如果探测到了有问题的行动，基于网络的IDS会自行采取行动，包括重新配置附近的防火墙以拦截所有来自入侵者的数据流.　

基于主机的IDS简介

　　当数据包抵达目的主机后，防火墙和网络监控已经无能为力了，但是还有以个办法可以试试，那就是"基于主机的IDS"

　　基于主机的IDS又可以分成两大类：

　　网络监测：这种监测对抵达主机的数据进行分析并试图确认哪些是潜在的威胁，任何连接都可能是潜在的入侵者所为，请注意，这点与基于网络的IDS不同，因为它仅仅对已经抵达主机的数据进行监测，而后者则是对网络上的流量进行监控。如次一来就不需要把网卡设置成××模式了。

　　主机监测：任何入侵企图（或者成功的入侵）都会在监测文件、文件系统、登录记录或其他主机上的文件中留下痕迹，系统管理员们可以从这些文件中找到相关痕迹。

　　外来连接监测：

　　主机可以在数据包真正抵达主机之前对试图进入主机的数据包进行监测，以避免其进入系统后可能造成的损害。

　　可供选择的处理方式有：

　　监测未经授权的试图通过TCP或者UDP端口进行的连接，比如如果有人试图通过未开放任何服务的端口进行连接，就往往意味着有人在寻找系统漏洞。

　　监测端口扫描：在此我再推荐一种方式：调整防火墙或者调整本地IP配置（可以使用LINUX下的IPCHAINS）以拒绝来自可能的入侵者的连接请求。

　　值得推荐的两个文件是ISS的RealSecure Agent和PortSentry.　

　　注册行为监测

　　即使网管做了最大的努力，安装了最新的IDSS，入侵者也有可能使用无法被监测到的的手段来入侵系统，造成这种情况的重要可能之一就是入侵者使用包嗅探恩公工具已经取得了用户密码并能够合法登录系统。

　　HOSTSENTRY这样的产品的任务之一就是寻找系统的不寻常操作，对用户试图进行注册和注销进行监控，并就这些活动中不正常或者未曾预料的部分向系统管理员报警。　

　　根操作监控

　　入侵者的最终目的是为了掌握被入侵主机上的根用户权限，如果一台WEB服务器规划的好的话，除了极少数的计划好的维修时间以外，根用户应该很少会有什么操作，但是根用户们也很少按照计划去进行检修，而是逮空就干，但是即使是这样，入侵者也很有可能在兔子都不拉屎的时间或者地方干出些什么事情来。

　　需要防御的战线还有以条：监视根用户或系统管理员的任何操作。许多UNIX系统允许根用户执行包括登录、监测在内的所有运算，而象LOGCHECK这样的工具则可以对这些登录记录加以监控并提请网管注意。

　　如果使用了开放源代码的操作系统，网管们只有一个选择：改进内核。如何改进不在本文的讨论范围之内，毕竟INTERNET网上这样的资源很多。

监测文件系统

　　不管你的愿望如何良好，IDS怎么卖命，你也不敢保证系统固若金汤，而系统一旦被攻陷，入侵者就会立即开始更改系统的文件，或者更改一些设置以废掉IDS们的武功（哦！要练神功，必先自宫！！）

　　在软件的安装过程中，不可避免的会更改系统设置，这些设置更改一般会在系统的文件或者LIBRARY的变化中体现出来。

　　类似于TRIPWIRE，FCHECK和AIDSE的程序被设计用于检测系统内的文件变动，并向系统管理员报告。

　　在所有系统文件上使用MD5或者其他的加密、校验和等手段，将这些设置储存进数据库，当文件变化时，校验和也会发生变化。

　　注意所有文件的创建和修改时间，以及它们的时戳。

　　对SUIDS命令的使用加以监控，任何变化或者新的SUIDS命令被安装、删除，都可能会是问题的征兆。

　　不管Tripwire, Fcheck, AIDSE玩得怎么花，它们的工作原理就是上面那些东西，它们的作用是保证那些数据库和加密的校验和没出问题。因为不排除这样一种可能，入侵者水平很高，高到足以理解操作系统和IDSS，直接就把加密的校验和数据库都改得天衣无缝。　

　　基于内核的IDS

　　基于内核的IDS还是以种新生事务，但是成长很快，尤其是在和LINUX的配合方面。

　　现在有两种基于LINUX的不同的基于内核的IDS，它们是OPENWALL和LIDSS。它们在防止缓冲区溢出方面有了长足进展，增强了文件系统的保护，拦截信号并使入侵系统变得更加困难。LIDSS也采取了一定措施以防止根用户执行一些操作，比如安装嗅探器或者更改防火墙规则等等。　

　　内核保护和文件系统保护

　　显而易见的是，虽然最终效果相近，LIDSS系统和TRIPWIRE系统差别很大，它们都可以用于阻止入侵者出于未经授权的目的使用系统。

　　乍看之下，虽然象TRIPWIRE这样的系统确实是一个监测文件系统的好东西，人们也可能会认为他意义不大，人们的共识是：一旦你的系统被内在的入侵者攻陷，最好的办法就是关机重装系统。损失已然造成，系统已然玩完，你还是老老实实从恢复盘上重装系统得了。而LIDSS提供的服务则更有诱惑一些，如果说一般的家伙是在屋子里面已经被糟践得一塌糊涂后才来跑来告诉你门开着的话，LIDSS可能会使你的系统免遭损失。　

　　从理论上说，我也同意以上分析，但是如果将LIDSS和TRIPWIRE同时运行，肯定会带来更好的安全性。虽然LIDSS在保护文件系统方面有着独到之处，但是如果再加上象TRIPWIRE这样的文件系统监视器，用他作为一个"独立的"审计方，效果肯定会更好，因为HACKER有可能会挫败LIDSS的努力。

　　小结

　　使用最新的工具可能会抵御一切已知形式的入侵，不幸的是，随着日常实践，新的威胁和软件的安全漏洞却在不断的被发现。

　　在任何环境下，非常重要的一点是知道你可能面对的所有威胁，要警惕你系统里面可能存在的潜在漏洞并加以修补，以免遭受基于这些漏洞的攻击。

　　举个例子来说，以台通过防火墙被连接到INTERNET 的主机可以说会免于大多数种攻击，但是机器里的CGI程序则会使机器暴露出脆弱的以面，要尤其注意并确定CGI程序已经被合适的配置，数据在执行前已经被确认合法有效。而一个IDS程序则会被放在WEB服务器和防火墙之间以拦截任何可疑的连接。

　　随时更新

　　随着新的入侵手段的发现，上面我们所阐述的工具也在不断更新，所以及时更新工具也是非常重要的。

　　在安装了相应的软件以后，用户有必要经常访问一些和安全有关的页面和邮件列表，同时，如果你所安装的软件或者防火墙报告说其自身出现缺陷或者其他被入侵的问题，千万不要为了面子而不去向软件提供商需求帮助（老外也这么要面子吗？嘿嘿）

　　Which Tools?

　　使用什么软件呢？　

　　以上我们已经探讨了好几种有着不同功能的工具。为了尽量保证你的环境的安全性，根据功能来选择工具就变得非常重要。工具之间"尺有所短，寸有所长"的情况很突出，所以，你的安全防线的第以关应该就是防火墙，然后，在防火墙后侧安装基于网络的IDSS用于监视防火墙，再以后呢（老外就是TMD烦），就应该是连接监测工具，比如PORTSEBTRY或者HOSTSENTRY之类的，最后呢，你还可以用LOGCHECK之类的工具来监测那些最终的进入者。

　当您选择入侵检测系统时，要考虑的要点有：

　　1.系统的价格

　　当然，价格是必需考虑的要点，不过，性能价格比、以及要保护系统的价值可是更重要的因素。

　　2.特征库升级与维护的费用

　　象反病毒软件一样，入侵检测的特征库需要不断更新才能检测出新出现的攻击方法。

　　3.对于网络入侵检测系统，最大可处理流量(包/秒PPS)是多少

　　首先，要分析网络入侵检测系统所布署的网络环境，如果在512K或2M专线上布署网络入侵检测系统，则不需要高速的入侵检测引擎，而在负荷较高的环境中，性能是一个非常重要的指标。

　　4.该产品容易被躲避吗

　　有些常用的躲开入侵检测的方法，如：分片、TTL欺骗、异常TCP分段、慢扫描、协同攻击等。

　　5.产品的可伸缩性

　　系统支持的传感器数目、最大数据库大小、传感器与控制台之间通信带宽和对审计日志溢出的处理。

　　6.运行与维护系统的开销

　　产品报表结构、处理误报的方便程度、事件与事志查询的方便程度以及使用该系统所需的技术人员数量。

　　7.产品支持的入侵特征数

　　不同厂商对检测特征库大小的计算方法都不一样，所以不能偏听一面之辞。

　　8.产品有哪些响应方法

　　要从本地、远程等多个角度考察。自动更改防火墙配置是一个听上去很"酷"的功能，但是，自动配置防火墙可是一个极为危险的举动。

　　9.是否通过了国家权威机构的评测

　　主要的权威测评机构有：国家信息安全测评认证中心、公安部计算机信息系统安全产品质量监督检验中心。