七、Trusted Information System公司的Stalkers

由Haystack Labs于1993年推出的Stalker是一個基于主機(jī)的監(jiān)測器，它能用于NT以及多種版本的Unix，包括Solaris、AIX、HP-UX和SCO的 UnixWare。2.1版的管理器價格為9995美元，每個代理為695美元。

Haystack Labs在1996年6月推出了WebStalker Pro，其操作系統(tǒng)運(yùn)行平臺和Stalker是一樣的，但其使用對象是Web服務(wù)器。它在Unix下的報價是4995美元，在NT下的報價是2995美元。Sun的Netra Web服務(wù)器在銷售時就帶有一個WebStalker的專門版。IBM Global Services也銷售WebStalker。

開發(fā)基于NT防火墻產(chǎn)品Gauntlet的Trusted Information System公司于1997年10月收購了Haystack。于1997年12月宣布了只在NT下運(yùn)行且為微軟的Proxy Server 2.0設(shè)計的監(jiān)測器??ProxyStalker。ProxyStalker計劃于第一季度推出，其價格尚未宣布，但估計和Proxy Server應(yīng)該是同等檔次的產(chǎn)品，即少于1000美元。

所有三種Stalker產(chǎn)品都可以對防火墻產(chǎn)品Gauntlet重新配置，三種產(chǎn)品也都可以在發(fā)現(xiàn)入侵的同時消滅入侵。例如，WebStalker Pro可以終止一個登錄或一個進(jìn)程，它也可以重啟一個Web服務(wù)器。Stalker家族也能與TME集成在一起。

八、Network Security Wizards公司的Dragon IDS

Network Security Wizards是一家新進(jìn)入IDS市場的公司。盡管它的產(chǎn)品Dragon現(xiàn)在還沒有多少名氣，但它在表現(xiàn)極好。它在檢測到較多攻擊。Dragon是一個非常原始的工具，建議不熟悉UNIX系統(tǒng)的用戶不要使用。但如果用戶十分在意入侵檢測的健壯性并且對易于使用要求不高的話， Dragon還是一個很不錯的選擇。

Dragon通過命令行方式來執(zhí)行，只有非常簡單的基于Web 的報告工具。除了NFR外，NSW是唯一一個將真正的代碼放在攻擊簽名中的產(chǎn)品。簽名文件是一個簡單的文本文件，使用一個非常簡單的指令集建立。指令集的簡單性也允許 Dragon的用戶很方便地定制和產(chǎn)生他們自己的攻擊簽名。Dragon的攻擊行為表示方法沒有NFR的n-code靈活，但它同樣能夠達(dá)到目的。通過使用一個基本的參數(shù)定義集合，用戶可以定義要搜索的端口、協(xié)議、樣本大小、字符串等。

不幸的是，Dragon在易于使用和事件可管理性方面完全失敗。Dragon沒有提供中央控制臺或任何類型的GUI管理工具，它產(chǎn)生的數(shù)據(jù)冗長而又復(fù)雜，很不容易看懂。Dragon的成熟還需要一個過程。

Dragon能夠處理碎片重組。它不僅能夠無錯地重組碎片，而且即使當(dāng)網(wǎng)絡(luò)占用率達(dá)70～80％時仍然性能不減。NSW 聲稱它在Dragon中部署了許多功能盒，這些功能盒能夠以130Mbps的速率運(yùn)行。如果想要一個簡單而又強(qiáng)大的入侵檢測功能并且要求易于增加或修改攻擊簽名的話，那么Dragon是很好的選擇。

九、Network Ice公司的BlackIce Defender and Enterprise Icepac 1.0

Network Ice公司的BlackIce Defender是將基于主機(jī)和基于網(wǎng)絡(luò)的檢測技術(shù)結(jié)合起來并用于Windows系統(tǒng)的產(chǎn)品。在安裝BlackIce時，沒有留下特別的印象：管理接口相當(dāng)麻煩，配置選擇也不是很多。然而BalckIce執(zhí)行起來非常好，能夠進(jìn)行碎片重組。

BlackIce能夠檢測較多攻擊并且當(dāng)網(wǎng)絡(luò)負(fù)載很飽和時仍然能夠勝任。該公司聲稱提供了200多個攻擊簽名，BlackIce要比許多其他基于網(wǎng)絡(luò)的入侵檢測產(chǎn)品表現(xiàn)的好。

但BlackIce的報告機(jī)制還不太令人滿意。基于Web的工具難于使用，通信未加密就通過HTTP在線路上進(jìn)行傳輸，而RealSecure和Dragon對所有從傳感器到控制臺的通信都進(jìn)行加密。

BlackIce還提供一個被稱為Black Track的服務(wù)，這對于一些企業(yè)是十分有用的，但它對于想隱蔽地進(jìn)行入侵檢測的用戶來講很不適用。Black Trace 通過發(fā)起NetBIOS和DNS反向查詢來收集敵對主機(jī)信息。幸運(yùn)的是，與NetProwler不一樣，BlackIce允許用戶自己禁止這些查詢。

BlackIce的一個有趣特性是它可以作為一個個人IDS和防火墻的組合方案。BlackIce能關(guān)閉它檢測到產(chǎn)生敵意操作的所有網(wǎng)絡(luò)。

那些想保證自己的移動用戶安全的公司可能對BlackIce 特別感興趣。它的個人防火墻特性可以允許網(wǎng)絡(luò)管理員擴(kuò)展一些更高級別的安全保護(hù)。而它的價格只有大約40美元，是相當(dāng)物有所值的產(chǎn)品。

十、NFR公司的Intrusion Detection Appliance 4.0

NFR是提出開放源代碼概念的唯一IDS廠商，這是它能夠不斷普及的最重要原因。NFR通過NFR“研究版”免費(fèi)發(fā)布它早期版本的源代碼，盡管正式版與研究版相比進(jìn)行了許多修改，但是后者仍然能提供一個完整的IDS方案。

在IDA 4.0中，NFR已經(jīng)解決了它在管理工具和簽名設(shè)置方面的種種不足。程序采用一個基于Win32的GUI管理工具來取代原來基于Java的工具，因?yàn)榛贘ava的管理工具由于瀏覽器的Java實(shí)現(xiàn)不連續(xù)會經(jīng)常崩潰。新的管理GUI為管理員提供了一個簡單的方法來配置和監(jiān)視部署的NFR傳感器，但事件清除仍然是一件費(fèi)力的事情。

管理員只能得到單行的攻擊描述，對攻擊數(shù)據(jù)進(jìn)行翻頁操作非常麻煩。如果用戶對常用攻擊方式的表達(dá)不是很熟悉的話，就不得不經(jīng)常需要參考手冊的幫助。

另一個問題是NFR一直缺乏一個可靠的簽名集。雖然通過使用NFR內(nèi)置的過濾腳本n-code，用戶可以編寫自己的簽名，然而很少有哪一個公司有時間或資源這樣做。為了幫助解決這個問題，NFR已經(jīng)與L0pht Heavy Industries(www.l0pht.com)合作來產(chǎn)生攻擊簽名集。L0pht提供了300多個簽名，并且還將提供另外數(shù)百個簽名。不過這次我們只能測試其中的一小部分。這次測試的簽名工作得很好，但是RealSecure和NetRanger有大得多的攻擊簽名集。只有NFR發(fā)布了完整的簽名集以后，IDA才會成為一個真正強(qiáng)有力的產(chǎn)品。

NFR是一個非常有用的網(wǎng)絡(luò)監(jiān)視和報告工具：除了入侵檢測外，NFR還允許用戶收集通過網(wǎng)絡(luò)的Telnet、Ftp和Web數(shù)據(jù)。這個功能看似不起眼，但它對于那些想擁有這類集中化信息（尤其是當(dāng)跨越多個平臺時）的用戶來講卻非常有用。

十一、CyberSafe公司的Centrax 2.2

同Axent和ISS一樣，CyberSafe正向集成化的基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測方向發(fā)展。其Centrax提供了三種類型的客戶端：一個批處理器、一個實(shí)時主機(jī)檢查器和一個實(shí)時網(wǎng)絡(luò)檢查器。一旦用戶搞清楚了哪一個組件是完成什么功能的，就會發(fā)現(xiàn)這個產(chǎn)品用起來相當(dāng)容易。

Centrax使用傳感器/控制臺方法，工作方式與RealSecure 的管理臺類似。與Axent的產(chǎn)品不同的是，Centrax能夠無縫地集成到主管理控制臺中。管理部署的傳感器制定一個模板策略，然后將它“推”給適當(dāng)?shù)膫鞲衅鳌Ｐ薷暮透滤羞h(yuǎn)程機(jī)器上的策略極其容易，只需簡單地選擇它們并且“應(yīng)用（apply）”一個預(yù)先定義的策略即可。

對Centrax的管理臺有兩點(diǎn)不滿意。第一，用戶無法清除報警。第二，對報警進(jìn)行分類處理很困難。當(dāng)四五十個報警同時出現(xiàn)時，無法對它們進(jìn)行分類控制，這會很快使管理員陷入困境。

以基于主機(jī)的方式進(jìn)行檢測時，Centrax從NT事件日志中提取絕大部分?jǐn)?shù)據(jù)。Centrax相當(dāng)棒的地方是它能夠進(jìn)行大范圍的主機(jī)內(nèi)容檢查，包括失敗的登錄、修改的系統(tǒng)文件和注冊設(shè)置等。

然而，Centrax基于網(wǎng)絡(luò)的檢測功能要弱得多。Centrax網(wǎng)絡(luò)傳感器預(yù)先定義的攻擊簽名只有約50個。雖然它具有良好的入侵檢測結(jié)構(gòu)，但是極弱的簽名庫影響了它準(zhǔn)確檢測基于網(wǎng)絡(luò)的攻擊的能力。對于基于NT主機(jī)的監(jiān)視，Centrax 現(xiàn)在表現(xiàn)得不是很令人滿意。

十二、中科網(wǎng)威的“天眼”入侵檢測系統(tǒng)

中科網(wǎng)威信息技術(shù)有限公司的“天眼”入侵檢測系統(tǒng)、“火眼”網(wǎng)絡(luò)安全漏洞檢測系統(tǒng)是國內(nèi)少有的幾個入侵檢測系統(tǒng)之一。它根據(jù)國內(nèi)網(wǎng)絡(luò)的特殊情況，由中國科學(xué)院網(wǎng)絡(luò)安全關(guān)鍵技術(shù)研究組經(jīng)過多年研究，綜合運(yùn)用了多種檢測系統(tǒng)成果制研成功的。它根據(jù)系統(tǒng)的安全策略作出反映，實(shí)現(xiàn)了對非法入侵的定時報警、記錄事件，方便取證，自動阻斷通信連接，重置路由器、防火墻，同時及時發(fā)現(xiàn)并及時提出解決方案，它可列出可參考的全熱鏈接網(wǎng)絡(luò)和系統(tǒng)中易被黑客利用和可能被黑客利用的薄弱環(huán)節(jié)，防范黑客攻擊。該系統(tǒng)的總體技術(shù)水平達(dá)到了“國際先進(jìn)水平”（1998年的關(guān)鍵技術(shù)“中國科學(xué)院若干網(wǎng)絡(luò)安全”項目成果鑒定會結(jié)論）。

十三、啟明星辰的SkyBell(天闐)

啟明星辰公司的黑客入侵檢測與預(yù)警系統(tǒng)，集成了網(wǎng)監(jiān)聽監(jiān)控、實(shí)時協(xié)議分析、入侵行為分析及詳細(xì)日志審計跟蹤等功能。對黑客入侵能進(jìn)行全方位的檢測，準(zhǔn)確地判斷上述黑客攻擊方式，及時地進(jìn)行報警或阻斷等其它措施。它可以在Internet和Intranet兩種環(huán)境中運(yùn)行，以保護(hù)企業(yè)整個網(wǎng)絡(luò)的安全。

該系統(tǒng)主要包括兩部分：探測器和控制器。

探測器能監(jiān)視網(wǎng)絡(luò)上流過的所有數(shù)據(jù)包，根據(jù)用戶定義的條件進(jìn)行檢測，識別出網(wǎng)絡(luò)中正在進(jìn)行的攻擊。實(shí)時檢測到入侵信息并向控制器管理控制臺發(fā)出告警，由控制臺給出定位顯示，從而將入侵者從網(wǎng)絡(luò)中清除出去。探測器能夠監(jiān)測所有類型的TCP/IP網(wǎng)絡(luò)，強(qiáng)大的檢測功能，為用戶提供了最為全面、有效的入侵檢測能力。