dragon中部署了許多功能盒,這些功能盒能夠以130Mbps的速率運(yùn)行。如果想要一個(gè)簡單而又強(qiáng)大的入侵檢測(cè)功能并且要求易于增加或修改攻擊簽名的話,那么Dragon是很好的選擇。
九、Network Ice公司的BlackIce Defender and Enterprise Icepac 1.0
Network Ice公司的BlackIce Defender是將基于主機(jī)和基于網(wǎng)絡(luò)的檢測(cè)技術(shù)結(jié)合起來并用于Windows系統(tǒng)的產(chǎn)品。在安裝BlackIce時(shí),沒有留下特別的印象:管理接口相當(dāng)麻煩,配置選擇也不是很多。然而BalckIce執(zhí)行起來非常好,能夠進(jìn)行碎片重組。
BlackIce能夠檢測(cè)較多攻擊并且當(dāng)網(wǎng)絡(luò)負(fù)載很飽和時(shí)仍然能夠勝任。該公司聲稱提供了200多個(gè)攻擊簽名,BlackIce要比許多其他基于網(wǎng)絡(luò)的入侵檢測(cè)產(chǎn)品表現(xiàn)的好。
但BlackIce的報(bào)告機(jī)制還不太令人滿意。基于Web的工具難于使用,通信未加密就通過HTTP在線路上進(jìn)行傳輸,而RealSecure和Dragon對(duì)所有從傳感器到控制臺(tái)的通信都進(jìn)行加密。
BlackIce還提供一個(gè)被稱為Black Track的服務(wù),這對(duì)于一些企業(yè)是十分有用的,但它對(duì)于想隱蔽地進(jìn)行入侵檢測(cè)的用戶來講很不適用。Black Trace 通過發(fā)起NetBIOS和DNS反向查詢來收集敵對(duì)主機(jī)信息。幸運(yùn)的是,與NetProwler不一樣,BlackIce允許用戶自己禁止這些查詢。
BlackIce的一個(gè)有趣特性是它可以作為一個(gè)個(gè)人IDS和防火墻的組合方案。BlackIce能關(guān)閉它檢測(cè)到產(chǎn)生敵意操作的所有網(wǎng)絡(luò)。
那些想保證自己的移動(dòng)用戶安全的公司可能對(duì)BlackIce 特別感興趣。它的個(gè)人防火墻特性可以允許網(wǎng)絡(luò)管理員擴(kuò)展一些更高級(jí)別的安全保護(hù)。而它的價(jià)格只有大約40美元,是相當(dāng)物有所值的產(chǎn)品。
十、NFR公司的Intrusion Detection Appliance 4.0
NFR是提出開放源代碼概念的唯一IDS廠商,這是它能夠不斷普及的最重要原因。NFR通過NFR“研究版”免費(fèi)發(fā)布它早期版本的源代碼,盡管正式版與研究版相比進(jìn)行了許多修改,但是后者仍然能提供一個(gè)完整的IDS方案。
在IDA 4.0中,NFR已經(jīng)解決了它在管理工具和簽名設(shè)置方面的種種不足。程序采用一個(gè)基于Win32的GUI管理工具來取代原來基于Java的工具,因?yàn)榛贘ava的管理工具由于瀏覽器的Java實(shí)現(xiàn)不連續(xù)會(huì)經(jīng)常崩潰。新的管理GUI為管理員提供了一個(gè)簡單的方法來配置和監(jiān)視部署的NFR傳感器,但事件清除仍然是一件費(fèi)力的事情。
管理員只能得到單行的攻擊描述,對(duì)攻擊數(shù)據(jù)進(jìn)行翻頁操作非常麻煩。如果用戶對(duì)常用攻擊方式的表達(dá)不是很熟悉的話,就不得不經(jīng)常需要參考手冊(cè)的幫助。
另一個(gè)問題是NFR一直缺乏一個(gè)可靠的簽名集。雖然通過使用NFR內(nèi)置的過濾腳本n-code,用戶可以編寫自己的簽名,然而很少有哪一個(gè)公司有時(shí)間或資源這樣做。為了幫助解決這個(gè)問題,NFR已經(jīng)與L0pht Heavy Industries(www.l0pht.com)合作來產(chǎn)生攻擊簽名集。L0pht提供了300多個(gè)簽名,并且還將提供另外數(shù)百個(gè)簽名。不過這次我們只能測(cè)試其中的一小部分。這次測(cè)試的簽名工作得很好,但是RealSecure和NetRanger有大得多的攻擊簽名集。只有NFR發(fā)布了完整的簽名集以后,IDA才會(huì)成為一個(gè)真正強(qiáng)有力的產(chǎn)品。
NFR是一個(gè)非常有用的網(wǎng)絡(luò)監(jiān)視和報(bào)告工具:除了入侵檢測(cè)外,NFR還允許用戶收集通過網(wǎng)絡(luò)的Telnet、Ftp和Web數(shù)據(jù)。這個(gè)功能看似不起眼,但它對(duì)于那些想擁有這類集中化信息(尤其是當(dāng)跨越多個(gè)平臺(tái)時(shí))的用戶來講卻非常有用。
十一、CyberSafe公司的Centrax 2.2
同Axent和ISS一樣,CyberSafe正向集成化的基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測(cè)方向發(fā)展。其Centrax提供了三種類型的客戶端:一個(gè)批處理器、一個(gè)實(shí)時(shí)主機(jī)檢查器和一個(gè)實(shí)時(shí)網(wǎng)絡(luò)檢查器。一旦用戶搞清楚了哪一個(gè)組件是完成什么功能的,就會(huì)發(fā)現(xiàn)這個(gè)產(chǎn)品用起來相當(dāng)容易。
Centrax使用傳感器/控制臺(tái)方法,工作方式與RealSecure 的管理臺(tái)類似。與Axent的產(chǎn)品不同的是,Centrax能夠無縫地集成到主管理控制臺(tái)中。管理部署的傳感器制定一個(gè)模板策略,然后將它“推”給適當(dāng)?shù)膫鞲衅鳌P薷暮透滤羞h(yuǎn)程機(jī)器上的策略極其容易,只需簡單地選擇它們并且“應(yīng)用(apply)”一個(gè)預(yù)先定義的策略即可。
對(duì)Centrax的管理臺(tái)有兩點(diǎn)不滿意。第一,用戶無法清除報(bào)警。第二,對(duì)報(bào)警進(jìn)行分類處理很困難。當(dāng)四五十個(gè)報(bào)警同時(shí)出現(xiàn)時(shí),無法對(duì)它們進(jìn)行分類控制,這會(huì)很快使管理員陷入困境。
以基于主機(jī)的方式進(jìn)行檢測(cè)時(shí),Centrax從NT事件日志中提取絕大部分?jǐn)?shù)據(jù)。Centrax相當(dāng)棒的地方是它能夠進(jìn)行大范圍的主機(jī)內(nèi)容檢查,包括失敗的登錄、修改的系統(tǒng)文件和注冊(cè)設(shè)置等。
然而,Centrax基于網(wǎng)絡(luò)的檢測(cè)功能要弱得多。Centrax網(wǎng)絡(luò)傳感器預(yù)先定義的攻擊簽名只有約50個(gè)。雖然它具有良好的入侵檢測(cè)結(jié)構(gòu),但是極弱的簽名庫影響了它準(zhǔn)確檢測(cè)基于網(wǎng)絡(luò)的攻擊的能力。對(duì)于基于NT主機(jī)的監(jiān)視,Centrax 現(xiàn)在表現(xiàn)得不是很令人滿意。
十二、中科網(wǎng)威的“天眼”入侵檢測(cè)系統(tǒng)
中科網(wǎng)威信息技術(shù)有限公司的“天眼”入侵檢測(cè)系統(tǒng)、“火眼”網(wǎng)絡(luò)安全漏洞檢測(cè)系統(tǒng)是國內(nèi)少有的幾個(gè)入侵檢測(cè)系統(tǒng)之一。它根據(jù)國內(nèi)網(wǎng)絡(luò)的特殊情況,由中國科學(xué)院網(wǎng)絡(luò)安全關(guān)鍵技術(shù)研究組經(jīng)過多年研究,綜合運(yùn)用了多種檢測(cè)系統(tǒng)成果制研成功的。它根據(jù)系統(tǒng)的安全策略作出反映,實(shí)現(xiàn)了對(duì)非法入侵的定時(shí)報(bào)警、記錄事件,方便取證,自動(dòng)阻斷通信連接,重置路由器、防火墻,同時(shí)及時(shí)發(fā)現(xiàn)并及時(shí)提出解決方案,它可列出可參考的全熱鏈接網(wǎng)絡(luò)和系統(tǒng)中易被黑客利用和可能被黑客利用的薄弱環(huán)節(jié),防范黑客攻擊。該系統(tǒng)的總體技術(shù)水平達(dá)到了“國際先進(jìn)水平”(1998年的關(guān)鍵技術(shù)“中國科學(xué)院若干網(wǎng)絡(luò)安全”項(xiàng)目成果鑒定會(huì)結(jié)論)。
十三、啟明星辰的SkyBell(天闐)
啟明星辰公司的黑客入侵檢測(cè)與預(yù)警系統(tǒng),集成了網(wǎng)監(jiān)聽監(jiān)控、實(shí)時(shí)協(xié)議分析、入侵行為分析及詳細(xì)日志審計(jì)跟蹤等功能。對(duì)黑客入侵能進(jìn)行全方位的檢測(cè),準(zhǔn)確地判斷上述黑客攻擊方式,及時(shí)地進(jìn)行報(bào)警或阻斷等其它措施。它可以在Internet和Intranet兩種環(huán)境中運(yùn)行,以保護(hù)企業(yè)整個(gè)網(wǎng)絡(luò)的安全。
該系統(tǒng)主要包括兩部分:探測(cè)器和控制器。
探測(cè)器能監(jiān)視網(wǎng)絡(luò)上流過的所有數(shù)據(jù)包,根據(jù)用戶定義的條件進(jìn)行檢測(cè),識(shí)別出網(wǎng)絡(luò)中正在進(jìn)行的攻擊。實(shí)時(shí)檢測(cè)到入侵信息并向控制器管理控制臺(tái)發(fā)出告警,由控制臺(tái)給出定位顯示,從而將入侵者從網(wǎng)絡(luò)中清除出去。探測(cè)器能夠監(jiān)測(cè)所有類型的TCP/IP網(wǎng)絡(luò),強(qiáng)大的檢測(cè)功能,為用戶提供了最為全面、有效的入侵檢測(cè)能力。
