在你學(xué)習(xí)如何為網(wǎng)絡(luò)挑選產(chǎn)品時(shí)，需要明確管理者和代理的通信方式。大多數(shù)的IDS程序要求你首先和管理者通信，然后管理者會(huì)查詢代理。

　　通常，管理者和代理在通信時(shí)使用一種公鑰加密。例如，Axent的產(chǎn)品使用400位長(zhǎng)Diffie-Helman加密。標(biāo)準(zhǔn)的SSL會(huì)話使用128位的加密。比較這兩種標(biāo)準(zhǔn)，你可以發(fā)現(xiàn)大多數(shù)的IDS廠商都采用安全的通信。

　　有些老的主機(jī)級(jí)的產(chǎn)品采用明文或經(jīng)過(guò)非常弱地加密的會(huì)話。這種功能很具諷刺意味，由于明文傳輸易遭受hijacking和Man-in-the-middle攻擊，這樣會(huì)嚴(yán)重地破壞你監(jiān)測(cè)和保護(hù)網(wǎng)絡(luò)安全。

　　有些管理者可以和其它管理者通信。這種管理者之間的通信可以節(jié)省帶寬并減輕你的管理負(fù)擔(dān)。通過(guò)使用組織結(jié)構(gòu)有可能避免這種通信。例如，Axent Intruder Alert（ITA）使用被稱作domain的層次結(jié)構(gòu)來(lái)組織代理。

　　審計(jì)管理者和代理的通信

　　作為審計(jì)人員，你應(yīng)該對(duì)用戶名和密碼進(jìn)行核實(shí)，而不應(yīng)保留缺省設(shè)置。同時(shí)，你還要確保通信要經(jīng)過(guò)加密和盡可能的安全。

　　混合入侵檢測(cè)

　　基于網(wǎng)絡(luò)的入侵檢測(cè)產(chǎn)品和基于主機(jī)的入侵檢測(cè)產(chǎn)品都有不足之處，單純使用一類產(chǎn)品會(huì)造成主動(dòng)防御體系不全面。但是，它們的缺憾是互補(bǔ)的。如果這兩類產(chǎn)品能夠無(wú)縫結(jié)合起來(lái)部署在網(wǎng)絡(luò)內(nèi)，則會(huì)構(gòu)架成一套完整立體的主動(dòng)防御體系，綜合了基于網(wǎng)絡(luò)和基于主機(jī)兩種結(jié)構(gòu)特點(diǎn)的入侵檢測(cè)系統(tǒng)，既可發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息，也可從系統(tǒng)日志中發(fā)現(xiàn)異常情況。

　　規(guī)則

　　就像應(yīng)用防火墻，你必須為IDS建立規(guī)則。大多數(shù)的IDS程序都有預(yù)先定義好的規(guī)則。你最好編輯已有的規(guī)則并且增加新的規(guī)則來(lái)為網(wǎng)絡(luò)提供最佳的保護(hù)。通常建立的規(guī)則有兩大類：網(wǎng)絡(luò)異常和網(wǎng)絡(luò)誤用。企業(yè)級(jí)的IDS通�？梢詫�(shí)施上百條規(guī)則。

　　不同廠商在使用審計(jì)的術(shù)語(yǔ)時(shí)有所差別。例如，eTrust Intrusion Detection用“rules”來(lái)討論安全審計(jì)的規(guī)則，而Intruder Alert卻使用“policies”。你將會(huì)了解到Intruder Alert使用“policies”時(shí)意味更深遠(yuǎn)，它允許你為個(gè)別策略建立規(guī)則。因此，在理解各個(gè)廠商的產(chǎn)品時(shí)，不要被術(shù)語(yǔ)所迷惑。

　　網(wǎng)絡(luò)異常的監(jiān)測(cè)

　　IDS程序會(huì)報(bào)告協(xié)議級(jí)別的異常情況。如果配置正確的話，它可以提示你有關(guān)NetBus，Teardrop或Smurf攻擊。例如，如果存在過(guò)多的SYN連接，IDS程序會(huì)向你報(bào)警。

　　網(wǎng)絡(luò)誤用監(jiān)測(cè)

　　網(wǎng)絡(luò)誤用包括非工作目的的Web瀏覽，安裝未授權(quán)的服務(wù)（如WAR FTP服務(wù)），和玩兒游戲（如Doom或Quake）。你可以對(duì)其進(jìn)行日志記錄，阻塞流量或主動(dòng)地制止。例如，你可以利用程序?qū)嵤┓磽艋蛟O(shè)置“dummy”系統(tǒng)或網(wǎng)絡(luò)進(jìn)行誘導(dǎo)。

　　網(wǎng)絡(luò)誤用是物理的，操作系統(tǒng)的或遠(yuǎn)程攻擊的結(jié)果。物理攻擊包括偷取硬盤(pán)或物理操縱機(jī)器來(lái)獲取信息。操作系統(tǒng)攻擊指經(jīng)過(guò)驗(yàn)證的用戶試圖獲得root的訪問(wèn)權(quán)限。遠(yuǎn)程攻擊指攻擊者通過(guò)網(wǎng)絡(luò)來(lái)攻擊設(shè)備。

　　常用檢測(cè)方法

　　入侵檢測(cè)系統(tǒng)常用的檢測(cè)方法有特征檢測(cè)、統(tǒng)計(jì)檢測(cè)與專家系統(tǒng)。據(jù)公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心的報(bào)告，國(guó)內(nèi)送檢的入侵檢測(cè)產(chǎn)品中95％是屬于使用入侵模板進(jìn)行模式匹配的特征檢測(cè)產(chǎn)品，其他5％是采用概率統(tǒng)計(jì)的統(tǒng)計(jì)檢測(cè)產(chǎn)品與基于日志的專家知識(shí)庫(kù)系產(chǎn)品。

　　特征檢測(cè)

　　特征檢測(cè)對(duì)已知的攻擊或入侵的方式作出確定性的描述，形成相應(yīng)的事件模式。當(dāng)被審計(jì)的事件與已知的入侵事件模式相匹配時(shí)，即報(bào)警。原理上與專家系統(tǒng)相仿。其檢測(cè)方法上與計(jì)算機(jī)病毒的檢測(cè)方式類似。目前基于對(duì)包特征描述的模式匹配應(yīng)用較為廣泛。該方法預(yù)報(bào)檢測(cè)的準(zhǔn)確率較高，但對(duì)于無(wú)經(jīng)驗(yàn)知識(shí)的入侵與攻擊行為無(wú)能為力。

　　統(tǒng)計(jì)檢測(cè)

　　統(tǒng)計(jì)模型常用異常檢測(cè)，在統(tǒng)計(jì)模型中常用的測(cè)量參數(shù)包括：審計(jì)事件的數(shù)量、間隔時(shí)間、資源消耗情況等。常用的入侵檢測(cè)5種統(tǒng)計(jì)模型為：

　　1、操作模型，該模型假設(shè)異�？赏ㄟ^(guò)測(cè)量結(jié)果與一些固定指標(biāo)相比較得到，固定指標(biāo)可以根據(jù)經(jīng)驗(yàn)值或一段時(shí)間內(nèi)的統(tǒng)計(jì)平均得到，舉例來(lái)說(shuō)，在短時(shí)間內(nèi)的多次失敗的登錄很有可能是口令嘗試攻擊；

　　2、方差，計(jì)算參數(shù)的方差，設(shè)定其置信區(qū)間，當(dāng)測(cè)量值超過(guò)置信區(qū)間的范圍時(shí)表明有可能是異常；

　　3、多元模型，操作模型的擴(kuò)展，通過(guò)同時(shí)分析多個(gè)參數(shù)實(shí)現(xiàn)檢測(cè)；

　　4、馬爾柯夫過(guò)程模型，將每種類型的事件定義為系統(tǒng)狀態(tài)，用狀態(tài)轉(zhuǎn)移矩陣來(lái)表示狀態(tài)的變化，當(dāng)一個(gè)事件發(fā)生時(shí)，或狀態(tài)矩陣該轉(zhuǎn)移的概率較小則可能是異常事件；

　　5、時(shí)間序列分析，將事件計(jì)數(shù)與資源耗用根據(jù)時(shí)間排成序列，如果一個(gè)新事件在該時(shí)間發(fā)生的概率較低，則該事件可能是入侵。

　　統(tǒng)計(jì)方法的最大優(yōu)點(diǎn)是它可以“學(xué)習(xí)”用戶的使用習(xí)慣，從而具有較高檢出率與可用性。但是它的“學(xué)習(xí)”能力也給入侵者以機(jī)會(huì)通過(guò)逐步“訓(xùn)練”使入侵事件符合正常操作的統(tǒng)計(jì)規(guī)律，從而透過(guò)入侵檢測(cè)系統(tǒng)。