| 出版日期:2004-08-30 总期号:1343 本年期号:64 |
|
 |
产品点评
联想“网御”入侵检测系统 检测能力完整 
联想NIDS 200A IDS是一款基于网络的入侵检测系统。在管理、功能、健壮性以及性能等四个方面均通过了大部分测试。 联想NIDS 200A IDS在管理上具有灵活可靠、安全的优点。该产品支持本地和远程的控制台管理,Sensor和Console之间的通信采用3-DES算法进行加密,并且通过证书、用户名和密码进行认证, 对通信传输进行了安全性保障。 在检测技术上,联想NIDS 200A IDS采用了智能检测技术,综合了特征匹配、协议分析、流量异常监测等技术的特点,具有较完善的攻击事件库。在保证检测到已知的最新攻击行为的前提下,通过协议状态分析的方法,对一些未知的非法入侵行为进行分析、判断。同时该产品还支持较为完善的规则自定义设置,定义功能可按照邮件的标题、发件人、收件人、附件名称等进行关键字设置;根据HTTP的URL进行关键字检测;根据FTP文件名进行检测;根据SNMP的ID号进行关键字检测。另外还提供表达式模式检测等。 在检测能力测试中,联想NIDS 200A IDS具有完整的检测能力,它能够根据网络流量和特征检测,如端口扫描、蠕虫病毒和各种拒绝服务攻击等具有“多会话形式”特点的攻击。同时,还提供了比较强大的具有分析功能的事件分析器,分别以事件、事件类型、源地址或目标地址等作为条件来对报警事件进行归并和计数,例如在Syn Flood及Teardrop攻击测试中,该产品将大量的攻击行为归并为一次报警,准确有效,并为用户查看报表提供了方便,同时也防止了事件风暴的发生。 该产品具有良好的网络性能,在加载不同背景流状态下,报警仍保持准确。在snot攻击测试中,该产品运行稳定,能够对攻击事件进行智能合并,并具有较好的自身安全性。 测试组认为,该产品通过了赛迪评测大部分IDS测试项目,具有较为完整的检测能力和报警时间合并处理能力,同时也具有较好的网络入侵检测性能。经赛迪评测全面评估,联想NIDS 200A IDS属于一款较为优秀的入侵检测系统。 “网威”网络入侵检测系统 杀内网蠕虫 
“网威”网络入侵检测系统是由北京中科网威信息技术有限公司独立开发的一款基于网络的实时入侵检测及响应系统。 在测试过程中,该产品主要特点是对蠕虫病毒的检测。网威在加强IDS的检测能力的基础上,加强了对网络蠕虫和病毒的检测和防范,主要是通过与网络中的交换机进行互动,控制内网的蠕虫传播。所以这款IDS还有个名字叫做VDS(病毒检测系统)。 在对IDS检测能力进行高级管理时,该系统使用编译技术,创建了网威的脚本语言NPDCL(网威检测控制语言),结合虚拟机技术,创建了解释执行NPDCL语言的虚拟机。通过整个NPDCL脚本来控制整个VDS的检测过程,打破了传统的单一的发现符合某条规则就进行事件报警的机制,极大地提高了检测的灵活性,提高安全事件的关联分析功能。使用脚本检测,对检测的灵活性和准确性都有很大的提高。 功能实现上,使用对病毒的检测功能,当发现蠕虫感染某台主机后,通过和交换机进行互动,对这台主机对外发出的数据进行过滤,防止蠕虫进行传染。在测试中,以当前比较流行的震荡波病毒为例,该系统进行了较为准确的检测。在蠕虫预测功能上,该产品通过使用灵活的脚本对当前流行的蠕虫进行检测,同时提供对网络数据的异常分析,如流量,ICMP信息,syn连接状态等,发现网络中的异常行为,从而对一些未知的蠕虫进行预警。管理员可以根据预警,进行必要的防范工作。工作原理就是利用统计的方法建立模型,对网络中敏感的数据进行监控,如果发现异常,立刻通知用户,使用户进行相应的防御。分析监控的信息主要有网络流量,服务,ICMP数据包等信息。通过这些信息的异常变化,发现网络中存在的未知蠕虫。同时,“网威”网络入侵检测系统可以和Cisco交换机进行互动,当发现蠕虫后,就对感染蠕虫的主机的网络数据进行过滤,控制蠕虫传播。 总体来看,该系统较以前版本增加了系统的性能和检测能力,同时在设置上为用户提供了脚本维护的功能。检测能力上,能够细致地监测利用Web服务器漏洞的蠕虫功能,这对于当前系统病毒检测具有较大的意义。 |
||||||||||||||||||||||||
