各怀绝技主流入侵检测产品大比较
1.1的NetRanger。思科公司
1996年3月,WheelGroup基于多年的行业经验推出了NetRanger。该产品分为两部分:监控网络包和报警传感器(9000美元),以及接收和分析报警并启动对策的控制器(10000美元)。
此外,您至少需要一台奔腾PC来运行传感器程序,以及一台Sun SparcStation来通过OpenView或NetView运行控制器程序。它们都运行Sun的Solaris。在硬件和软件平台中,传感器可能需要13,000美元,控制器可能需要25,000美元。
NetRanger以高性能著称,同时也非常容易裁剪。控制器可以综合多个站点的信息,监控分散在整个企业网络中的攻击。NetRanger的口碑在于为企业设计。这种声誉的标志之一是它的分销渠道,EDS、Perot Systems和IBM Global Services都是它的分销商。
NetRanger在广域网上运行成功。例如,它具有路径加倍功能。如果一条路径中断,可以从备份路径上传信息。它甚至可以从一个点进行监控,或者将监控权转让给第三方。
NetRanger的另一个优点是,它不仅观察单个包的内容,而且在检测问题时还会查看上下文,即从多个包中获得线索。这一点非常重要,因为入侵者可能以字符模式访问端口,然后在每个数据包中只放一个字符。如果监视器只观察单个数据包,它将永远找不到完整的信息。
根据GartnerGroup的研究专家Jude O'Reilley的说法,NetRanger是市场上基于网络的入侵检测软件中经过测试最多的产品之一。
但是,对于一些用户来说,NetRanger的强大可能只是它的不足。它被设计成在OpenView或NetView下集成,并在网络操作中心(NOC)中使用。它的配置需要对Unix有详细的了解。NetRanger比较贵,可能不适合一般局域网。
2.两个网络警察。网络伙伴
Network Associates Company成立于1977年,由以制造嗅探器检测器而闻名的Network General Company和专门生产反病毒产品的McAfee Associates合并而成。NetWork Associates获得了Cisco的授权,可以在CyberCop中使用NetRanger的引擎和攻击模式数据库。
CyberCop基本上可以看作是NetRanger的局域网管理员版。这些局域网管理员是NetWork Associates的主要客户群。它的软件价格比NetRanger贵:传感器9000美元,服务器上的控制器15000美元。但其平台可以是运行Solaris 2.5.1的戴尔PC(通常预装CyberCop)。运行传感器的平台一般要3000美元,控制器的平台要5000美元。
此外,CyberCop设计为网络应用,20分钟即可安装完毕。它预设了六种常见的配置模式:Windows NT和Unix混合子网、Unix子网、NT子网、远程访问、前沿网络(如互联网接入系统)和骨干网。它没有Netware配置。
前端浏览器设计简单易用,充分发挥网络通用提炼套餐数据的经验,用户使用时易于查看和理解。像Sniffer一样,它在帮助文档中结合了专家知识。CyberCop还可以生成可被嗅探器识别的跟踪文件。与NetRanger相比,CyberCop缺少一些企业级应用的特性,比如路径备份。
据赛博公司(CyberCop)产品经理凯瑟琳·斯托尔兹(Katherine Schmidt)介绍,Network Associates将在安全领域有一系列举措和合作。“我们定位于大规模安全领域,我们将成为整体解决方案的提供商。”
3.RealSecure从3。互联网安全系统公司
GartnerGroup的O'Reilley认为,RealSecure的优势在于简单和价格低廉。与NetRanger和CyberCop类似,RealSecure在结构上有两个部分。引擎负责监控数据包并生成警报,控制台接收警报并作为配置和生成数据库报告的中心点。这两个部分都可以在NT、Solaris、SunOS和Linux上运行,并且可以在混合或匹配的操作系统中使用。它们都可以在商用微型计算机上运行。
对于小型系统,可以在同一台机器上运行引擎和控制台,但对于NetRanger或CyberCop是不可能的。Real的引擎价值1万美元,主机免费。一个引擎可以向多个控制台报告,一个控制台也可以管理多个引擎。
RealSecure可以重新配置检查点软件的FireWall-1。据入侵检测技术经理马可·伍德称,ISS还计划重新配置思科的路由器,并正在OpenView下开发应用程序。
4.凯恩安全4号监视器。入侵检测公司
用于NT的基于主机的Kane安全监视器(KSM)于1997年9月推出。在结构上,它由三部分组成,即审计器、控制台和代理。代理用于浏览NT日志并将统计结果发送给审计员。系统安全官使用控制台的GUI界面接收警报、查看历史记录和系统的实时行为。KSM对每个受保护的服务器(包括审计员和控制台)的报价为1495美元,在此基础上,对每个工作站代理的报价为295美元。
据Miora系统咨询公司(位于加利福尼亚州普拉亚德尔雷伊,擅长安全技术)的高级顾问大卫·布鲁辛(David Brussin)介绍,KSM在TCP/IP监控方面尤其强大。但他也提到入侵检测的产品不是为更快的广域网设计的。
该公司创始人兼总裁罗伯特·凯恩(Robert Kane)表示,入侵检测将于本季度在OpenView下推出其应用,然后在年底推出其与Tivoli管理环境(TME)的集成。未来,入侵检测还计划支持Unix、微软的BackOffice和Novell的Netware。
5.Omni警卫/介绍人警报从5。Axent技术公司
OmniGuard/intrusor Alert(ITA),对应KSM的审计员、控制台和代理,有三个结构组件:一个管理器(1995美元)、一个控制台(免费)和代理(每台服务器995美元,每台工作站95美元)。
ITA入侵检测提供了比KSM更广泛的平台支持。它的管理器和代理可以在Windows NT,95,3.1,Netware 3.x,4.x上运行,所有部分可以在各种Unix上运行,如Solaris,SunOS,IBM AIX,HP-UX和DEC的Unix。
ITA可以根据一些解决方案进行定制,这些解决方案可以来自主流操作系统、防火墙厂商、Web服务器厂商、数据库应用和路由器厂商。Axent在2月份合并了防火墙制造商Raptor,并将增强ITA以重新配置Raptor的防火墙。
6.会话Wall-3/Etrust Intrusion Detection from 6。计算机协会
session wall-3/eTrust Intrusion Detection通过降低对网络管理技能和时间的要求,在保证网络连接性能的前提下,大大提高了网络的安全性。session wall-3/eTrust Intrusion Detection可以完全自动地识别网络使用模式、特殊网络应用程序以及基于网络的各种入侵、攻击和滥用活动。此外,session wall-3/eTrust Intrusion Detection还可以提取网络上发生的关于生产应用程序、网络安全和公司策略的许多疑问。
session wall-3/eTrust Intrusion Detection是作为独立或补充产品设计的,其功能包括:
世界一流的攻击监控引擎,可以监控网络攻击;
丰富的URL控制表单可以控制20多万个分类站点;
...针对Java/ActiveX恶意小程序的世界级监控引擎和病毒监控引擎;
session wall-3/Etrust Intrusion Detection远程管理插件,用于存档和查询session wall-3/Etrust Intrusion Detection记录文件,以及查询没有session wall-3/Etrust Intrusion Detection的计算机的session wall-3/Etrust Intrusion Detection报告。
会话wall-3/etrust入侵检测的网络安全保护
session wall-3/eTrust Intrusion Detection是一款屡获殊荣的网络安全管理软件。
session wall-3/etrust intrusion detection的功能包括:
提供从高级网络统计到特定用户使用统计的全面网络应用报告;
网络安全功能包括内容扫描、入侵监控、拦截、报警和记录。
监控网络和内部网络使用政策,监控和执行公司网络和内部网络的访问政策;
公司保全或诉讼保护意味着监控、记录、查看和归档电子邮件的内容;
session wall-3/eTrust Intrusion Detection还包括一个WEB访问策略集(用于监控/阻止/报警)和一个入侵监控策略集(用于攻击监控、恶意小程序和恶意电子邮件)。这些策略集包含用于扫描所有通信的会话WALL-3/eTrust Intrusion Detection的策略。这些策略不仅指定了扫描模式、通信协议、寻址模式、网络域、URL和扫描内容,还指定了相应的处理动作。一旦安装了会话WALL-3/eTrust Intrusion Detection,它将立即监控入侵企图和可疑的网络活动,并记录所有电子邮件、WEB浏览、新闻、Telnet和FTP活动。
会话wall-3/etrust intrusion detection还可以通过菜单驱动的选项轻松添加新规则或修改现有规则。
Sessionwall-3/eTrust入侵检测可以满足各种网络防护需求,其主要应用对象包括审计人员、安全顾问、执法监管机构、金融机构、中小型商业机构、大型企业、ISP、教育机构和政府机构等。
会话wall-3/etrust入侵检测的功能
session wall-3/eTrust Intrusion Detection是一个全面且易于使用的网络保护解决方案,它克服了网络保护中的主要业务障碍。其主要手段包括:
在一定程度上降低用户的技能和资源需求;
…提供经济且可扩展的解决方案;
提供管理报告;
…提供灵活易用的工具。
从操作的角度来看,session wall-3/eTrust Intrusion Detection消除了安装和操作某些网络保护解决方案的麻烦。事实上,session wall-3/Etrust Intrusion Detection可以提供许多人们所期望的内在网络特征,但在过去,这些特征只能通过各种工具和复杂的分析来获得。为了实现这一目标,session wall-3/Etrust Intrusion Detection采用了以下措施:
即插即用安装(自动配置);
易于使用的图形用户界面;
...登录网络活动在线咨询;
实时统计和图形显示;
全面的“深入”报告;
在线查询和计划报告;
…易于更新监控、拦截和报警规则;
全面的响应和报警设置,包括实时干扰、预定义的拦截规则、第三方应用启动响应接口、不同的信息发送方式。
用于监控和阻止的全面URL站点分类和控制列表。
…支持WEB自我评分系统(RSACi)。
…可疑小程序的高级监控(例如,Java/ActiveX引擎)。
…全面的病毒扫描引擎和病毒数据库。
用于格式化内容和附件的完整浏览器。
...扫描和阻止电子文本模式内容;
…由菜单驱动的自动地址解析。
...特殊的保密功能可以提供登录和管理访问控制,以控制访问权限。
会话Wall-3/Etrust入侵检测的特征
session wall-3/eTrust Intrusion Detection不同于大多数网络保护产品。后者刚性嵌入网络通信路径,而前者是完全透明的。它不需要对网络和地址做任何改变,也不会给平台无关的网络带来任何传输延迟。
会话wall-3/etrust intrusion detection可以完全满足您的需求!
session wall-3/eTrust Intrusion Detection代表了最新一代的Internet和Intranet网络防护产品,具有前所未有的访问控制级别、用户透明性、性能、灵活性、适应性和易用性。会话wall-3/etrust intrusion detection不需要使用昂贵的UNIX主机,它还避免了由非路由防火墙引起的额外开销。此外,Session Wall-3/eTrust Intrusion Detection还包括一个会话窗口,可用于监控和审计网络入侵,并可为滥用电子通信提供充分的证据。
技术/工艺规范
操作系统:Windows 95(OSR 2)、Windows 98或Windows NT 4.0(SP3或以上)或以上;
系统平台:英特尔奔腾100MHz或以上;
内存:64 MB RAM
磁盘空机房:200MB可用空机房
网络接口:标准以太网/令牌环网/FDDI
软件介质:光盘
7.7的潜行者。可信信息系统公司
Stalker由Haystack Labs于1993年推出,是一种基于主机的监视器,可用于NT和许多版本的Unix,包括Solaris、AIX、HP-UX和SCO的UnixWare。管理器2.1版售价9995美元,每个代理售价695美元。
Haystack Labs于1996年6月推出了WebStalker Pro。它的操作系统和Stalker的一样,但是它的应用对象是Web服务器。Unix下报价4995美元,NT下报价2995美元。Sun公司的Netra网络服务器是与网络跟踪者的特殊版本一起出售的。IBM全球服务部也出售网络跟踪者。
开发NT防火墙产品Gauntlet的可信信息系统公司于1997年10月收购了Haystack。1997年12月,发布了Proxy Stalker,这是一款专为微软代理服务器2.0设计的监视器,只能在NT下运行。ProxyStalker计划在第一季度推出,价格尚未公布,但估计应该和代理服务器同档次,也就是1000美元以内。
这三个Stalker产品都可以重新配置Gauntlet,这是一个防火墙产品,并且这三个产品都可以同时检测和消除入侵。例如,WebStalker Pro可以终止登录或进程,也可以重新启动Web服务器。潜行者家族也可以和TME融合。
8的龙id。网络安全奇才公司
Network Wizards是一家进入IDS市场的新公司。虽然它的产品Dragon还不太为人所知,但它做得非常好。它正在检测更多的攻击。Dragon是一个非常原始的工具,建议不熟悉UNIX系统的用户不要使用。但如果用户非常在意入侵检测的健壮性,对易用性要求不高,Dragon还是不错的选择。
Dragon是通过命令行执行的,只是一个非常简单的基于网络的报告工具。除了NFR,NSW是一种将真实代码放入攻击签名的产品。签名文件是一个简单的文本文件,它是用一个非常简单的指令集构建的。指令集的简单性也使得Dragon用户可以方便地定制和生成自己的攻击签名。Dragon的攻击行为表示方法不如NFR的n-code灵活,但也能达到目的。通过使用基本参数定义集,用户可以定义要搜索的端口、协议、样本大小、字符串等。
不幸的是,Dragon在易用性和事件可管理性方面完全失败了。Dragon不提供中央控制台或任何种类的GUI管理工具,它产生的数据又长又复杂,所以很难理解。龙的成熟需要一个过程。
Dragon可以处理碎片整理。它不仅能无误地重组碎片,而且即使在网络占用率达到70 ~ 80%的情况下也能保持性能不变。新州声称已经在Dragon中部署了很多功能盒,可以以130Mbps的速度运行。如果您想要一个简单而强大的入侵检测功能,并且需要轻松添加或修改攻击签名,那么Dragon是一个不错的选择。
9.布莱奇后卫和企业冰Pac 1.0的9。网络冰公司
网络公司的BlackIce Defender是结合了基于主机和基于网络的检测技术的产品,用于Windows系统。安装BlackIce的时候没有什么特别的印象:管理界面比较麻烦,配置选项也不多。不过BalckIce表现很好,可以重组片段。
BlackIce可以检测更多的攻击,在网络负载饱和的情况下仍然能够胜任。该公司声称已经提供了200多个攻击签名,BlackIce的表现优于许多其他基于网络的入侵检测产品。
但是BlackIce的报告机制并不令人满意。基于网络的工具很难使用。通信通过HTTP在线路上传输,不加密,而RealSecure和Dragon加密所有从传感器到控制台的通信。
BlackIce还提供了一个名为Black Track的服务,这个服务对于一些企业来说非常有用,但是对于想要偷偷摸摸进行入侵检测的用户来说并不合适。黑迹通过发起NetBIOS和DNS反向查询收集恶意主机信息。幸运的是,与NetProwler不同,BlackIce允许用户自己禁止这些查询。
BlackIce一个有趣的特点是可以作为个人IDS和防火墙的组合方案。小黑可以关闭所有的网络,它检测到正在造成敌对行动。
那些希望保证移动用户安全的公司可能会对BlackIce特别感兴趣。它的个人防火墙功能允许网络管理员扩展一些更高级别的安全保护。而且它的价格只有40美元左右,是一款相当超值的产品。
10。NFR公司的入侵检测设备4.0
NFR是提出开源代码概念的IDS厂商,这是其不断普及的最重要原因。NFR通过NFR的“研究版”免费发布其早期版本的源代码。虽然正式版相比研究版有很多修改,但后者仍然可以提供完整的IDS方案。
在IDA 4.0中,NFR解决了其在管理工具和签名设置方面的不足。该程序使用一个基于Win32的GUI管理工具来代替原来的基于Java的工具,因为基于Java的管理工具经常会由于浏览器的不连续Java实现而崩溃。新的管理GUI为管理员配置和监控部署的NFR传感器提供了一种简单的方法,但事件清理仍然是一项艰巨的任务。
管理员只能得到单行的攻击描述,所以对攻击数据进行分页非常麻烦。如果用户不熟悉常用攻击方法的表达方式,往往需要参考手册的帮助。
另一个问题是,NFR一直缺乏可靠的特征码集。尽管用户可以使用NFR内置的过滤脚本n-code编写自己的签名,但很少有公司有时间或资源这样做。为了帮助解决这个问题,www.l0pht.com NFR公司与L0pht重工业公司合作开发了攻击特征码集。L0pht已经提供了300多个签名,还将提供数百个。但这次我们只能测试其中的一小部分。这个测试的签名效果很好,但是RealSecure和NetRanger的攻击签名集要大得多。只有在NFR发布完整的签名集后,IDA才会成为真正强大的产品。
NFR是一个非常有用的网络监测和报告工具:除了入侵检测,NFR还允许用户通过网络收集Telnet,Ftp和Web数据。这个功能看似不起眼,但对于希望拥有这种集中式信息的用户来说非常有用,尤其是当它跨越多个平台时。
1.网络安全公司的Centrax 2.2
像Axent和ISS一样,CyberSafe正在向基于主机和基于网络的集成入侵检测发展。Centrax提供了三种类型的客户端:批处理机、实时主机检查器和实时网络检查器。一旦用户弄清楚哪个组件执行什么功能,他们会发现这个产品非常容易使用。
Centrax使用传感器/控制台方法,其工作方式类似于RealSecure的管理控制台。与Axent的产品不同,Centrax可以无缝集成到主管理控制台中。部署的传感器会制定一个模板策略,然后将其“推”给适当的传感器。在所有远程机器上修改和更新策略非常容易,只需选择它们并“应用”预定义的策略。
对Centrax的管理台有两点不满。首先,用户不能清除警报。其次,很难对警报进行分类。当四五十个报警同时出现时,无法分类控制,会很快让管理员陷入困境。
基于主机测试时,Centrax从NT事件日志中提取大部分数据。Centrax的伟大之处在于,它可以检查广泛的主机内容,包括失败的登录、修改的系统文件和注册设置等。
而Centrax基于网络的检测功能就弱很多。Centrax网络传感器只有大约50个预定义的攻击特征。虽然它具有良好的入侵检测结构,但其薄弱的特征库影响了其准确检测基于网络的攻击的能力。对于基于NT主机的监控,Centrax现在还不是很满意。
12.中科网络“田燕”入侵检测系统
中科信息技术有限公司的“田燕”入侵检测系统和“霍焰”网络安全漏洞检测系统是国内为数不多的入侵检测系统。针对国内网络的特殊情况,由中国科学院网络安全关键技术研究组经过多年研究,综合应用各种检测系统,研制成功。根据系统的安全策略,对非法入侵及时报警,记录事件,方便取证,自动阻断通信连接,重置路由器和防火墙,及时发现并提出解决方案。它可以列出系统中容易被黑客利用和可能被黑客利用的全热链接网络和薄弱环节,以防止黑客攻击。系统整体技术水平达到“国际先进水平”(1998年“中国科学院若干网络安全项目”关键技术的结论)。
13.金星的天空钟
启明星辰的黑客入侵检测预警系统集网络监控、实时协议分析、入侵行为分析、详细日志审计跟踪等功能于一体。可以全面检测黑客入侵,准确判断上述黑客手段,及时采取报警或阻断等其他措施。它可以在Internet和Intranet环境下运行,以保护整个企业网络的安全。
该系统主要包括两部分:探测器和控制器。
检测器可以监控流经网络的所有数据包,根据用户定义的条件检测它们,并识别网络中正在进行的攻击。检测到实时入侵信息并向控制器管理控制台发送警报,控制台给出定位显示,从而将入侵者从网络中清除。该检测器可以监控所有类型的TCP/IP网络,其强大的检测功能为用户提供了最全面有效的入侵检测能力。
位律师回复
0条评论