主流网络产品 入侵检测产品比较

七、Trusted Information System公司的Stalkers

由Haystack Labs于1993年推出的Stalker是一个基于主机的监测器，它能用于NT以及多种版本的Unix，包括Solaris、AIX、HP-UX和SCO的 UnixWare。2.1版的管理器价格为9995美元，每个代理为695美元。

Haystack Labs在1996年6月推出了WebStalker Pro，其操作系统运行平台和Stalker是一样的，但其使用对象是Web服务器。它在Unix下的报价是4995美元，在NT下的报价是2995美元。Sun的Netra Web服务器在销售时就带有一个WebStalker的专门版。IBM Global Services也销售WebStalker。

开发基于NT防火墙产品Gauntlet的Trusted Information System公司于1997年10月收购了Haystack。于1997年12月宣布了只在NT下运行且为微软的Proxy Server 2.0设计的监测器??ProxyStalker。ProxyStalker计划于第一季度推出，其价格尚未宣布，但估计和Proxy Server应该是同等档次的产品，即少于1000美元。

所有三种Stalker产品都可以对防火墙产品Gauntlet重新配置，三种产品也都可以在发现入侵的同时消灭入侵。例如，WebStalker Pro可以终止一个登录或一个进程，它也可以重启一个Web服务器。Stalker家族也能与TME集成在一起。

八、Network Security Wizards公司的Dragon IDS

Network Security Wizards是一家新进入IDS市场的公司。尽管它的产品Dragon现在还没有多少名气，但它在表现极好。它在检测到较多攻击。Dragon是一个非常原始的工具，建议不熟悉UNIX系统的用户不要使用。但如果用户十分在意入侵检测的健壮性并且对易于使用要求不高的话， Dragon还是一个很不错的选择。

Dragon通过命令行方式来执行，只有非常简单的基于Web 的报告工具。除了NFR外，NSW是唯一一个将真正的代码放在攻击签名中的产品。签名文件是一个简单的文本文件，使用一个非常简单的指令集建立。指令集的简单性也允许 Dragon的用户很方便地定制和产生他们自己的攻击签名。Dragon的攻击行为表示方法没有NFR的n-code灵活，但它同样能够达到目的。通过使用一个基本的参数定义集合，用户可以定义要搜索的端口、协议、样本大小、字符串等。

不幸的是，Dragon在易于使用和事件可管理性方面完全失败。Dragon没有提供中央控制台或任何类型的GUI管理工具，它产生的数据冗长而又复杂，很不容易看懂。Dragon的成熟还需要一个过程。

Dragon能够处理碎片重组。它不仅能够无错地重组碎片，而且即使当网络占用率达70～80％时仍然性能不减。NSW 声称它在Dragon中部署了许多功能盒，这些功能盒能够以130Mbps的速率运行。如果想要一个简单而又强大的入侵检测功能并且要求易于增加或修改攻击签名的话，那么Dragon是很好的选择。

九、Network Ice公司的BlackIce Defender and Enterprise Icepac 1.0

Network Ice公司的BlackIce Defender是将基于主机和基于网络的检测技术结合起来并用于Windows系统的产品。在安装BlackIce时，没有留下特别的印象：管理接口相当麻烦，配置选择也不是很多。然而BalckIce执行起来非常好，能够进行碎片重组。

BlackIce能够检测较多攻击并且当网络负载很饱和时仍然能够胜任。该公司声称提供了200多个攻击签名，BlackIce要比许多其他基于网络的入侵检测产品表现的好。

但BlackIce的报告机制还不太令人满意。基于Web的工具难于使用，通信未加密就通过HTTP在线路上进行传输，而RealSecure和Dragon对所有从传感器到控制台的通信都进行加密。

BlackIce还提供一个被称为Black Track的服务，这对于一些企业是十分有用的，但它对于想隐蔽地进行入侵检测的用户来讲很不适用。Black Trace 通过发起NetBIOS和DNS反向查询来收集敌对主机信息。幸运的是，与NetProwler不一样，BlackIce允许用户自己禁止这些查询。

BlackIce的一个有趣特性是它可以作为一个个人IDS和防火墙的组合方案。BlackIce能关闭它检测到产生敌意操作的所有网络。

那些想保证自己的移动用户安全的公司可能对BlackIce 特别感兴趣。它的个人防火墙特性可以允许网络管理员扩展一些更高级别的安全保护。而它的价格只有大约40美元，是相当物有所值的产品。

十、NFR公司的Intrusion Detection Appliance 4.0

NFR是提出开放源代码概念的唯一IDS厂商，这是它能够不断普及的最重要原因。NFR通过NFR“研究版”免费发布它早期版本的源代码，尽管正式版与研究版相比进行了许多修改，但是后者仍然能提供一个完整的IDS方案。

在IDA 4.0中，NFR已经解决了它在管理工具和签名设置方面的种种不足。程序采用一个基于Win32的GUI管理工具来取代原来基于Java的工具，因为基于Java的管理工具由于浏览器的Java实现不连续会经常崩溃。新的管理GUI为管理员提供了一个简单的方法来配置和监视部署的NFR传感器，但事件清除仍然是一件费力的事情。

管理员只能得到单行的攻击描述，对攻击数据进行翻页操作非常麻烦。如果用户对常用攻击方式的表达不是很熟悉的话，就不得不经常需要参考手册的帮助。

另一个问题是NFR一直缺乏一个可靠的签名集。虽然通过使用NFR内置的过滤脚本n-code，用户可以编写自己的签名，然而很少有哪一个公司有时间或资源这样做。为了帮助解决这个问题，NFR已经与L0pht Heavy Industries(www.l0pht.com)合作来产生攻击签名集。L0pht提供了300多个签名，并且还将提供另外数百个签名。不过这次我们只能测试其中的一小部分。这次测试的签名工作得很好，但是RealSecure和NetRanger有大得多的攻击签名集。只有NFR发布了完整的签名集以后，IDA才会成为一个真正强有力的产品。

NFR是一个非常有用的网络监视和报告工具：除了入侵检测外，NFR还允许用户收集通过网络的Telnet、Ftp和Web数据。这个功能看似不起眼，但它对于那些想拥有这类集中化信息（尤其是当跨越多个平台时）的用户来讲却非常有用。

十一、CyberSafe公司的Centrax 2.2

同Axent和ISS一样，CyberSafe正向集成化的基于主机和基于网络的入侵检测方向发展。其Centrax提供了三种类型的客户端：一个批处理器、一个实时主机检查器和一个实时网络检查器。一旦用户搞清楚了哪一个组件是完成什么功能的，就会发现这个产品用起来相当容易。

Centrax使用传感器/控制台方法，工作方式与RealSecure 的管理台类似。与Axent的产品不同的是，Centrax能够无缝地集成到主管理控制台中。管理部署的传感器制定一个模板策略，然后将它“推”给适当的传感器。修改和更新所有远程机器上的策略极其容易，只需简单地选择它们并且“应用（apply）”一个预先定义的策略即可。

对Centrax的管理台有两点不满意。第一，用户无法清除报警。第二，对报警进行分类处理很困难。当四五十个报警同时出现时，无法对它们进行分类控制，这会很快使管理员陷入困境。

以基于主机的方式进行检测时，Centrax从NT事件日志中提取绝大部分数据。Centrax相当棒的地方是它能够进行大范围的主机内容检查，包括失败的登录、修改的系统文件和注册设置等。

然而，Centrax基于网络的检测功能要弱得多。Centrax网络传感器预先定义的攻击签名只有约50个。虽然它具有良好的入侵检测结构，但是极弱的签名库影响了它准确检测基于网络的攻击的能力。对于基于NT主机的监视，Centrax 现在表现得不是很令人满意。

十二、中科网威的“天眼”入侵检测系统

中科网威信息技术有限公司的“天眼”入侵检测系统、“火眼”网络安全漏洞检测系统是国内少有的几个入侵检测系统之一。它根据国内网络的特殊情况，由中国科学院网络安全关键技术研究组经过多年研究，综合运用了多种检测系统成果制研成功的。它根据系统的安全策略作出反映，实现了对非法入侵的定时报警、记录事件，方便取证，自动阻断通信连接，重置路由器、防火墙，同时及时发现并及时提出解决方案，它可列出可参考的全热链接网络和系统中易被黑客利用和可能被黑客利用的薄弱环节，防范黑客攻击。该系统的总体技术水平达到了“国际先进水平”（1998年的关键技术“中国科学院若干网络安全”项目成果鉴定会结论）。

十三、启明星辰的SkyBell(天阗)

启明星辰公司的黑客入侵检测与预警系统，集成了网监听监控、实时协议分析、入侵行为分析及详细日志审计跟踪等功能。对黑客入侵能进行全方位的检测，准确地判断上述黑客攻击方式，及时地进行报警或阻断等其它措施。它可以在Internet和Intranet两种环境中运行，以保护企业整个网络的安全。

该系统主要包括两部分：探测器和控制器。

探测器能监视网络上流过的所有数据包，根据用户定义的条件进行检测，识别出网络中正在进行的攻击。实时检测到入侵信息并向控制器管理控制台发出告警，由控制台给出定位显示，从而将入侵者从网络中清除出去。探测器能够监测所有类型的TCP/IP网络，强大的检测功能，为用户提供了最为全面、有效的入侵检测能力。