代理

　　由于代理负责监视网络安全，所以大多数的IDS允许你将代理安装在任何可以接受配置的主机上。当你在考虑产品时，你应当确保它可以和网络上的主机配合工作。大多数的产品在UNIX,NT和Novell网络环境中可以出色的工作。有些厂商也生产在特殊网络环境下工作的代理，例如DECnet，mainframes等等。无论如何，你应当通过测试来选择最适合你的网络的产品。所有的代理都工作在混杂模式，并且捕捉网络上传递的信息包。

　　理想的代理布局

　　请考虑将代理安装在像数据库，Web服务器，DNS服务器和文件服务器等重要的资源上。像eTrust Intrusion Detection这样的基于扫描的IDS程序也许更适合在某些特定的时段扫描个别的主机。这个工具能够确保你在占用最小带宽的前提下监视网络活动。

　　下列是部分适合放置代理资源的列表：

　　·账号、人力资源和研发数据库

　　·局域网和广域网的骨干，包括路由器和交换机

　　·临时工作人员的主机

　　·SMTP，HTTP和FTP服务器

　　·Modem池服务器和交换机、路由器、集线器

　　·文件服务器

　　许多新的网络连接设备限制了IDS扫描。

　　管理者和代理的通信

　　在你学习如何为网络挑选产品时，需要明确管理者和代理的通信方式。大多数的IDS程序要求你首先和管理者通信，然后管理者会查询代理。

　　通常，管理者和代理在通信时使用一种公钥加密。例如，Axent的产品使用400位长Diffie-Helman加密。标准的SSL会话使用128位的加密。比较这两种标准，你可以发现大多数的IDS厂商都采用安全的通信。

　　有些老的主机级的产品采用明文或经过非常弱地加密的会话。这种功能很具讽刺意味，由于明文传输易遭受hijacking和Man-in-the-middle攻击，这样会严重地破坏你监测和保护网络安全。

　　有些管理者可以和其它管理者通信。这种管理者之间的通信可以节省带宽并减轻你的管理负担。通过使用组织结构有可能避免这种通信。例如，Axent Intruder Alert（ITA）使用被称作domain的层次结构来组织代理。

　　审计管理者和代理的通信

　　作为审计人员，你应该对用户名和密码进行核实，而不应保留缺省设置。同时，你还要确保通信要经过加密和尽可能的安全。

　　混合入侵检测

　　基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处，单纯使用一类产品会造成主动防御体系不全面。但是，它们的缺憾是互补的。如果这两类产品能够无缝结合起来部署在网络内，则会构架成一套完整立体的主动防御体系，综合了基于网络和基于主机两种结构特点的入侵检测系统，既可发现网络中的攻击信息，也可从系统日志中发现异常情况。

　　规则

　　就像应用防火墙，你必须为IDS建立规则。大多数的IDS程序都有预先定义好的规则。你最好编辑已有的规则并且增加新的规则来为网络提供非常好的的保护。通常建立的规则有两大类：网络异常和网络误用。企业级的IDS通常可以实施上百条规则。

　　不同厂商在使用审计的术语时有所差别。例如，eTrust Intrusion Detection用“rules”来讨论安全审计的规则，而Intruder Alert却使用“policies”。你将会了解到Intruder Alert使用“policies”时意味更深远，它允许你为个别策略建立规则。因此，在理解各个厂商的产品时，不要被术语所迷惑。

　　网络异常的监测

　　IDS程序会报告协议级别的异常情况。如果配置正确的话，它可以提示你有关NetBus，Teardrop或Smurf攻击。例如，如果存在过多的SYN连接，IDS程序会向你报警。

　　网络误用监测

　　网络误用包括非工作目的的Web浏览，安装未授权的服务（如WAR FTP服务），和玩儿游戏（如Doom或Quake）。你可以对其进行日志记录，阻塞流量或主动地制止。例如，你可以利用程序实施反击或设置“dummy”系统或网络进行诱导。

网络误用是物理的，操作系统的或远程攻击的结果。物理攻击包括偷取硬盘或物理操纵机器来获取信息。操作系统攻击指经过验证的用户试图获得root的访问权限。远程攻击指攻击者通过网络来攻击设备。

　　常用检测方法

　　入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。据公安部计算机信息系统安全产品质量监督检验中心的报告，国内送检的入侵检测产品中95％是属于使用入侵模板进行模式匹配的特征检测产品，其他5％是采用概率统计的统计检测产品与基于日志的专家知识库系产品。

　　特征检测

　　特征检测对已知的攻击或入侵的方式作出确定性的描述，形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时，即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高，但对于无经验知识的入侵与攻击行为无能为力。

　　统计检测

　　统计模型常用异常检测，在统计模型中常用的测量参数包括：审计事件的数量、间隔时间、资源消耗情况等。常用的入侵检测5种统计模型为：

　　1、操作模型，该模型假设异常可通过测量结果与一些固定指标相比较得到，固定指标可以根据经验值或一段时间内的统计平均得到，举例来说，在短时间内的多次失败的登录很有可能是口令尝试攻击；
　　2、方差，计算参数的方差，设定其置信区间，当测量值超过置信区间的范围时表明有可能是异常；

　　3、多元模型，操作模型的扩展，通过同时分析多个参数实现检测；

　　4、马尔柯夫过程模型，将每种类型的事件定义为系统状态，用状态转移矩阵来表示状态的变化，当一个事件发生时，或状态矩阵该转移的概率较小则可能是异常事件；

　　5、时间序列分析，将事件计数与资源耗用根据时间排成序列，如果一个新事件在该时间发生的概率较低，则该事件可能是入侵。

　　统计方法的最大优点是它可以“学习”用户的使用习惯，从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律，从而透过入侵检测系统。

　　专家系统

　　用专家系统对入侵进行检测，经常是针对有特征入侵行为。所谓的规则，即是知识，不同的系统与设置具有不同的规则，且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达，是入侵检测专家系统的关键。在系统实现中，将有关入侵的知识转化为if-then结构（也可以是复合结构），条件部分为入侵特征，then部分是系统防范措施。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。

　　文件完整性检查

　　文件完整性检查系统检查计算机中自上次检查后文件变化情况。文件完整性检查系统保存有每个文件的数字文摘数据库，每次检查时，它重新计算文件的数字文摘并将它与数据库中的值相比较，如不同，则文件已被修改，若相同，文件则未发生变化。

　　文件的数字文摘通过Hash函数计算得到。不管文件长度如何，它的Hash函数计算结果是一个固定长度的数字。与加密算法不同，Hash算法是一个不可逆的单向函数。采用安全性高的Hash算法，如MD5、SHA时，两个不同的文件几乎不可能得到相同的Hash结果。从而，当文件一被修改，就可检测出来。在文件完整性检查中功能最全面的当属Tripwire。

　　文件完整性检查系统的优点

　　从数学上分析，攻克文件完整性检查系统，无论是时间上还是空间上都是不可能的。文件完整性检查系统是非常强劲的检测文件被修改的工具。实际上，文件完整性检查系统是一个检测系统被非法使用的最重要的工具之一。