今天开码结果

您当前位置:今晚开什么特马几号 > 今天开码结果 >

各怀绝技 主流入侵检测产品大比较

发布日期:2019-08-10   

  1996年3月,WheelGroup基于多年的业界经验推出了NetRanger。产品分为两部分:监测网络包和发告警的传感器(9000美元),以及接收并分析告警和启动对策的控制器(1万美元)。

  另外,至少还需要一台奔腾PC来跑传感器程序以及一台SunSparcStation通过OpenView或NetView来跑控制器程序。两者都运行Sun的Solaris。在软硬件平台中,传感器上可能要花费1.3万美元,控制器上要花费2.5万美元。

  NetRanger以其高性能而闻名,而且它还非常易于裁剪。控制器程序可以综合多站点的信息并监视散布在整个企业网上的攻击。NetRanger的最大名声在于其是针对企业而设计的。这种名声的标志之一是其分销渠道,EDS、Perot Systems、IBMGlobal Services都是其分销商。

  NetRanger在全球广域网上运行很成功。例如,它有一个路径备份(Path-doubling)功能。如果一条路径断掉了,信息可以从备份路径上传过来。它甚至能做到从一个点上监测全网或把监测权转给第三方。

  NetRanger的另一个强项是其在检测问题时不仅观察单个包的内容,而且还看上下文,即从多个包中得到线索。这是很重要的一点,因为入侵者可能以字符模式存取一个端口,然后在每个包中只放一个字符。如果一个监测器只观察单个包,它就永远不会发现完整的信息。

  按照GartnerGroup公司的研究专家Jude OReilley的说法,NetRanger是目前市场上基于网络的入侵检测软件中经受实践考验最多的产品之一。

  但是,正版玄机图,对于某些用户来讲,NetRanger的强项也可能正好是其不足。它被设计为集成在OpenView或NetView下,在网络运行中心(NOC)使用,其配置需要对Unix有详细的了解。NetRanger相对较昂贵,这对于一般的局域网来讲未必很适合。

  CyberCop基本上可以认为是NetRanger的局域网管理员版。这些局域网管理员正是NetWork Associates的主要客户群。其软件价格比NetRanger还贵:传感器为9000美元,服务器上的控制器为15000美元。但其平台却可以是运行Solaris 2.5.1的Dell PC(通常CyberCop是预装在里面的)。跑传感器的平台一般要3000美元,控制器的平台要5000美元。

  另外,CyberCop被设计成一个网络应用程序,一般在20分钟内就可以安装完毕。它预设了6种通常的配置模式:Windows NT和Unix的混合子网、Unix子网、NT子网、远程访问、前沿网(如Internet的接入系统)和骨干网。它没有Netware的配置。

  前端设计成浏览器方式主要是考虑易于使用,发挥Network General在提炼包数据上的经验,用户使用时也易于查看和理解。像在Sniffer中一样,它在帮助文档里结合了专家知识。CyberCop还能生成可以被 Sniffer识别的踪迹文件。与NetRanger相比,CyberCop缺乏一些企业应用的特征,如路径备份功能等。

  按照CyberCop产品经理Katherine Stolz的说法,Network Associates公司在安全领域将有一系列的举措和合作。我们定位在大规模的安全上,我们将成为整体解决方案的提供者。

  按照GartnerGroup的OReilley的说法,RealSecure的优势在于其简洁性和低价格。与NetRanger和CyberCop类似,RealSecure在结构上也是两部分。引擎部分负责监测信息包并生成告警,控制台接收报警并作为配置及产生数据库报告的中心点。两部分都可以在NT、Solaris、SunOS和Linux上运行,并可以在混合的操作系统或匹配的操作系统环境下使用。它们都能在商用微机上运行。

  对于一个小型的系统,将引擎和控制台放在同一台机器上运行是可以的,但这对于NetRanger或CyberCop却不行。RealSecure的引擎价值1万美元,控制台是免费的。一个引擎可以向多个控制台报告,一个控制台也可以管理多个引擎。

  基于主机的Kane Security Monitor(KSM) for NT是1997年9月推出的。它在结构上由三部分组成,即一个审计器、一个控制台和代理。代理用来浏览NT的日志并将统计结果送往审计器。系统安全员用控制台的GUI界面来接收告警、查看历史记录以及系统的实时行为。KSM对每个被保护的服务器报价1495美元(包括审计器和控制台),在此基础上每个工作站代理报价295美元。

  与KSM的审计器、控制台、代理所对应的OmniGuard/Intruder Alert(ITA)在结构上的三个组成部分为一个管理器(1995美元)、控制台(免费)和代理(每个服务器为995美元,每个工作站为95美元)。

  可以根据一些解决方案来剪裁ITA,这些解决方案可来自主流的操作系统、防火墙厂商、Web服务器厂商、数据库应用以及路由器制造商。Axent在2月份兼并了防火墙厂商Raptor,并将增强ITA,使其能对Raptor的防火墙进行重配置。

  SessionWall-3/eTrust Intrusion Detection可以通过降低对网络管理技能和时间的要求,在确保网络的连接性能的前提下,大大提高网络的安全性。SessionWall-3/eTrust Intrusion Detection可以完全自动地识别网络使用模式,特殊网络应用,并能够识别各种基于网络的各种入侵、攻击和滥用活动。另外,SessionWall-3/eTrust Intrusion Detection还可以将网络上发生的各种有关生产应用、网络安全和公司策略方面的众多疑点提取出来。

  ·世界水平对Java/ActiveX恶意小程序的监测引擎和病毒监测引擎;

  ·Web和内部网络使用策略的监视和控制,对Web和公司内部网络访问策略实施监视和强制实施;

  ·公司保护(Company preservation),或称诉讼保护,即对电子邮件的内容进行监视,记录、查看和存档;

  SessionWall-3/eTrust Intrusion Detection还包括用于WEB访问的策略集(用于监视/阻塞/报警)和用于入侵监测的策略集(用于攻击监测、恶意小程序和恶意电子邮件)。这些策略集包含了SessionWall-3/eTrust Intrusion Detection对所有通信进行扫描的策略,这些策略不仅指定了扫描的模式、通信协议、寻址方式、网络域、URL以及扫描内容,还指定了相应的处理动作。一旦安装了SessionWall-3/eTrust Intrusion Detection,它将立即投入对入侵企图和可疑网络活动的监视,并对所有电子邮件、WEB浏览、新闻、Telnet和FTP活动进行记录。

  SessionWall-3/eTrust Intrusion Detection可以满足各种网络保护需求,它的主要应用对象包括审计人员、安全咨询人员、执法监督机构、金融机构、中小型商务机构、大型企业、ISP、教育机构和政府机构等。

  SessionWall-3/eTrust Intrusion Detection是一种功能全面且使用方便的网络保护解决方案,它克服了网络保护中的主要业务障碍,其采用的主要手段包括:

  ·综合的响应和报警集合,包括实时干涉,预定义阻塞规则、第三方应用启动响应接口、以及不同的信息发送方式。

  SessionWall-3/eTrust Intrusion Detection与大多数网络保护产品不同,后者是生硬地安插在网络通信路径中的,而前者则是完全透明的,它不需要对网络和地址做任何的变化,也不会给独立于平台的网络带来任何的传输延迟。

  所有三种Stalker产品都可以对防火墙产品Gauntlet重新配置,三种产品也都可以在发现入侵的同时消灭入侵。例如,WebStalker Pro可以终止一个登录或一个进程,它也可以重启一个Web服务器。Stalker家族也能与TME集成在一起。

  Network Security Wizards是一家新进入IDS市场的公司。尽管它的产品Dragon现在还没有多少名气,但它在表现极好。它在检测到较多攻击。Dragon是一个非常原始的工具,建议不熟悉UNIX系统的用户不要使用。但如果用户十分在意入侵检测的健壮性并且对易于使用要求不高的话, Dragon还是一个很不错的选择。

  Dragon通过命令行方式来执行,只有非常简单的基于Web 的报告工具。除了NFR外,NSW是唯一一个将真正的代码放在攻击签名中的产品。签名文件是一个简单的文本文件,使用一个非常简单的指令集建立。指令集的简单性也允许 Dragon的用户很方便地定制和产生他们自己的攻击签名。Dragon的攻击行为表示方法没有NFR的n-code灵活,但它同样能够达到目的。通过使用一个基本的参数定义集合,用户可以定义要搜索的端口、协议、样本大小、字符串等。

  不幸的是,Dragon在易于使用和事件可管理性方面完全失败。Dragon没有提供中央控制台或任何类型的GUI管理工具,它产生的数据冗长而又复杂,很不容易看懂。Dragon的成熟还需要一个过程。

  Dragon能够处理碎片重组。它不仅能够无错地重组碎片,而且即使当网络占用率达70~80%时仍然性能不减。NSW 声称它在Dragon中部署了许多功能盒,这些功能盒能够以130Mbps的速率运行。如果想要一个简单而又强大的入侵检测功能并且要求易于增加或修改攻击签名的话,那么Dragon是很好的选择。

  Network Ice公司的BlackIce Defender是将基于主机和基于网络的检测技术结合起来并用于Windows系统的产品。在安装BlackIce时,没有留下特别的印象:管理接口相当麻烦,配置选择也不是很多。然而BalckIce执行起来非常好,能够进行碎片重组。

  BlackIce能够检测较多攻击并且当网络负载很饱和时仍然能够胜任。该公司声称提供了200多个攻击签名,BlackIce要比许多其他基于网络的入侵检测产品表现的好。

  但BlackIce的报告机制还不太令人满意。基于Web的工具难于使用,通信未加密就通过HTTP在线路上进行传输,而RealSecure和Dragon对所有从传感器到控制台的通信都进行加密。

  BlackIce还提供一个被称为Black Track的服务,这对于一些企业是十分有用的,但它对于想隐蔽地进行入侵检测的用户来讲很不适用。Black Trace 通过发起NetBIOS和DNS反向查询来收集敌对主机信息。幸运的是,与NetProwler不一样,BlackIce允许用户自己禁止这些查询。

  BlackIce的一个有趣特性是它可以作为一个个人IDS和防火墙的组合方案。BlackIce能关闭它检测到产生敌意操作的所有网络。

  那些想保证自己的移动用户安全的公司可能对BlackIce 特别感兴趣。它的个人防火墙特性可以允许网络管理员扩展一些更高级别的安全保护。而它的价格只有大约40美元,是相当物有所值的产品。

  NFR是提出开放源代码概念的唯一IDS厂商,这是它能够不断普及的最重要原因。NFR通过NFR“研究版”免费发布它早期版本的源代码,尽管正式版与研究版相比进行了许多修改,但是后者仍然能提供一个完整的IDS方案。

  在IDA 4.0中,NFR已经解决了它在管理工具和签名设置方面的种种不足。程序采用一个基于Win32的GUI管理工具来取代原来基于Java的工具,因为基于Java的管理工具由于浏览器的Java实现不连续会经常崩溃。新的管理GUI为管理员提供了一个简单的方法来配置和监视部署的NFR传感器,但事件清除仍然是一件费力的事情。

  管理员只能得到单行的攻击描述,对攻击数据进行翻页操作非常麻烦。如果用户对常用攻击方式的表达不是很熟悉的话,就不得不经常需要参考手册的帮助。

  另一个问题是NFR一直缺乏一个可靠的签名集。虽然通过使用NFR内置的过滤脚本n-code,用户可以编写自己的签名,然而很少有哪一个公司有时间或资源这样做。为了帮助解决这个问题,NFR已经与L0pht Heavy Industries(合作来产生攻击签名集。L0pht提供了300多个签名,并且还将提供另外数百个签名。不过这次我们只能测试其中的一小部分。这次测试的签名工作得很好,但是RealSecure和NetRanger有大得多的攻击签名集。只有NFR发布了完整的签名集以后,IDA才会成为一个真正强有力的产品。

  NFR是一个非常有用的网络监视和报告工具:除了入侵检测外,NFR还允许用户收集通过网络的Telnet、Ftp和Web数据。这个功能看似不起眼,但它对于那些想拥有这类集中化信息(尤其是当跨越多个平台时)的用户来讲却非常有用。

  同Axent和ISS一样,CyberSafe正向集成化的基于主机和基于网络的入侵检测方向发展。其Centrax提供了三种类型的客户端:一个批处理器、一个实时主机检查器和一个实时网络检查器。一旦用户搞清楚了哪一个组件是完成什么功能的,就会发现这个产品用起来相当容易。

  Centrax使用传感器/控制台方法,工作方式与RealSecure 的管理台类似。与Axent的产品不同的是,Centrax能够无缝地集成到主管理控制台中。管理部署的传感器制定一个模板策略,然后将它“推”给适当的传感器。修改和更新所有远程机器上的策略极其容易,只需简单地选择它们并且“应用(apply)”一个预先定义的策略即可。

  对Centrax的管理台有两点不满意。第一,用户无法清除报警。第二,对报警进行分类处理很困难。当四五十个报警同时出现时,无法对它们进行分类控制,这会很快使管理员陷入困境。

  以基于主机的方式进行检测时,Centrax从NT事件日志中提取绝大部分数据。Centrax相当棒的地方是它能够进行大范围的主机内容检查,包括失败的登录、修改的系统文件和注册设置等。

  然而,Centrax基于网络的检测功能要弱得多。Centrax网络传感器预先定义的攻击签名只有约50个。虽然它具有良好的入侵检测结构,但是极弱的签名库影响了它准确检测基于网络的攻击的能力。对于基于NT主机的监视,Centrax 现在表现得不是很令人满意。

  中科网威信息技术有限公司的“天眼”入侵检测系统、“火眼”网络安全漏洞检测系统是国内少有的几个入侵检测系统之一。它根据国内网络的特殊情况,由中国科学院网络安全关键技术研究组经过多年研究,综合运用了多种检测系统成果制研成功的。它根据系统的安全策略作出反映,实现了对非法入侵的定时报警、记录事件,方便取证,自动阻断通信连接,重置路由器、防火墙,同时及时发现并及时提出解决方案,它可列出可参考的全热链接网络和系统中易被黑客利用和可能被黑客利用的薄弱环节,防范黑客攻击。该系统的总体技术水平达到了“国际先进水平”(1998年的关键技术“中国科学院若干网络安全”项目成果鉴定会结论)。

  启明星辰公司的黑客入侵检测与预警系统,集成了网监听监控、实时协议分析、入侵行为分析及详细日志审计跟踪等功能。对黑客入侵能进行全方位的检测,准确地判断上述黑客攻击方式,及时地进行报警或阻断等其它措施。它可以在Internet和Intranet两种环境中运行,以保护企业整个网络的安全。

  探测器能监视网络上流过的所有数据包,根据用户定义的条件进行检测,识别出网络中正在进行的攻击。实时检测到入侵信息并向控制器管理控制台发出告警,由控制台给出定位显示,从而将入侵者从网络中清除出去。探测器能够监测所有类型的TCP/IP网络,强大的检测功能,为用户提供了最为全面、有效的入侵检测能力。

  比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。

  比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!

  比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。

  比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。

  比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。

  比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。

  新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。

  比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。

  比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。

  IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。

  X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。