IDS专题--各领风骚

NSRC核心成员 鲍秋吉

　　下面介绍几款主流IDS

　　目前，活跃在IDS市场上的国际"明星"主要有安氏、赛门铁克、CA、Cisco等著名公司。国内经过两年的发展，也涌现出了一大批专业IDS厂商，如冠群金辰、金诺网安等。以下将介绍几款主流的IDS产品及其厂商。

　　RealSecure：ISS公司1997年开始进入IDS领域，提供拥有自主产权的混合了基于网络的和基于主机的RealSecure入侵检测解决方案，迅速成为国际市场占有率（70%）最高的IDS厂商。ISS的主要产品是RealSecure，它将基于网络的、基于主机的和基于协议堆栈的入侵检测技术、分布式技术和可生存技术完美地结合起来，提供实时的安全监控。
　　2001年年底，安氏中国公司在RealSecure的基础上，根据中国客户的需求开发出了硬件IDS产品-领信入侵检测系统（如图所示）。它是基于网络的、自动实时入侵检测和响应系统。它以不引人注目的方式全天候地监控和分析企业级的网络安全问题，在被监控的网络和主机遭受破坏之前阻止非法的入侵行为。它由两部分组成：工作组管理器和网络探测器。

　　ITA：赛门铁克公司兼并了Axent公司后获得了他们的入侵警报和NetProwler技术，并推出了基于主机的IDS--Intruder Alert（ITA）和基于网络的IDS--NetProwler。前者是基于规则的、实时的、集中管理的主机监测系统，它可以在网络边界和网络内部检查和响应来自外界的攻击和可疑行为。
　　NetProwler能记录日志，同时可中断内部不满者和外部黑客的非授权使用、误用和滥用。赛门铁克建议，在实施基于网络的IDS系统的同时仍然在特定的敏感主机上增加代理是一个完善的策略。所以如果企业将NetProwler与Intruder Alert配合使用，能够达到更佳效果。

　　eTrust Intrusion Detection ：CA公司开发的eTrust Intrusion Detection是纯软件IDS系统，其最大的优势在于集中管理，这也是CA公司的长项。它被实施在网络的各个部分，通过对数据包的监听，识别大量基于网络的入侵、攻击和滥用。它可以根据远程各节点收集的数据，全自动地识别网络使用模式、网络使用具体细节，做到最全面地监控网络数据。它还具有如下的特性: 可防御更多的黑客攻击方式，用户可到网上自动升级攻击模式库; 支持新的平台，如Windows 2000/Windows Me。同时，它能与其他相关安全产品配合使用，如防火墙、策略扫描、安全审计及Cisco OS等。目前，eTrust Intrusion Detection的汉化工作正由CA公司与公安部的合资公司冠群金辰公司完成。

　　KIDS: KIDS是由上海金诺网络安全技术发展股份有限公司自行研制开发的，集检测、防御和响应为一体的全方位计算机网络安全检测与防御的硬件系统。它是我国863计划信息安全重点支持项目，代表了信息安全领域新的发展方向。它将主机入侵检测和网络入侵检测相结合，分别从计算机和网络的各个关键点收集违反安全策略的行为和被攻击的迹象，并且可以根据用户的需要实时报警和响应。它以确保政府、银行、证券、电子商务、数据中心等单位和部门的信息安全为目标，既可以防止来自外网的黑客入侵，也可以制止来自内网的恶意行为、误操作和资源滥用。

<<上一页　　完