主流网络产品入侵检测产品比较(7)

十一、CyberSafe公司的Centrax 2.2
    同Axent和ISS一样，CyberSafe正向集成化的基于主机和基于网络的入侵检测方向发展。其Centrax提供了三种类型的客户端：一个批处理器、一个实时主机检查器和一个实时网络检查器。一旦用户搞清楚了哪一个组件是完成什么功能的，就会发现这个产品用起来相当容易。
    Centrax使用传感器/控制台方法，工作方式与RealSecure 的管理台类似。与Axent的产品不同的是，Centrax能够无缝地集成到主管理控制台中。管理部署的传感器制定一个模板策略，然后将它“推”给适当的传感器。修改和更新所有远程机器上的策略极其容易，只需简单地选择它们并且“应用（apply）”一个预先定义的策略即可。
    对Centrax的管理台有两点不满意。第一，用户无法清除报警。第二，对报警进行分类处理很困难。当四五十个报警同时出现时，无法对它们进行分类控制，这会很快使管理员陷入困境。
    以基于主机的方式进行检测时，Centrax从NT事件日志中提取绝大部分数据。Centrax相当棒的地方是它能够进行大范围的主机内容检查，包括失败的登录、修改的系统文件和注册设置等。
    然而，Centrax基于网络的检测功能要弱得多。Centrax网络传感器预先定义的攻击签名只有约50个。虽然它具有良好的入侵检测结构，但是极弱的签名库影响了它准确检测基于网络的攻击的能力。对于基于NT主机的监视，Centrax 现在表现得不是很令人满意。
十二、中科网威的“天眼”入侵检测系统
    中科网威信息技术有限公司的“天眼”入侵检测系统、“火眼”网络安全漏洞检测系统是国内少有的几个入侵检测系统之一。它根据国内网络的特殊情况，由中国科学院网络安全关键技术研究组经过多年研究，综合运用了多种检测系统成果制研成功的。它根据系统的安全策略作出反映，实现了对非法入侵的定时报警、记录事件，方便取证，自动阻断通信连接，重置路由器、防火墙，同时及时发现并及时提出解决方案，它可列出可参考的全热链接网络和系统中易被黑客利用和可能被黑客利用的薄弱环节，防范黑客攻击。该系统的总体技术水平达到了“国际先进水平”（1998年的关键技术“中国科学院若干网络安全”项目成果鉴定会结论）。
十三、启明星辰的SkyBell(天阗)
    启明星辰公司的黑客入侵检测与预警系统，集成了网监听监控、实时协议分析、入侵行为分析及详细日志审计跟踪等功能。对黑客入侵能进行全方位的检测，准确地判断上述黑客攻击方式，及时地进行报警或阻断等其它措施。它可以在Internet和Intranet两种环境中运行，以保护企业整个网络的安全。
    该系统主要包括两部分：探测器和控制器。
    探测器能监视网络上流过的所有数据包，根据用户定义的条件进行检测，识别出网络中正在进行的攻击。实时检测到入侵信息并向控制器管理控制台发出告警，由控制台给出定位显示，从而将入侵者从网络中清除出去。探测器能够监测所有类型的TCP/IP网络，强大的检测功能，为用户提供了最为全面、有效的入侵检测能力。