入侵检测产品比较(2)

　　11.CyberSafe公司的Centrax 2.2

　　同Axent和ISS一样，CyberSafe正向集成化的基于主机和基于网络的入侵检测方向发展。其Centrax提供了三种类型的客户端：一个批处理器、一个实时主机检查器和一个实时网络检查器。一旦用户搞清楚了哪一个组件是完成什么功能的，就会发现这个产品用起来相当容易。

　　Centrax使用传感器/控制台方法，工作方式与RealSecure 的管理台类似。与Axent的产品不同的是，Centrax能够无缝地集成到主管理控制台中。管理部署的传感器制定一个模板策略，然后将它“推”给适当的传感器。修改和更新所有远程机器上的策略极其容易，只需简单地选择它们并且“应用（apply）”一个预先定义的策略即可。

　　对Centrax的管理台有两点不满意。第一，用户无法清除报警。第二，对报警进行分类处理很困难。当四五十个报警同时出现时，无法对它们进行分类控制，这会很快使管理员陷入困境。

　　以基于主机的方式进行检测时，Centrax从NT事件日志中提取绝大部分数据。Centrax相当棒的地方是它能够进行大范围的主机内容检查，包括失败的登录、修改的系统文件和注册设置等。

　　然而，Centrax基于网络的检测功能要弱得多。Centrax网络传感器预先定义的攻击签名只有约50个。虽然它具有良好的入侵检测结构，但是极弱的签名库影响了它准确检测基于网络的攻击的能力。对于基于NT主机的监视，Centrax 现在表现得不是很令人满意。

　　12.中科网威的“天眼”入侵检测系统

　　中科网威信息技术有限公司的“天眼”入侵检测系统、“火眼”网络安全漏洞检测系统是国内少有的几个入侵检测系统之一。它根据国内网络的特殊情况，由中国科学院网络安全关键技术研究组经过多年研究，综合运用了多种检测系统成果制研成功的。它根据系统的安全策略作出反映，实现了对非法入侵的定时报警、记录事件，方便取证，自动阻断通信连接，重置路由器、防火墙，同时及时发现并及时提出解决方案，它可列出可参考的全热链接网络和系统中易被黑客利用和可能被黑客利用的薄弱环节，防范黑客攻击。该系统的总体技术水平达到了“国际先进水平”（1998年的关键技术“中国科学院若干网络安全”项目成果鉴定会结论）。