主流网络产品入侵检测产品比较(5)

七、Trusted Information System公司的Stalkers
     由Haystack Labs于1993年推出的Stalker是一个基于主机的监测器，它能用于NT以及多种版本的Unix，包括Solaris、AIX、HP-UX和SCO的 UnixWare。2.1版的管理器价格为9995美元，每个代理为695美元。
     Haystack Labs在1996年6月推出了WebStalker Pro，其操作系统运行平台和Stalker是一样的，但其使用对象是Web服务器。它在Unix下的报价是4995美元，在NT下的报价是2995美元。Sun的Netra Web服务器在销售时就带有一个WebStalker的专门版。IBM Global Services也销售WebStalker。
     开发基于NT防火墙产品Gauntlet的Trusted Information System公司于1997年10月收购了Haystack。于1997年12月宣布了只在NT下运行且为微软的Proxy Server 2.0设计的监测器??ProxyStalker。ProxyStalker计划于第一季度推出，其价格尚未宣布，但估计和Proxy Server应该是同等档次的产品，即少于1000美元。
    所有三种Stalker产品都可以对防火墙产品Gauntlet重新配置，三种产品也都可以在发现入侵的同时消灭入侵。例如，WebStalker Pro可以终止一个登录或一个进程，它也可以重启一个Web服务器。Stalker家族也能与TME集成在一起。
八、Network Security Wizards公司的Dragon IDS
    Network Security Wizards是一家新进入IDS市场的公司。尽管它的产品Dragon现在还没有多少名气，但它在表现极好。它在检测到较多攻击。Dragon是一个非常原始的工具，建议不熟悉UNIX系统的用户不要使用。但如果用户十分在意入侵检测的健壮性并且对易于使用要求不高的话， Dragon还是一个很不错的选择。
   Dragon通过命令行方式来执行，只有非常简单的基于Web 的报告工具。除了NFR外，NSW是唯一一个将真正的代码放在攻击签名中的产品。签名文件是一个简单的文本文件，使用一个非常简单的指令集建立。指令集的简单性也允许 Dragon的用户很方便地定制和产生他们自己的攻击签名。Dragon的攻击行为表示方法没有NFR的n-code灵活，但它同样能够达到目的。通过使用一个基本的参数定义集合，用户可以定义要搜索的端口、协议、样本大小、字符串等。
   不幸的是，Dragon在易于使用和事件可管理性方面完全失败。Dragon没有提供中央控制台或任何类型的GUI管理工具，它产生的数据冗长而又复杂，很不容易看懂。Dragon的成熟还需要一个过程。
   Dragon能够处理碎片重组。它不仅能够无错地重组碎片，而且即使当网络占用率达70～80％时仍然性能不减。NSW 声称它在Dragon中部署了许多功能盒，这些功能盒能够以130Mbps的速率运行。如果想要一个简单而又强大的入侵检测功能并且要求易于增加或修改攻击签名的话，那么Dragon是很好的选择。