出版日期：2004-05-10　总期号：1311　本年期号：32

本期导读 要闻综合 中国信息化 网络与通信 软件与服务 产品与应用 渠道与市场 华东专刊 华南专刊

IDS采购指南 　　安氏领信入侵检测系统 　　安氏领信LinkTrust IDS ND-200是一款基于网络的入侵检测系统，采用新一代的入侵检测技术——基于状态的应用层协议分析技术，大幅度提高了检测的效率和报警的准确度，从根本上解决了长期困扰用户的漏报和误报问题，可以监测高达200 Mbps的网络流量，支持全双工以太网络，支持不对称路由的网络环境，提供两个100M监听端口，可以同时监控DMZ和公司内部的网络。适合部署在满负载百兆网络环境中和比较繁忙的大中型企业，支持真实网络环境下的线速检测及不对称路由环境下的部署。 　　随着网络威胁的日趋复杂化，拥有高效的网络入侵安全解决方案对于保护用户的安全是至关重要的。主动的入侵防护可以保证业务的正常进行，并减少入侵所产生的严重危害。新一代LinkTrust IDS ND-200的核心检测技术融合了底层的硬件加速包捕捉技术、基于状态的应用层协议分析技术和开放的行为描述代码技术来探测攻击。这三大技术构成了LinkTrust IDS ND-200所有解决方案的基础，它显著地提高了入侵检测系统对攻击的识别能力，大幅度地降低了误报率，同时，极大地提升了系统的性能，能够适应高负载的千兆网络环境和关键业务的需求。在精确检测的基础上，LinkTrust IDS产品采用多种主动防护技术来及时切断攻击，避免用户的核心资源遭受损失。这些技术包括与防火墙联动、自主切断TCP连接和向网管软件发送SNMP消息等。 　　金诺网安 　　入侵检测系统 　　金诺网安入侵检测系统KIDS包括入侵检测、应用审计、活动监测、追踪分析、趋势分析、报警响应、扫描器互动、防火墙互动、综合安全管理等多种安全应用，是一个检测到响应再到安全管理的纵深防御战略解决方案。 　　KIDS采用先进的零拷贝流水线和零系统调用架构，综合运用协议分析、特征检测、异常检测等各类检测技术，具有强大的变形攻击识别能力，能高效和准确地检测1300多种已知的攻击行为和未知的可疑行为。 　　KIDS实时监控和审计各种网络应用服务，在线记录和回放应用摘要信息，如：网页访问地址、邮件首部信息、FTP/TELNET等各类连接、数据库关键操作、网络游戏和网上聊天等。 　　KIDS实时监控IP、ICMP、UDP、TCP等协议的网络流量，以图形的方式显示每秒传输的包数和大小。 　　KIDS具有灵活的部署方式，支持模块化部署，支持多网段监听，支持大规模分布式多级集中安全管理和全局预警，支持电信级检测集群和集中监控，定制能力强。 　　KIDS具有开放的响应互动接口，提供了控制台报警、发声报警、邮件、短消息、WinPopup、SNMP陷阱、阻断、调整安全策略等多种响应方式，并可采用SafeScript安全脚本语言及可执行程序定制响应。KIDS支持与防火墙、扫描器和安全管理平台等安全产品进行集成和互动。 　　Dragon入侵检测系统 　　凯创（Enterasys）公司的 Dragon 入侵检测系统提供了基于主机和基于网络的IDS，提供了一套完整的行政和事件管理工具。 这产品兼备模式匹配、协议分析、非常探测功能，可提供业界强大和灵活的IDS 解决方案。 　　Dragon 产品包括： Dragon网络探测器（Dragon Network Sensor）、Dragon主机探测器（Dragon Host Sensor）、Dragon策略管理器（Dragon Policy Manager）和Dragon安全信息管理器（Dragon Security Information Manager）。 　　这些产品一起为探测整个IT基础设施中的各种滥用和攻击，提供了集成的解决方案。通过把网络中探测到的安全事件同主机、防火墙和应用中探测到的安全事件相结合，Dragon 为大企业和小企业都提供了完整的攻击探测。Dragon 探测随处出现的攻击的功能、使用网络探测器和主机探测器的功能以及Dragon安全信息管理器的分析和实时监测功能，为核心IT基础设施提供了高水平的保护。 　　联想网御入侵检测系统 　　联想网御入侵检测系统作为一款网络型入侵检测系统，有N200（百兆环境适用）和N2000（千兆环境适用）两个系列的产品。产品用户涵盖了政府、电力、教育等大行业客户以及企业用户。 　　联想网御入侵检测系统采用分布式入侵检测系统构架，产品分为探测器（硬件）和控制台（软件）两部分。综合使用模式匹配、异常分析、状态协议分析、行为分析、内容恢复、网络审计等入侵分析技术，全面监视网络的通信状态，提供实时的入侵检测及相应的防护手段，最大限度地保障了网络系统安全。 　　其高效的数据采集技术可以减少TCP/IP堆栈的处理，网卡捕获的报文直接放到用户进程可以访问的空间，减少由数据拷贝和系统调用的上下文切换而带来的开销。 　　联想独有的专利入侵行为细粒度检测技术，在检测过程中综合运用多种检测手段，在检测的各个部分使用合适的检测方式，脱离了单纯的匹配或解码的检测模式，有效降低了漏报误报率，提供了高可用性的告警信息。 　　同时，该产品采用DMA技术获取监听数据，采用AMPFAT技术对获取的网络数据包进行分析，有效降低了网络数据包的处理开销，即使在满负载运行状况下也可保持出色的运算性能。 　　联想与国家反计算机入侵和防病毒研究中心合作，共建入侵检测事件规则库，确保了网御入侵检测系统的检测权威性。 　　另外，从探测器的监听网卡隐身技术、精简的嵌入式操作系统、DOM存储机制、基于SSL的加密通讯技术、控制台双因子身份认证机制等多方面保证了系统的安全性。 　　该产品主要实现的功能包括：入侵检测功能（多种行为检测、协议解码、智能IP碎片重组、敏感内容检测、网络事件回放）、系统安全功能（远程安全管理、管理日志审计）、配置功能（安全规则定制、多种响应方式、日志审计和报表）、 附属功能（网络流量统计、日志维护、远程升级）联动功能（开放式接口、控制台管理功能、用户分权限管理、日志库维护）。 　　同时，检测对象目标化，可以针对小型网络中的重点保护对象进行有目标的监测；探测器与控制台执行策略的双向同步；预检策略，可以过滤掉用户所不关心的数据。