IDS系统工具分析

特殊的考虑
每种IDS厂商对他们的产品都有特殊的考虑。通常这些考虑是针对操作系统的特殊设置的。例如，许多厂商要求你将代理安装在使用静态IP地址的主机上。因此，你也许需要配置DHCP和WINS服务器来配合管理者。这种特殊的考虑在一定程度上解释了为什么大多数IDS程序用一个管理者来管理数台主机。另外，安装管理者会降低系统的性能。而且，在同一网段中安装过多的管理者会占用过多的带宽。
另外，许多IDS产品在快于10MB的网络中工作起来会有问题。通常IDS的厂商要求你不要将管理者安装在使用NFS或NFS+的UNIX操作系统上，因为这种文件系统允许远程访问，管理者会使它们缺乏稳定和不安全。
除非特殊情况，你不应将IDS的管理者安装在装了双网卡或多网卡的用做路由器的主机上，或者安装在防火墙上。例如，Windows NT PDC或BDC也不是安装大多数IDS管理者的理想系统，不仅因为管理者会影响登录，而且PDC或BDC所必须的服务会产生trap door和系统错误。
管理者和代理的比例
管理者和代理的比例数字会因生产厂商和版本的不同而不同。例如，Axent Intruder Alert建议在UNIX或NT的网络上不要使用超过100个代理，NetWare网络中每个管理者不应使用超过50个代理。然而，你需要建立基线来确定IDS结构的理想配置。理想配置是指IDS可以在不影响正常地网络操作的前提下实时监测网络入侵。
代理
由于代理负责监视网络安全，所以大多数的IDS允许你将代理安装在任何可以接受配置的主机上。当你在考虑产品时，你应当确保它可以和网络上的主机配合工作。大多数的产品在UNIX,NT和Novell网络环境中可以出色的工作。有些厂商也生产在特殊网络环境下工作的代理，例如DECnet，mainframes等等。无论如何，你应当通过测试来选择最适合你的网络的产品。所有的代理都工作在混杂模式，并且捕捉网络上传递的信息包。
理想的代理布局
请考虑将代理安装在像数据库，Web服务器，DNS服务器和文件服务器等重要的资源上。像eTrust Intrusion Detection这样的基于扫描的IDS程序也许更适合在某些特定的时段扫描个别的主机。这个工具能够确保你在占用最小带宽的前提下监视网络活动。
下列是部分适合放置代理资源的列表：
·账号、人力资源和研发数据库
·局域网和广域网的骨干，包括路由器和交换机
·临时工作人员的主机
·SMTP，HTTP和FTP服务器
·Modem池服务器和交换机、路由器、集线器
·文件服务器
许多新的网络连接设备限制了IDS扫描。
管理者和代理的通信
在你学习如何为网络挑选产品时，需要明确管理者和代理的通信方式。大多数的IDS程序要求你首先和管理者通信，然后管理者会查询代理。
通常，管理者和代理在通信时使用一种公钥加密。例如，Axent的产品使用400位长Diffie-Helman加密。标准的SSL会话使用128位的加密。比较这两种标准，你可以发现大多数的IDS厂商都采用安全的通信。
有些老的主机级的产品采用明文或经过非常弱地加密的会话。这种功能很具讽刺意味，由于明文传输易遭受hijacking和Man-in-the-middle攻击，这样会严重地破坏你监测和保护网络安全。
有些管理者可以和其它管理者通信。这种管理者之间的通信可以节省带宽并减轻你的管理负担。通过使用组织结构有可能避免这种通信。例如，Axent Intruder Alert（ITA）使用被称作domain的层次结构来组织代理。
审计管理者和代理的通信
作为审计人员，你应该对用户名和密码进行核实，而不应保留缺省设置。同时，你还要确保通信要经过加密和尽可能的安全。
混合入侵检测
基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处，单纯使用一类产品会造成主动防御体系不全面。但是，它们的缺憾是互补的。如果这两类产品能够无缝结合起来部署在网络内，则会构架成一套完整立体的主动防御体系，综合了基于网络和基于主机两种结构特点的入侵检测系统，既可发现网络中的攻击信息，也可从系统日志中发现异常情况。
规则
就像应用防火墙，你必须为IDS建立规则。大多数的IDS程序都有预先定义好的规则。你最好编辑已有的规则并且增加新的规则来为网络提供最佳的保护。通常建立的规则有两大类：网络异常和网络误用。企业级的IDS通常可以实施上百条规则。
不同厂商在使用审计的术语时有所差别。例如，eTrust Intrusion Detection用“rules”来讨论安全审计的规则，而Intruder Alert却使用“policies”。你将会了解到Intruder Alert使用“policies”时意味更深远，它允许你为个别策略建立规则。因此，在理解各个厂商的产品时，不要被术语所迷惑。
网络异常的监测
IDS程序会报告协议级别的异常情况。如果配置正确的话，它可以提示你有关NetBus，Teardrop或Smurf攻击。例如，如果存在过多的SYN连接，IDS程序会向你报警。
网络误用监测
网络误用包括非工作目的的Web浏览，安装未授权的服务（如WAR FTP服务），和玩儿游戏（如Doom或Quake）。你可以对其进行日志记录，阻塞流量或主动地制止。例如，你可以利用程序实施反击或设置“dummy”系统或网络进行诱导。
网络误用是物理的，操作系统的或远程攻击的结果。物理攻击包括偷取硬盘或物理操纵机器来获取信息。操作系统攻击指经过验证的用户试图获得root的访问权限。远程攻击指攻击者通过网络来攻击设备。
常用检测方法
入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。据公安部计算机信息系统安全产品质量监督检验中心的报告，国内送检的入侵检测产品中95％是属于使用入侵模板进行模式匹配的特征检测产品，其他5％是采用概率统计的统计检测产品与基于日志的专家知识库系产品。
特征检测
特征检测对已知的攻击或入侵的方式作出确定性的描述，形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时，即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高，但对于无经验知识的入侵与攻击行为无能为力。