入侵监测系统简介

第一课 入侵监测系统简介

 

　　 入侵监测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于监测计算机网络中违反安全策略行为的技术。　入侵监测系统能够识别出任何不希望有的活动，这种活动可能来自于网络外部和内部。入侵监测系统的应用，能使在入侵攻击对系统发生危害前，监测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中，能减少入侵攻击所造成的损失。在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入知识库内，以增强系统的防范能力。

 

　　 典型的IDS系统模型包括三个功能部件：

 

　　 1．提供事件记录流的信息源

 

　　 2．发现入侵迹象的分析引擎

 

　　 3．基于分析引擎的分析结果产生反映的响应部件

 

　　 目前的IDS作为只能是网络安全整体解决方案的一个重要部分，需要与其他安全设备之间进行紧密的联系，共同解决网络安全问题。也许未来的IDS需要一种新的系统体系来克服自身的不足，但目前只能同过将IDS的各个功能模块与其他安全产品有机地融合起来。共同解决网络的安全问题，这就对引入协同提出了要求。

 

数据采集协同

 

　　 入侵监测需要采集动态数据（网络数据包）和静态数据（日志文件等）。基于网络的IDS，仅在网络层通过原始的IP包进行监测，已不能满足日益增长的安全需求。基于主机的IDS，通过直接查看用户行为和操作系统日志数据来寻找入侵，却很难发现来自底层的网络攻击。

 

　　 目前的IDS将网络数据包的采集、分析与日志文件的采集、分析割裂开来，即使是综合基于网络和基于主机的IDS也不例外，没有在这两类原始数据的相关性上作考虑。此外，在网络数据包的采集上，IDS一直是通过嗅探这种被动方式来获取数据，一旦某个数据包丢了就无法挽回。而且，将来的网络是全交换的网络，网络速度越来越快，许多重要的网络还是加密的。在这种情况下，对网络数据包这种动态数据的采集就显得更加困难了。因此，在数据采集上进行协同并充分利用各层次的数据，是提高入侵监测能力的首要条件。

 

　　 数据采集协同有两个很重要的方面：

 

　　 1．IDS与漏洞扫描系统的协同：漏洞扫描系统的特点是利用完整的漏洞库，对网络中的各个主机进行扫描，对主机所存在的网络、操作系统和运行的应用存在的漏洞给出综合报告，然后提出漏洞的修补办法，并最终给出风险评估报告。IDS与扫描系统的协同的一个方面是可以利用扫描系统的扫描结果，对目前网络或系统和应用所存在的漏洞做到心中有数，然后利用扫描结果对预警策略进行修改，这样一方面可以尽可能的减少误报，另外也可能对隐含在正常行为中的攻击行为做出报警。另一方面，IDS也可以利用对日常警报信息的分析，对漏洞扫描系统的扫描策略进行修改，然后进行预约扫描，对目前可能正在遭受攻击的漏洞进行及时的防范。另一方面，漏洞扫描系统也可以利用IDS的报警信息，对有些主机的进行特定漏洞的扫描，察看正在受攻击的漏洞是否真的存在，如果真的存在，做出必须及时封堵的报告。

 

　　 2．IDS与防病毒系统的协同：一方面，对越来越多来自网络的病毒攻击，IDS可能根据某些特征做出警告，但由于IDS本身并不是防病毒系统，对网络中的主机是否真的正在遭受计算机病毒的袭击并不能非常准确的预报，这时防病毒系统就有了用武之地，可以有针对性的对IDS的病毒报警信息进行验证，对遭受病毒攻击的主机系统进行适当的处理。

 

数据分析协同

 

　　 入侵监测不仅需要利用模式匹配和异常监测技术来分析某个监测引擎所采集的数据，以发现一些简单的入侵行为，还需要在此基础上利用数据挖掘技术，分析多个监测引擎提交的审计数据以发现更为复杂的入侵行为。

 

　　 理论上讲，任何网络入侵行为都能够被发现，因为网络流量和主机日志记录了入侵的活动。数据分析协同需要在两个层面上进行，一是对一个监测引擎采集的数据进行协同分析，综合使用监测技术，以发现较为常见的、典型的攻击行为; 二是对来自多个监测引擎的审计数据，利用数据挖掘技术进行分析，以发现较为复杂的攻击行为。考核IDS数据分析能力可以从准确、效率和可用性三方面进行。基于这一点，可以认为，监测引擎是完成第一种数据分析协同的最佳地点，中心管理控制平台则是完成第二种数据分析协同的最佳地点。

 

　　 当监测引擎面对并非单一的数据时，综合使用各种监测技术就显得十分重要。从攻击的特征来看，有的攻击方法使用异常监测来监测会很容易，而有的攻击方法使用模式匹配来监测则很简单。因此，对监测引擎的设计来说，首先需要确定监测策略，明确哪些攻击行为属于异常监测的范畴，哪些攻击属于模式匹配的范畴。中心管理控制平台执行的是更为高级的、复杂的入侵监测，它面对的是来自多个监测引擎的审计数据。它可就各个区域内的网络活动情况进行"相关性"分析，其结果为下一时间段及监测引擎的监测活动提供支持。例如黑客在正式攻击网络之前，往往利用各种探测器分析网络中最脆弱的主机及主机上最容易被攻击的漏洞，在正式攻击之时，因为黑客的"攻击准备"活动记录早已被系统记录，所以IDS就能及时地对此攻击活动做出判断。目前，在这一层面上讨论比较多的方法是数据挖掘技术，它通过审计数据的相关性发现入侵，能够监测到新的进攻方法。

 

　　 传统数据挖掘技术的监测模型是离线产生的，就像完整性监测技术一样，这是因为传统数据挖掘技术的学习算法必须要处理大量的审计数据，十分耗时。但是，有效的IDS必须是实时的。而且，基于数据挖掘的IDS仅仅在监测率方面高于传统方法的监测率是不够的，只有误报率也在一个可接受的范围内时，才是可用的。

 

　　 美国哥伦比亚大学提出了一种基于数据挖掘的实时入侵监测技术，证明了数据挖掘技术能够用于实时的IDS。其基本框架是: 首先从审计数据中提取特征，以帮助区分正常数据和攻击行为; 然后将这些特征用于模式匹配或异常监测模型; 接着描述一种人工异常产生方法，来降低异常监测算法的误报率; 最后提供一种结合模式匹配和异常监测模型的方法。实验表明，上述方法能够提高系统的监测率，而不会降低任何一种监测模型的效能。在此技术基础上，实现了数据挖掘的实时IDS则是由引擎、监测器、数据仓库和模型产生四部分构成，如图所示。其中，引擎观察原始数据并计算用于模型评估的特征; 监测器获取引擎的数据并利用监测模型来评估它是否是一个攻击; 数据仓库被用作数据和模型的中心存储地; 模型产生的主要目的是为了加快开发以及分发新的入侵监测模型的速度。

 

 

 

响应协同

 

　　 前面已经论述，由于IDS在网络中的位置决定了其本身的响应能力相当有限，响应协同就是IDS与有充分响应能力的网络设备或网络安全设备集成在一起，构成响应和预警互补的综合安全系统。响应协同主要包含下面的几个方面。

 

　　 1．IDS与防火墙的协同：

 

　　 防火墙与IDS可以很好的互补。这种互补体现在静态和动态两个层面上。静态的方面是IDS可以通过了解防火墙的策略，对网络上的安全事件进行更有效的分析，从而实现准确的报警，减少误报；动态的方面是当IDS发现攻击行为时，可以通知防火墙对已经建立的连接进行有效的阻断，同时通知防火墙修改策略，防止潜在的进一步攻击的可能性。

 

　　 2．IDS与路由器、交换机的协同

 

　　 由于交换机和路由器防火墙一样，一般串接在网络上。同时都有预定的策略，可以决定网络上的数据流，所以IDS与交换机、路由器的协同与IDS同防火墙的协同非常相似，都有动态和静态两个方面，过程也大致相同，这里不作详细的论述。

 

　　 3．IDS与防病毒系统的协同

 

　　 IDS与防病毒系统的协同在数据采集协同中已经进行过论述，但实际上对防病毒系统来讲，查和杀是不可或缺的两个方面，在查的层面有数据采集协同，在杀的层面有响应协同。如果说IDS还可以通过发送大量RST报文阻断已经建立的连接，某种程度上代替防火墙的响应机制的话，在防止计算机遭受病毒袭击的方面简直是无能为力，目前由于网络病毒攻击占所有攻击的比例不断增加，IDS与防病毒系统的协同也变得越来越重要。

 

　　 4．IDS与蜜罐和填充单元系统协同

 

　　 有一些工具可以作为IDS的补充，由于它们的功能相似，销售商常把它们也表示为IDS。但实际上这些工具的功能是相当独立的，所以这里不把它们当作IDS的组成部分讨论。而是通过对其功能进行简单介绍，同时介绍这些工具如何与IDS协同，共同增强一个组织的入侵监测能力。

 

　　 蜜罐：是试图将攻击者从关键系统引诱开的诱骗系统。这些系统充满了看起来很有用的信息，但是这些信息实际上是捏造的，诚实的用户是访问不到它们的。因此，当监测到对"蜜罐"的访问时，很可能就有攻击者闯入。"蜜罐"上的监控器和事件日志器监测这些未经授权的访问并收集攻击者活动的相关信息。"蜜罐"的目的是将攻击者从关键系统引开，同时收集攻击者的活动信息，并且怂恿攻击者在系统上停留足够长的时间以供管理员进行响应。

 

　　 利用"蜜罐"的这种能力，一方面可以为IDS提供附加数据，另一方面，当IDS发现有攻击者时，可以把攻击者引入"蜜罐"，防止攻击者造成危害，并收集攻击者的信息。

 

　　 "填充单元"采取另一种不同的方法。"填充单元"不试图用引诱性的数据吸引攻击者，它等待传统的IDS来监测攻击者。攻击者然后无缝地被传递到一个特定的填充单元主机。攻击者不会意识到发生了什么事情，但是攻击者会处于一个模拟环境中而不会造成任何伤害。与"蜜罐"相似，这种模拟环境会充满使人感兴趣的数据，从而会使攻击者相信攻击正按计划进行。"填充单元"为监测攻击者的行为提供了独特的机会。

 

　　 结束语

 

最后图示说明这里描述的整个安全系统

 

 

 

　　以上的论述只是为了说明IDS需要协同，同时其它所有的安全工具也需要协同，这些工具和设备的很好的协同工作也许就是前面关于如何保障信息系统安全的一个答案。我们可以把所有这些协同工作的工具或者设备整体看作一个安全工具，至于是把这个系统称作综合型IDS或者其它的什么名字已经不重要了，关键是它可以保证我们的信息有相对的安全性。

 

正如复杂的家庭安全系统可能包括摄像机、探测器及监控设备监视室内的可疑活动，譬如有人未经擅自闯入，入侵监测系统（IDS）也会警告IT系统管理员网络环境边界内部的潜在安全危胁。与被更为广泛的IT安全规划吸纳的其它传统安全技术一样，入侵监测系统在过去五年已日益成为安全解决方案的一个必要条件。

 

　　 然而，入侵监测技术的问题在于，它们与其它传统安全技术存在同样的严重缺陷：反应被动。这类战略性系统考虑再怎么周到，无论独立实施还是结合其它技术实施，经常发生的一系列安全攻击也一再表明：存在的缺口可能会导致网络资源受到破坏而瘫痪。

 

　　 基于网络和基于主机的入侵监测系统都普遍存在几个弱点。首先，总的说来不能适应庞大、高速、复杂的网络。其次，实施及监控这类系统时会给IT人员增添管理负担。另外，传统的IDS技术实际上会给网络和用户活动带来障碍，这就影响了性能，最终导致不应有的管理负担和沮丧情绪。

 

　　 尽管安全人员尽了最大努力，企业内部计算资源还是每天在遭受入侵。攻击的扩散同访问网上其它资源的速度一样快。就这一点而言，以应用为中心的入侵预防为保护如今庞大的网络及企业环境提供了一种新的方案。入侵预防技术是任何采取主动措施的安全模式的核心所在，而这类方案因而获得的优点注重应用程序和操作系统安全性和资源可用性。此外，入侵预防安全环境下的行为实施策略对不断发展的攻击采取了整体分析的方案。结果就是，基于应用行为的主动防御机制能防止重要的文件和网络资产受到破坏。

 

　　 入侵预防软件与传统入侵监测产品的不同之处在于，前者实际上能预防攻击，而不仅仅是监测出现的攻击。正如前文所述，当前的入侵监测软件都是反应式的――通常是扫描配置存在的弱点、攻击发生后才发现攻击。防病毒厂商和入侵监测厂商常常会"随时待命"，对攻击事件迅速作出响应。但到这时候，攻击通常已经生效，网络或桌面系统因而陷入瘫痪。入侵预防安全架构则充当下一代网络安全软件，它能积极主动地加强桌面系统和服务器的安全，防止受到基于特征扫描的技术所无法发现的网络攻击的破坏。

 

　　 入侵预防之所以有着重大优势，正是因为它减轻了企业安全管理的负担。不同于传统入侵监测产品，入侵预防实际上通过下列方式来保护内部资源免受来自网络内部的攻击：限制可能具有破坏性的代码的行为又不妨碍业务经营、提供攻击记录以及一旦击退攻击就通知企业安全人员。此外，高性能级别入侵预防技术能够击退基于网络的攻击，譬如拒绝服务、探测、畸形数据包及敌意连接攻击。

 

　　 为了为计算资源全面提供真正有效的保护，网络安全管理人员就不能单单依靠发现已知攻击或及其变化形式。入侵预防的新方法定义了适当行为，然后在企业内部每个最终用户的桌面系统、网络服务器上实施这些行为。那什么是正当行为呢？我们不必浏览本文内容就知道：倘若某用户收到一封电子邮件，立即企图把邮件发送给用户地址簿上所列的每个联系人，那么这就不是正当行为。同样，倘若来自Web浏览器、邮件软件或微软Office程序组的进程企图写入到Windows NT系统文件，这也不是正当行为。确切地说，这极可能是一种宏病毒。入侵预防就是采用这种方式监控系统和应用的行为，并且定义哪些行为是正当的、哪些行为是可疑的，这样一旦企图作出超乎预期行为范围的举动，入侵预防技术会先发制人地消除不当的系统行为。

 

　　 只要设定规则以控制应用程序能够对安装了入侵预防系统的文件、网络和系统资源执行哪些行为，这种高性能入侵预防系统就能使IT管理员受益匪浅。作为一种智能代理，入侵预防系统会不动声色地运行：截获系统行为、核查政策，然后根据这些政策的规定允许或拒绝有关行为。此外，一些高度结构化的入侵预防系统还能提供预先设定的规则，以保护Web服务器、邮件服务器及提供一般的最终用户桌面保护。

 

　　 最后，统计日志数据可用来生成表明网络整体运行状况的报告。如果利用这种报告，IT人员就能监控当前规则集（rule set）的工作情况，必要的话可以进行调整。每当发现有人企图访问受限系统资源的特定行为，这种报告就会记入日志。

 

　　 入侵监测系统结合漏洞评估工具是攻击出现后对其进行审查及辨析的理想工具，可是这类系统无法预防破坏。为了更清楚地了解入侵预防如何比传统IDS更进一步从而实际上预防攻击造成的破坏，不妨看一下特洛伊木马攻击。

 

　　 表面上来看，特洛伊木马攻击似乎没有危害――它就像一种有用的后台进程。然而，这类攻击通常隐藏破坏性程序，可能其目的在于最终破坏或改动文件，或者可能是建立后门入口点，以便入侵者访问系统。基于网络的IDS发现不了文件里面所隐藏的攻击。基于主机的IDS系统也许能分析审查和事件日志，查找可能表明未授权访问企图的证据，但携带伪装成"安全"信息的恶性代码的授权访问企图则有可能溜掉。

 

　　 在防范特洛伊木马方面，入侵预防要比IDS进一步：它能发现系统当中的不寻常行为，然后在入侵实施之前加以实时封阻。例如，IT人员能够发现及联系应用行为，如导致Web服务器缓冲器溢出以便入侵者潜入网络、映射其它可执行文件的内存以窃取机密、连接键盘截获输入字符、修改现有的可执行文件以隐藏恶性代码、访问http端口伪装成合法的Web程序。所以这些行为无不表明特洛伊木马攻击的存在。

 

　　 预防电子商务应用或网站内容遭到实际破坏对保护如今的开放网络来说至关重要。对面临攻击需要主动、预防的安全措施以应对环境的那些人而言，现有的入侵预防技术起到了一项合乎实际的替代策略的作用。

 

 

 

我们已经接触了手工和自动运行的扫描程序。这些工具在审计过程中是非常有用的。你还使用了包嗅探器，这是另一个确定网络中存在哪些活动类型的工具。入侵监测系统会在两方面引起你的注意。首先，这种保护网络的形式变得越来越流行。你需要了解网络当前的结构来确定配置是否合适。第二，你可能在推荐这种产品，因此，你必须知道如何为特殊的网络情况推荐这种产品。

 

　　 在测试过程中你可以使用多种类型的工具。这些工具在整个的审计过程中是必不可少的。它们会帮助你在枯燥乏味的分析过程中节省时间。

 

什么是入侵监测

 

　　 入侵监测系统处于防火墙之后对网络活动进行实时监测。许多情况下，由于可以记录和禁止网络活动，所以入侵监测系统是防火墙的延续。它们可以和你的防火墙和路由器配合工作。例如，你的IDS可以重新配置来禁止从防火墙外部进入的恶意流量。你应当理解入侵监测系统是独立于防火墙工作的。

 

　　 入侵监测系统IDS与系统扫描器system scanner不同。系统扫描器是根据攻击特征数据库来扫描系统漏洞的，它更关注配置上的漏洞而不是当前进出你的主机的流量。在遭受攻击的主机上，即使正在运行着扫描程序，也无法识别这种攻击。

 

　　 IDS扫描当前网络的活动，监视和记录网络的流量，根据定义好的规则来过滤从主机网卡到网线上的流量，提供实时报警。网络扫描器监测主机上先前设置的漏洞，而IDS监视和记录网络流量。如果在同一台主机上运行IDS和扫描器的话，配置合理的IDS会发出许多报警。

 

入侵监测的功能

 

　　 大多数的IDS程序可以提供关于网络流量非常详尽的分析。它们可以监视任何定义好的流量。大多数的程序对FTP，HTTP和Telnet流量都有缺省的设置，还有其它的流量像NetBus，本地和远程登录失败等等。你也可以自己定制策略。下面讨论一些更常见的监测技巧。

 

网络流量管理

 

　　 像Computer Associates' eTrust Intrusion Detection（以前是SessionWall），Axent Intruder Alert和ISS RealSecure等IDS程序允许你记录，报告和禁止几乎所有形式的网络访问。你还可以用这些程序来监视某一台主机的网络流量，eTrust Intrusion Detection可以读取这台主机上用户最后访问的Web页。

 

　　 如果你定义了策略和规则，便可以获得FTP，SMTP，Telnet和任何其它的流量。这种规则有助于你追查该连接和确定网络上发生过什么，现在正在发生什么。这些程序在你需要确定网络中策略实施的一致性情况时是非常有效的工具。

 

　　 虽然IDS是安全管理人员或审计人员非常有价值的工具，但公司的雇员同样可以安装像eTrust Intrusion Detection或Intrude Alert这样的程序来访问重要的信息。攻击者不仅可以读取未加密的邮件，还可以嗅探密码和收集重要的协议方面的信息。所以，你首要的工作是要检查在网络中是否有类似的程序在运行。

 

系统扫描，Jails和IDS

 

　　 在本教程的早些时候，你学习到如何应用不同的策略来加强有效的安全。这项任务需要在网络中不同的部分实施控制，从操作系统到扫描器、IDS程序和防火墙。你已经使用过系统扫描器，许多安全专家将这些程序和IDS结合起来。系统完整性检查，广泛地记录日志，黑客"监狱"和引诱程序都是可以同IDS前后配合的有效工具。

 

追踪

 

　　 IDS所能做到的不仅仅是记录事件，它还可以确定事件发生的位置，这是许多安全专家购买IDS的主要原因。通过追踪来源，你可以更多的了解攻击者。这些经验不仅可以帮你记录下攻击过程，同时也有助于确定解决方案。

 

入侵监测系统的必要性

 

　　 防火墙看起来好像可以满足系统管理员的一切需求。然而，随着基于雇员的攻击行为和产品自身问题的增多，IDS由于能够在防火墙内部监测非法的活动正变得越来越必要。新的技术同样给防火墙带来了严重的威胁。例如，VPN可穿透防火墙，所以需要IDS在防火墙后提供安全保障。虽然VPN本身很安全，但有可能通过VPN进行通信的其中一方被root kit或NetBus所控制，而这种破坏行为是防火墙无法抵御的。基于以上两点原因，IDS已经成为安全策略的重要组成部分。

 

　　 我们还需要注意的是，攻击者可以实施攻击使IDS过载，其结果可能是IDS系统成为拒绝服务攻击的参与者。而且，攻击者会尽量调整攻击手法，从而使IDS无法追踪网络上的活动。

 

入侵监测系统的构架

 

　　 有两种构架的IDS可供选择，每种都有它的适用环境。虽然主机级的IDS具有更强的功能而且可以提供更详尽的信息，但它并不总是最佳选择。

 

网络级IDS

 

　　 你可以使用网络级的产品，象eTrust Intrusion Detection只需一次安装。程序（或服务）会扫描整个网段中所有传输的信息来确定网络中实时的活动。网络级IDS程序同时充当管理者和代理的身份，安装IDS的主机完成所有的工作，网络只是接受被动的查询。CA的Session Wall也是这种IDS产品，其主界面如下图：

 

 

 

优点和缺点

 

　　 这种入侵监测系统很容易安装和实施；通常只需要将程序在主机上安装一次。网络级的IDS尤其适合阻止扫描和拒绝服务攻击。但是，这种IDS构架在交换和ATM环境下工作得不好。而且，它对处理升级非法账号，破坏策略和篡改日志也并不特别有效。在扫描大型网络时会使主机的性能急剧下降。所以，对于大型、复杂的网络，你需要主机级的IDS。

 

主机级IDS

 

　　 像前面所讲的，主机级的IDS结构使用一个管理者和数个代理。管理者向代理发送查询请求，代理向管理者汇报网络中主机传输信息的情况。代理和管理者之间直接通信，解决了复杂网络中的许多问题。

 

　　 技术提示：在应用任何主机级IDS之前，你需要在一个隔离的网段进行测试。这种测试可以帮助你确定这种Manager-to-agent的通信是否安全，以及对网络带宽的影响。

 

管理者Managers

 

　　 管理者定义管理代理的规则和策略。管理者安装在一台经过特殊配置过的主机上，对网络中的代理进行查询。有的管理者具有图形界面儿其它的IDS产品只是以守护进程的形式来运行管理者，然后使用其它程序来管理它们。

 

　　 物理安全对充当管理者的主机来说至关重要。如果攻击者可以获得硬盘的访问权，他便可以获得重要的信息。此外，除非必需管理者的系统也不应被网络用户访问到，这种限制包括Internet访问。

 

　　 安装管理者的操作系统应该尽可能的安全和没有漏洞。有些厂商要求你使用特定类型的操作系统来安装管理者。例如，ISS RealSecure要求你安装在Windows NT Workstation而不是Windows NT Server，这是由于在NT Workstation上更容易对操作系统进行精简。

 

就像应用防火墙，你必须为IDS建立规则。大多数的IDS程序都有预先定义好的规则。你最好编辑已有的规则并且增加新的规则来为网络提供最佳的保护。通常建立的规则有两大类：网络异常和网络误用。企业级的IDS通常可以实施上百条规则。

 

　　 不同厂商在使用审计的术语时有所差别。例如，eTrust Intrusion Detection用"rules"来讨论安全审计的规则，而Intruder Alert却使用"policies"。你将会了解到Intruder Alert使用"policies"时意味更深远，它允许你为个别策略建立规则。因此，在理解各个厂商的产品时，不要被术语所迷惑。

 

网络异常的监测

 

　　 IDS程序会报告协议级别的异常情况。如果配置正确的话，它可以提示你有关NetBus，Teardrop或Smurf攻击。例如，如果存在过多的SYN连接，IDS程序会向你报警。

 

网络误用监测

 

　　 网络误用包括非工作目的的Web浏览，安装未授权的服务（如WAR FTP服务），和玩儿游戏（如Doom或Quake）。你可以对其进行日志记录，阻塞流量或主动地制止。例如，你可以利用程序实施反击或设置"dummy"系统或网络进行诱导。

 

　　 网络误用是物理的，操作系统的或远程攻击的结果。物理攻击包括偷取硬盘或物理操纵机器来获取信息。操作系统攻击指经过验证的用户试图获得root的访问权限。远程攻击指攻击者通过网络来攻击设备。

 

常用监测方法

 

　　 入侵监测系统常用的监测方法有特征监测、统计监测与专家系统。据公安部计算机信息系统安全产品质量监督检验中心的报告，国内送检的入侵监测产品中95％是属于使用入侵模板进行模式匹配的特征监测产品，其他5％是采用概率统计的统计监测产品与基于日志的专家知识库系产品。

 

特征监测

 

　　 特征监测对已知的攻击或入侵的方式作出确定性的描述，形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时，即报警。原理上与专家系统相仿。其监测方法上与计算机病毒的监测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。该方法预报监测的准确率较高，但对于无经验知识的入侵与攻击行为无能为力。

 

 

统计监测

 

　　 统计模型常用异常监测，在统计模型中常用的测量参数包括：审计事件的数量、间隔时间、资源消耗情况等。常用的入侵监测5种统计模型为：

 

　　 1、操作模型，该模型假设异常可通过测量结果与一些固定指标相比较得到，固定指标可以根据经验值或一段时间内的统计平均得到，举例来说，在短时间内的多次失败的登录很有可能是口令尝试攻击；

 

　　 2、方差，计算参数的方差，设定其置信区间，当测量值超过置信区间的范围时表明有可能是异常；

 

　　 3、多元模型，操作模型的扩展，通过同时分析多个参数实现监测；

 

　　 4、马尔柯夫过程模型，将每种类型的事件定义为系统状态，用状态转移矩阵来表示状态的变化，当一个事件发生时，或状态矩阵该转移的概率较小则可能是异常事件；

 

　　 5、时间序列分析，将事件计数与资源耗用根据时间排成序列，如果一个新事件在该时间发生的概率较低，则该事件可能是入侵。

 

　　 统计方法的最大优点是它可以"学习"用户的使用习惯，从而具有较高检出率与可用性。但是它的"学习"能力也给入侵者以机会通过逐步"训练"使入侵事件符合正常操作的统计规律，从而透过入侵监测系统。

 

专家系统

 

　　 用专家系统对入侵进行监测，经常是针对有特征入侵行为。所谓的规则，即是知识，不同的系统与设置具有不同的规则，且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达，是入侵监测专家系统的关键。在系统实现中，将有关入侵的知识转化为if-then结构（也可以是复合结构），条件部分为入侵特征，then部分是系统防范措施。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。

 

文件完整性检查

 

　　 文件完整性检查系统检查计算机中自上次检查后文件变化情况。文件完整性检查系统保存有每个文件的数字文摘数据库，每次检查时，它重新计算文件的数字文摘并将它与数据库中的值相比较，如不同，则文件已被修改，若相同，文件则未发生变化。

 

　　 文件的数字文摘通过Hash函数计算得到。不管文件长度如何，它的Hash函数计算结果是一个固定长度的数字。与加密算法不同，Hash算法是一个不可逆的单向函数。采用安全性高的Hash算法，如MD5、SHA时，两个不同的文件几乎不可能得到相同的Hash结果。从而，当文件一被修改，就可监测出来。在文件完整性检查中功能最全面的当属Tripwire，其开放源代码的版本可从www.tripwire.org中获得。

 

文件完整性检查系统的优点

 

　　 从数学上分析，攻克文件完整性检查系统，无论是时间上还是空间上都是不可能的。文件完整性检查系统是非常强劲的监测文件被修改的工具。实际上，文件完整性检查系统是一个监测系统被非法使用的最重要的工具之一。

 

　　 文件完整性检查系统具有相当的灵活性，可以配置成为监测系统中所有文件或某些重要文件。

 

　　 当一个入侵者攻击系统时，他会干两件事，首先，他要掩盖他的踪迹，即他要通过更改系统中的可执行文件、库文件或日志文件来隐藏他的活动；其它，他要作一些改动保证下次能够继续入侵。这两种活动都能够被文件完整性检查系统监测出。

 

文件完整性检查系统的弱点

 

　　 文件完整性检查系统依赖于本地的文摘数据库。与日志文件一样，这些数据可能被入侵者修改。当一个入侵者取得管理员权限后，在完成破坏活动后，可以运行文件完整性检查系统更新数据库，从而瞒过系统管理员。当然，可以将文摘数据库放在只读的介质上，但这样的配置不够灵活性。

 

　　 做一次完整的文件完整性检查是一个非常耗时的工作，在Tripwire中，在需要时可选择检查某些系统特性而不是完全的摘要，从而加快检查速度。

 

　　 系统有些正常的更新操作可能会带来大量的文件更新，从而产生比较繁杂的检查与分析工作，如，在Windows NT系统中升级MS-Outlook将会带来1800多个文件变化。

 

无论从规模与方法上入侵技术近年来都发生了变化。入侵的手段与技术也有了"进步与发展"。入侵技术的发展与演化主要反映在下列几个方面：

 

　　 入侵或攻击的综合化与复杂化。入侵的手段有多种，入侵者往往采取一种攻击手段。由于网络防范技术的多重化，攻击的难度增加，使得入侵者在实施入侵或攻击时往往同时采取多种入侵的手段，以保证入侵的成功几率，并可在攻击实施的初期掩盖攻击或入侵的真实目的。

 

　　 入侵主体对象的间接化，即实施入侵与攻击的主体的隐蔽化。通过一定的技术，可掩盖攻击主体的源地址及主机位置。即使用了隐蔽技术后，对于被攻击对象攻击的主体是无法直接确定的。

 

　　 入侵或攻击的规模扩大。对于网络的入侵与攻击，在其初期往往是针对于某公司或一个网站，其攻击的目的可能为某些网络技术爱好者的猎奇行为，也不排除商业的盗窃与破坏行为。由于战争对电子技术与网络技术的依赖性越来越大，随之产生、发展、逐步升级到电子战与信息战。对于信息战，无论其规模与技术都与一般意义上的计算机网络的入侵与攻击都不可相提并论。信息战的成败与国家主干通信网络的安全是与任何主权国家领土安全一样的国家安全。

 

　　 入侵或攻击技术的分布化。以往常用的入侵与攻击行为往往由单机执行。由于防范技术的发展使得此类行为不能奏效。所谓的分布式拒绝服务（DDoS）在很短时间内可造成被攻击主机的瘫痪。且此类分布式攻击的单机信息模式与正常通信无差异，所以往往在攻击发动的初期不易被确认。分布式攻击是近期最常用的攻击手段。

 

　　 攻击对象的转移。入侵与攻击常以网络为侵犯的主体，但近期来的攻击行为却发生了策略性的改变，由攻击网络改为攻击网络的防护系统，且有愈演愈烈的趋势。现已有专门针对IDS作攻击的报道。攻击者详细地分析了IDS的审计方式、特征描述、通信模式找出IDS的弱点，然后加以攻击。

 

　　 今后的入侵监测技术大致可朝下述三个方向发展。

 

分布式入侵监测

 

　　 第一层含义，即针对分布式网络攻击的监测方法；第二层含义即使用分布式的方法来监测分布式的攻击，其中的关键技术为监测信息的协同处理与入侵攻击的全局信息的提取。

 

智能化入侵监测

 

　　 即使用智能化的方法与手段来进行入侵监测。所谓的智能化方法，现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法，这些方法常用于入侵特征的辨识与泛化。利用专家系统的思想来构建入侵监测系统也是常用的方法之一。特别是具有自学习能力的专家系统，实现了知识库的不断更新与扩展，使设计的入侵监测系统的防范能力不断增强，应具有更广泛的应用前景。应用智能体的概念来进行入侵监测的尝试也已有报道。较为一致的解决方案应为高效常规意义下的入侵监测系统与具有智能监测功能的监测软件或模块的结合使用。

 

全面的安全防御方案

 

　　 即使用安全工程风险管理的思想与方法来处理网络安全问题，将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵监测多方位全面对所关注的网络作全面的评估，然后提出可行的全面解决方案。

 

基于内核的入侵监测

 

　　 基于内核的入侵监测是一种相当巧妙的新型的Linux入侵监测系统。现在最主要的基于内核的入侵监测系统叫做LIDS，并可以从http://www.lids.org/ 下载。

 

Intruder Alert

 

　　 Intruder Alert(ITA)是使用管理者/代理结构的功能强大的产品。管理者和代理可以运行于UNIX，NT和Novell网络中。ITA的第一个优点是它可以在许多网络环境中应用。由于公司很少只应用单一厂商的产品，所以你选择的IDS应该可以适用于尽可能多的厂商的产品。

 

　　 ITA的第二个优点是其分布式的管理结构。ITA软件包由两个服务和三个应用程序组成：

 

　　 ·ITA Manager（充当服务，守护进程或Novell的可装载的模块）

 

　　 ·ITA Agent（充当服务，守护进程或Novell的可装载的模块）

 

　　 ·ITA Admin（用来配置代理的应用程序）

 

　　 ·ITA View（用于查询代理的程序）

 

　　 ·ITA Setup（从管理者域中添加和删除代理的程序）

 

ITA和防火墙

 

　　 防火墙会产生其它的连接问题。如果你试图连接处于防火墙保护下的代理，通常会因为防火墙只允许某些流量通过而失败。为了解决上述问题，请为该连接定义防火墙规则。

 

定义策略和建立规则

 

　　 一旦你定义了策略，便可以开始使用它。你可以观看在Policy Library tree下的策略。然而，这个列表只是提供了潜在的策略。如果你希望更改工作中的代理，则点击活动的管理者图标然后是从Policy Library tree起源的策略。

 

　　 ITA View分三次列出一些或全部的策略。不要对这种重复感到迷惑：程序列出了活动的策略和任何你可能使用策略，还列出至少两个域的策略：缺省的所有代理和缺省的NT。第三个tree列出了你可能增添到缺省域中的策略。当然，你可以重命名这些缺省的域，也可以增加新的域。第四个tree列出了事先定义好的策略，你可以剪切并粘贴到策略库中，并激活它们。在观看Active Policies tree时你无法看到特殊的规则短语和条款。你可以在Policies tree的管理者名称（如Student10）下看到这些信息。

 

规则的建立

 

　　 同eTrust Intrusion Detection一样，ITA的规则也包含一些子元素。这些对确定ITA监测哪些网络和主机以及采取哪些行为有所帮助。所有ITA的策略都包含三个部分：选择、忽略和动作。

 

　　 如果你希望确定一种特别的活动，例如NetBus连接或Land攻击，则 Select元素来定义。ITA针对你定义好的规则来实施特殊的行为。一旦你使用一个Select段并定义了事件，ITA就知道这个事件了。

 

　　 然而，ITA并不知道针对这个事件采取什么行动。Ignore段就是用来满足这个需要的。ITA将忽略任何你放在Ignore段中的条款，即使你已经定义过了。在Action段中的条款将决定ITA对你所定义的事件采取什么行为。如果你把相同的事件同时置于Ignore和Action段中的话，ITA不会对该事件采取行动。通常，Ignore段被用来处理误报。ITA规则使用Boolean逻辑。如果Select段被激活或为真，ITA将查看任何的Ignore和Action段。例如，在Action段中规定ITA将事件记录到日志文件中，而且Ignore段中没有覆盖这条逻辑的话，ITA将采用在Action段中定义的规则。

 

对规则排序

 

　　 你可以决定每条规则的重要性顺序。每条规则可以具有0到100的值。0到33的值表示这条规则是个警告，34到66表示为中等程度的安全问题，而67到100表示已经发生了严重的安全问题。ITA并不会自己将这些新的规则进行排序，你需要投入事件正确地对它们排列优先级顺序。

 

　　 Indirect, Filter和Disable三个复选框对定义规则来说并不是必须的。这些只是ITA在应用规则时进行附加控制的。Indirect选项只允许当其它ITA规则引用时才运行，Filter选项将被其它规则监测到的事件删除掉，Disable在ITA监测时删除掉整个的规则。

 

进行查询

 

　　 你可以使用ITA View进行查询。从ITA View的主界面，单击New按钮你可以定义并进行查询。Define New Filter对话框允许你连接管理者，然后直接从管理者向代理进行查询。从这里，你可以存储或装入事先定义好的能够帮助你快速了解某台主机安全状况的查询（例如filters）

 

　　 由于这个程序独立于ITA Admin运行，你必须重新登录管理者。这项要求加强了安全性，而且保证了一个程序的崩溃并不会影响到管理和查询代理。

 

　　 在连接好代理后，你可以开始进行查询。你的查询受限于你在ITA View中建立和激活的规则。你还可以根据优先级来进行查询。或者使用查询文本框，或者从管理者对象窗口向查询列表窗口拖拽查询项，然后选择Go。在查询对话框中的内容将覆盖在查询列表窗口的输入内容

 

 

 

 

 

第一课 入侵监测系统简介

 

　　 入侵监测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于监测计算机网络中违反安全策略行为的技术。　入侵监测系统能够识别出任何不希望有的活动，这种活动可能来自于网络外部和内部。入侵监测系统的应用，能使在入侵攻击对系统发生危害前，监测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中，能减少入侵攻击所造成的损失。在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入知识库内，以增强系统的防范能力。

 

　　 典型的IDS系统模型包括三个功能部件：

 

　　 1．提供事件记录流的信息源

 

　　 2．发现入侵迹象的分析引擎

 

　　 3．基于分析引擎的分析结果产生反映的响应部件

 

　　 目前的IDS作为只能是网络安全整体解决方案的一个重要部分，需要与其他安全设备之间进行紧密的联系，共同解决网络安全问题。也许未来的IDS需要一种新的系统体系来克服自身的不足，但目前只能同过将IDS的各个功能模块与其他安全产品有机地融合起来。共同解决网络的安全问题，这就对引入协同提出了要求。

 

数据采集协同

 

　　 入侵监测需要采集动态数据（网络数据包）和静态数据（日志文件等）。基于网络的IDS，仅在网络层通过原始的IP包进行监测，已不能满足日益增长的安全需求。基于主机的IDS，通过直接查看用户行为和操作系统日志数据来寻找入侵，却很难发现来自底层的网络攻击。

 

　　 目前的IDS将网络数据包的采集、分析与日志文件的采集、分析割裂开来，即使是综合基于网络和基于主机的IDS也不例外，没有在这两类原始数据的相关性上作考虑。此外，在网络数据包的采集上，IDS一直是通过嗅探这种被动方式来获取数据，一旦某个数据包丢了就无法挽回。而且，将来的网络是全交换的网络，网络速度越来越快，许多重要的网络还是加密的。在这种情况下，对网络数据包这种动态数据的采集就显得更加困难了。因此，在数据采集上进行协同并充分利用各层次的数据，是提高入侵监测能力的首要条件。

 

　　 数据采集协同有两个很重要的方面：

 

　　 1．IDS与漏洞扫描系统的协同：漏洞扫描系统的特点是利用完整的漏洞库，对网络中的各个主机进行扫描，对主机所存在的网络、操作系统和运行的应用存在的漏洞给出综合报告，然后提出漏洞的修补办法，并最终给出风险评估报告。IDS与扫描系统的协同的一个方面是可以利用扫描系统的扫描结果，对目前网络或系统和应用所存在的漏洞做到心中有数，然后利用扫描结果对预警策略进行修改，这样一方面可以尽可能的减少误报，另外也可能对隐含在正常行为中的攻击行为做出报警。另一方面，IDS也可以利用对日常警报信息的分析，对漏洞扫描系统的扫描策略进行修改，然后进行预约扫描，对目前可能正在遭受攻击的漏洞进行及时的防范。另一方面，漏洞扫描系统也可以利用IDS的报警信息，对有些主机的进行特定漏洞的扫描，察看正在受攻击的漏洞是否真的存在，如果真的存在，做出必须及时封堵的报告。

 

　　 2．IDS与防病毒系统的协同：一方面，对越来越多来自网络的病毒攻击，IDS可能根据某些特征做出警告，但由于IDS本身并不是防病毒系统，对网络中的主机是否真的正在遭受计算机病毒的袭击并不能非常准确的预报，这时防病毒系统就有了用武之地，可以有针对性的对IDS的病毒报警信息进行验证，对遭受病毒攻击的主机系统进行适当的处理。

 

数据分析协同

 

　　 入侵监测不仅需要利用模式匹配和异常监测技术来分析某个监测引擎所采集的数据，以发现一些简单的入侵行为，还需要在此基础上利用数据挖掘技术，分析多个监测引擎提交的审计数据以发现更为复杂的入侵行为。

 

　　 理论上讲，任何网络入侵行为都能够被发现，因为网络流量和主机日志记录了入侵的活动。数据分析协同需要在两个层面上进行，一是对一个监测引擎采集的数据进行协同分析，综合使用监测技术，以发现较为常见的、典型的攻击行为; 二是对来自多个监测引擎的审计数据，利用数据挖掘技术进行分析，以发现较为复杂的攻击行为。考核IDS数据分析能力可以从准确、效率和可用性三方面进行。基于这一点，可以认为，监测引擎是完成第一种数据分析协同的最佳地点，中心管理控制平台则是完成第二种数据分析协同的最佳地点。

 

　　 当监测引擎面对并非单一的数据时，综合使用各种监测技术就显得十分重要。从攻击的特征来看，有的攻击方法使用异常监测来监测会很容易，而有的攻击方法使用模式匹配来监测则很简单。因此，对监测引擎的设计来说，首先需要确定监测策略，明确哪些攻击行为属于异常监测的范畴，哪些攻击属于模式匹配的范畴。中心管理控制平台执行的是更为高级的、复杂的入侵监测，它面对的是来自多个监测引擎的审计数据。它可就各个区域内的网络活动情况进行"相关性"分析，其结果为下一时间段及监测引擎的监测活动提供支持。例如黑客在正式攻击网络之前，往往利用各种探测器分析网络中最脆弱的主机及主机上最容易被攻击的漏洞，在正式攻击之时，因为黑客的"攻击准备"活动记录早已被系统记录，所以IDS就能及时地对此攻击活动做出判断。目前，在这一层面上讨论比较多的方法是数据挖掘技术，它通过审计数据的相关性发现入侵，能够监测到新的进攻方法。

 

　　 传统数据挖掘技术的监测模型是离线产生的，就像完整性监测技术一样，这是因为传统数据挖掘技术的学习算法必须要处理大量的审计数据，十分耗时。但是，有效的IDS必须是实时的。而且，基于数据挖掘的IDS仅仅在监测率方面高于传统方法的监测率是不够的，只有误报率也在一个可接受的范围内时，才是可用的。

 

　　 美国哥伦比亚大学提出了一种基于数据挖掘的实时入侵监测技术，证明了数据挖掘技术能够用于实时的IDS。其基本框架是: 首先从审计数据中提取特征，以帮助区分正常数据和攻击行为; 然后将这些特征用于模式匹配或异常监测模型; 接着描述一种人工异常产生方法，来降低异常监测算法的误报率; 最后提供一种结合模式匹配和异常监测模型的方法。实验表明，上述方法能够提高系统的监测率，而不会降低任何一种监测模型的效能。在此技术基础上，实现了数据挖掘的实时IDS则是由引擎、监测器、数据仓库和模型产生四部分构成，如图所示。其中，引擎观察原始数据并计算用于模型评估的特征; 监测器获取引擎的数据并利用监测模型来评估它是否是一个攻击; 数据仓库被用作数据和模型的中心存储地; 模型产生的主要目的是为了加快开发以及分发新的入侵监测模型的速度。

 

 

 

响应协同

 

　　 前面已经论述，由于IDS在网络中的位置决定了其本身的响应能力相当有限，响应协同就是IDS与有充分响应能力的网络设备或网络安全设备集成在一起，构成响应和预警互补的综合安全系统。响应协同主要包含下面的几个方面。

 

　　 1．IDS与防火墙的协同：

 

　　 防火墙与IDS可以很好的互补。这种互补体现在静态和动态两个层面上。静态的方面是IDS可以通过了解防火墙的策略，对网络上的安全事件进行更有效的分析，从而实现准确的报警，减少误报；动态的方面是当IDS发现攻击行为时，可以通知防火墙对已经建立的连接进行有效的阻断，同时通知防火墙修改策略，防止潜在的进一步攻击的可能性。

 

　　 2．IDS与路由器、交换机的协同

 

　　 由于交换机和路由器防火墙一样，一般串接在网络上。同时都有预定的策略，可以决定网络上的数据流，所以IDS与交换机、路由器的协同与IDS同防火墙的协同非常相似，都有动态和静态两个方面，过程也大致相同，这里不作详细的论述。

 

　　 3．IDS与防病毒系统的协同

 

　　 IDS与防病毒系统的协同在数据采集协同中已经进行过论述，但实际上对防病毒系统来讲，查和杀是不可或缺的两个方面，在查的层面有数据采集协同，在杀的层面有响应协同。如果说IDS还可以通过发送大量RST报文阻断已经建立的连接，某种程度上代替防火墙的响应机制的话，在防止计算机遭受病毒袭击的方面简直是无能为力，目前由于网络病毒攻击占所有攻击的比例不断增加，IDS与防病毒系统的协同也变得越来越重要。

 

　　 4．IDS与蜜罐和填充单元系统协同

 

　　 有一些工具可以作为IDS的补充，由于它们的功能相似，销售商常把它们也表示为IDS。但实际上这些工具的功能是相当独立的，所以这里不把它们当作IDS的组成部分讨论。而是通过对其功能进行简单介绍，同时介绍这些工具如何与IDS协同，共同增强一个组织的入侵监测能力。

 

　　 蜜罐：是试图将攻击者从关键系统引诱开的诱骗系统。这些系统充满了看起来很有用的信息，但是这些信息实际上是捏造的，诚实的用户是访问不到它们的。因此，当监测到对"蜜罐"的访问时，很可能就有攻击者闯入。"蜜罐"上的监控器和事件日志器监测这些未经授权的访问并收集攻击者活动的相关信息。"蜜罐"的目的是将攻击者从关键系统引开，同时收集攻击者的活动信息，并且怂恿攻击者在系统上停留足够长的时间以供管理员进行响应。

 

　　 利用"蜜罐"的这种能力，一方面可以为IDS提供附加数据，另一方面，当IDS发现有攻击者时，可以把攻击者引入"蜜罐"，防止攻击者造成危害，并收集攻击者的信息。

 

　　 "填充单元"采取另一种不同的方法。"填充单元"不试图用引诱性的数据吸引攻击者，它等待传统的IDS来监测攻击者。攻击者然后无缝地被传递到一个特定的填充单元主机。攻击者不会意识到发生了什么事情，但是攻击者会处于一个模拟环境中而不会造成任何伤害。与"蜜罐"相似，这种模拟环境会充满使人感兴趣的数据，从而会使攻击者相信攻击正按计划进行。"填充单元"为监测攻击者的行为提供了独特的机会。

 

　　 结束语

 

最后图示说明这里描述的整个安全系统

 

 

 

　　以上的论述只是为了说明IDS需要协同，同时其它所有的安全工具也需要协同，这些工具和设备的很好的协同工作也许就是前面关于如何保障信息系统安全的一个答案。我们可以把所有这些协同工作的工具或者设备整体看作一个安全工具，至于是把这个系统称作综合型IDS或者其它的什么名字已经不重要了，关键是它可以保证我们的信息有相对的安全性。

 

正如复杂的家庭安全系统可能包括摄像机、探测器及监控设备监视室内的可疑活动，譬如有人未经擅自闯入，入侵监测系统（IDS）也会警告IT系统管理员网络环境边界内部的潜在安全危胁。与被更为广泛的IT安全规划吸纳的其它传统安全技术一样，入侵监测系统在过去五年已日益成为安全解决方案的一个必要条件。

 

　　 然而，入侵监测技术的问题在于，它们与其它传统安全技术存在同样的严重缺陷：反应被动。这类战略性系统考虑再怎么周到，无论独立实施还是结合其它技术实施，经常发生的一系列安全攻击也一再表明：存在的缺口可能会导致网络资源受到破坏而瘫痪。

 

　　 基于网络和基于主机的入侵监测系统都普遍存在几个弱点。首先，总的说来不能适应庞大、高速、复杂的网络。其次，实施及监控这类系统时会给IT人员增添管理负担。另外，传统的IDS技术实际上会给网络和用户活动带来障碍，这就影响了性能，最终导致不应有的管理负担和沮丧情绪。

 

　　 尽管安全人员尽了最大努力，企业内部计算资源还是每天在遭受入侵。攻击的扩散同访问网上其它资源的速度一样快。就这一点而言，以应用为中心的入侵预防为保护如今庞大的网络及企业环境提供了一种新的方案。入侵预防技术是任何采取主动措施的安全模式的核心所在，而这类方案因而获得的优点注重应用程序和操作系统安全性和资源可用性。此外，入侵预防安全环境下的行为实施策略对不断发展的攻击采取了整体分析的方案。结果就是，基于应用行为的主动防御机制能防止重要的文件和网络资产受到破坏。

 

　　 入侵预防软件与传统入侵监测产品的不同之处在于，前者实际上能预防攻击，而不仅仅是监测出现的攻击。正如前文所述，当前的入侵监测软件都是反应式的――通常是扫描配置存在的弱点、攻击发生后才发现攻击。防病毒厂商和入侵监测厂商常常会"随时待命"，对攻击事件迅速作出响应。但到这时候，攻击通常已经生效，网络或桌面系统因而陷入瘫痪。入侵预防安全架构则充当下一代网络安全软件，它能积极主动地加强桌面系统和服务器的安全，防止受到基于特征扫描的技术所无法发现的网络攻击的破坏。

 

　　 入侵预防之所以有着重大优势，正是因为它减轻了企业安全管理的负担。不同于传统入侵监测产品，入侵预防实际上通过下列方式来保护内部资源免受来自网络内部的攻击：限制可能具有破坏性的代码的行为又不妨碍业务经营、提供攻击记录以及一旦击退攻击就通知企业安全人员。此外，高性能级别入侵预防技术能够击退基于网络的攻击，譬如拒绝服务、探测、畸形数据包及敌意连接攻击。

 

　　 为了为计算资源全面提供真正有效的保护，网络安全管理人员就不能单单依靠发现已知攻击或及其变化形式。入侵预防的新方法定义了适当行为，然后在企业内部每个最终用户的桌面系统、网络服务器上实施这些行为。那什么是正当行为呢？我们不必浏览本文内容就知道：倘若某用户收到一封电子邮件，立即企图把邮件发送给用户地址簿上所列的每个联系人，那么这就不是正当行为。同样，倘若来自Web浏览器、邮件软件或微软Office程序组的进程企图写入到Windows NT系统文件，这也不是正当行为。确切地说，这极可能是一种宏病毒。入侵预防就是采用这种方式监控系统和应用的行为，并且定义哪些行为是正当的、哪些行为是可疑的，这样一旦企图作出超乎预期行为范围的举动，入侵预防技术会先发制人地消除不当的系统行为。

 

　　 只要设定规则以控制应用程序能够对安装了入侵预防系统的文件、网络和系统资源执行哪些行为，这种高性能入侵预防系统就能使IT管理员受益匪浅。作为一种智能代理，入侵预防系统会不动声色地运行：截获系统行为、核查政策，然后根据这些政策的规定允许或拒绝有关行为。此外，一些高度结构化的入侵预防系统还能提供预先设定的规则，以保护Web服务器、邮件服务器及提供一般的最终用户桌面保护。

 

　　 最后，统计日志数据可用来生成表明网络整体运行状况的报告。如果利用这种报告，IT人员就能监控当前规则集（rule set）的工作情况，必要的话可以进行调整。每当发现有人企图访问受限系统资源的特定行为，这种报告就会记入日志。

 

　　 入侵监测系统结合漏洞评估工具是攻击出现后对其进行审查及辨析的理想工具，可是这类系统无法预防破坏。为了更清楚地了解入侵预防如何比传统IDS更进一步从而实际上预防攻击造成的破坏，不妨看一下特洛伊木马攻击。

 

　　 表面上来看，特洛伊木马攻击似乎没有危害――它就像一种有用的后台进程。然而，这类攻击通常隐藏破坏性程序，可能其目的在于最终破坏或改动文件，或者可能是建立后门入口点，以便入侵者访问系统。基于网络的IDS发现不了文件里面所隐藏的攻击。基于主机的IDS系统也许能分析审查和事件日志，查找可能表明未授权访问企图的证据，但携带伪装成"安全"信息的恶性代码的授权访问企图则有可能溜掉。

 

　　 在防范特洛伊木马方面，入侵预防要比IDS进一步：它能发现系统当中的不寻常行为，然后在入侵实施之前加以实时封阻。例如，IT人员能够发现及联系应用行为，如导致Web服务器缓冲器溢出以便入侵者潜入网络、映射其它可执行文件的内存以窃取机密、连接键盘截获输入字符、修改现有的可执行文件以隐藏恶性代码、访问http端口伪装成合法的Web程序。所以这些行为无不表明特洛伊木马攻击的存在。

 

　　 预防电子商务应用或网站内容遭到实际破坏对保护如今的开放网络来说至关重要。对面临攻击需要主动、预防的安全措施以应对环境的那些人而言，现有的入侵预防技术起到了一项合乎实际的替代策略的作用。

 

 

 

我们已经接触了手工和自动运行的扫描程序。这些工具在审计过程中是非常有用的。你还使用了包嗅探器，这是另一个确定网络中存在哪些活动类型的工具。入侵监测系统会在两方面引起你的注意。首先，这种保护网络的形式变得越来越流行。你需要了解网络当前的结构来确定配置是否合适。第二，你可能在推荐这种产品，因此，你必须知道如何为特殊的网络情况推荐这种产品。

 

　　 在测试过程中你可以使用多种类型的工具。这些工具在整个的审计过程中是必不可少的。它们会帮助你在枯燥乏味的分析过程中节省时间。

 

什么是入侵监测

 

　　 入侵监测系统处于防火墙之后对网络活动进行实时监测。许多情况下，由于可以记录和禁止网络活动，所以入侵监测系统是防火墙的延续。它们可以和你的防火墙和路由器配合工作。例如，你的IDS可以重新配置来禁止从防火墙外部进入的恶意流量。你应当理解入侵监测系统是独立于防火墙工作的。

 

　　 入侵监测系统IDS与系统扫描器system scanner不同。系统扫描器是根据攻击特征数据库来扫描系统漏洞的，它更关注配置上的漏洞而不是当前进出你的主机的流量。在遭受攻击的主机上，即使正在运行着扫描程序，也无法识别这种攻击。

 

　　 IDS扫描当前网络的活动，监视和记录网络的流量，根据定义好的规则来过滤从主机网卡到网线上的流量，提供实时报警。网络扫描器监测主机上先前设置的漏洞，而IDS监视和记录网络流量。如果在同一台主机上运行IDS和扫描器的话，配置合理的IDS会发出许多报警。

 

入侵监测的功能

 

　　 大多数的IDS程序可以提供关于网络流量非常详尽的分析。它们可以监视任何定义好的流量。大多数的程序对FTP，HTTP和Telnet流量都有缺省的设置，还有其它的流量像NetBus，本地和远程登录失败等等。你也可以自己定制策略。下面讨论一些更常见的监测技巧。

 

网络流量管理

 

　　 像Computer Associates' eTrust Intrusion Detection（以前是SessionWall），Axent Intruder Alert和ISS RealSecure等IDS程序允许你记录，报告和禁止几乎所有形式的网络访问。你还可以用这些程序来监视某一台主机的网络流量，eTrust Intrusion Detection可以读取这台主机上用户最后访问的Web页。

 

　　 如果你定义了策略和规则，便可以获得FTP，SMTP，Telnet和任何其它的流量。这种规则有助于你追查该连接和确定网络上发生过什么，现在正在发生什么。这些程序在你需要确定网络中策略实施的一致性情况时是非常有效的工具。

 

　　 虽然IDS是安全管理人员或审计人员非常有价值的工具，但公司的雇员同样可以安装像eTrust Intrusion Detection或Intrude Alert这样的程序来访问重要的信息。攻击者不仅可以读取未加密的邮件，还可以嗅探密码和收集重要的协议方面的信息。所以，你首要的工作是要检查在网络中是否有类似的程序在运行。

 

系统扫描，Jails和IDS

 

　　 在本教程的早些时候，你学习到如何应用不同的策略来加强有效的安全。这项任务需要在网络中不同的部分实施控制，从操作系统到扫描器、IDS程序和防火墙。你已经使用过系统扫描器，许多安全专家将这些程序和IDS结合起来。系统完整性检查，广泛地记录日志，黑客"监狱"和引诱程序都是可以同IDS前后配合的有效工具。

 

追踪

 

　　 IDS所能做到的不仅仅是记录事件，它还可以确定事件发生的位置，这是许多安全专家购买IDS的主要原因。通过追踪来源，你可以更多的了解攻击者。这些经验不仅可以帮你记录下攻击过程，同时也有助于确定解决方案。

 

入侵监测系统的必要性

 

　　 防火墙看起来好像可以满足系统管理员的一切需求。然而，随着基于雇员的攻击行为和产品自身问题的增多，IDS由于能够在防火墙内部监测非法的活动正变得越来越必要。新的技术同样给防火墙带来了严重的威胁。例如，VPN可穿透防火墙，所以需要IDS在防火墙后提供安全保障。虽然VPN本身很安全，但有可能通过VPN进行通信的其中一方被root kit或NetBus所控制，而这种破坏行为是防火墙无法抵御的。基于以上两点原因，IDS已经成为安全策略的重要组成部分。

 

　　 我们还需要注意的是，攻击者可以实施攻击使IDS过载，其结果可能是IDS系统成为拒绝服务攻击的参与者。而且，攻击者会尽量调整攻击手法，从而使IDS无法追踪网络上的活动。

 

入侵监测系统的构架

 

　　 有两种构架的IDS可供选择，每种都有它的适用环境。虽然主机级的IDS具有更强的功能而且可以提供更详尽的信息，但它并不总是最佳选择。

 

网络级IDS

 

　　 你可以使用网络级的产品，象eTrust Intrusion Detection只需一次安装。程序（或服务）会扫描整个网段中所有传输的信息来确定网络中实时的活动。网络级IDS程序同时充当管理者和代理的身份，安装IDS的主机完成所有的工作，网络只是接受被动的查询。CA的Session Wall也是这种IDS产品，其主界面如下图：

 

 

 

优点和缺点

 

　　 这种入侵监测系统很容易安装和实施；通常只需要将程序在主机上安装一次。网络级的IDS尤其适合阻止扫描和拒绝服务攻击。但是，这种IDS构架在交换和ATM环境下工作得不好。而且，它对处理升级非法账号，破坏策略和篡改日志也并不特别有效。在扫描大型网络时会使主机的性能急剧下降。所以，对于大型、复杂的网络，你需要主机级的IDS。

 

主机级IDS

 

　　 像前面所讲的，主机级的IDS结构使用一个管理者和数个代理。管理者向代理发送查询请求，代理向管理者汇报网络中主机传输信息的情况。代理和管理者之间直接通信，解决了复杂网络中的许多问题。

 

　　 技术提示：在应用任何主机级IDS之前，你需要在一个隔离的网段进行测试。这种测试可以帮助你确定这种Manager-to-agent的通信是否安全，以及对网络带宽的影响。

 

管理者Managers

 

　　 管理者定义管理代理的规则和策略。管理者安装在一台经过特殊配置过的主机上，对网络中的代理进行查询。有的管理者具有图形界面儿其它的IDS产品只是以守护进程的形式来运行管理者，然后使用其它程序来管理它们。

 

　　 物理安全对充当管理者的主机来说至关重要。如果攻击者可以获得硬盘的访问权，他便可以获得重要的信息。此外，除非必需管理者的系统也不应被网络用户访问到，这种限制包括Internet访问。

 

　　 安装管理者的操作系统应该尽可能的安全和没有漏洞。有些厂商要求你使用特定类型的操作系统来安装管理者。例如，ISS RealSecure要求你安装在Windows NT Workstation而不是Windows NT Server，这是由于在NT Workstation上更容易对操作系统进行精简。

 

就像应用防火墙，你必须为IDS建立规则。大多数的IDS程序都有预先定义好的规则。你最好编辑已有的规则并且增加新的规则来为网络提供最佳的保护。通常建立的规则有两大类：网络异常和网络误用。企业级的IDS通常可以实施上百条规则。

 

　　 不同厂商在使用审计的术语时有所差别。例如，eTrust Intrusion Detection用"rules"来讨论安全审计的规则，而Intruder Alert却使用"policies"。你将会了解到Intruder Alert使用"policies"时意味更深远，它允许你为个别策略建立规则。因此，在理解各个厂商的产品时，不要被术语所迷惑。

 

网络异常的监测

 

　　 IDS程序会报告协议级别的异常情况。如果配置正确的话，它可以提示你有关NetBus，Teardrop或Smurf攻击。例如，如果存在过多的SYN连接，IDS程序会向你报警。

 

网络误用监测

 

　　 网络误用包括非工作目的的Web浏览，安装未授权的服务（如WAR FTP服务），和玩儿游戏（如Doom或Quake）。你可以对其进行日志记录，阻塞流量或主动地制止。例如，你可以利用程序实施反击或设置"dummy"系统或网络进行诱导。

 

　　 网络误用是物理的，操作系统的或远程攻击的结果。物理攻击包括偷取硬盘或物理操纵机器来获取信息。操作系统攻击指经过验证的用户试图获得root的访问权限。远程攻击指攻击者通过网络来攻击设备。

 

常用监测方法

 

　　 入侵监测系统常用的监测方法有特征监测、统计监测与专家系统。据公安部计算机信息系统安全产品质量监督检验中心的报告，国内送检的入侵监测产品中95％是属于使用入侵模板进行模式匹配的特征监测产品，其他5％是采用概率统计的统计监测产品与基于日志的专家知识库系产品。

 

特征监测

 

　　 特征监测对已知的攻击或入侵的方式作出确定性的描述，形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时，即报警。原理上与专家系统相仿。其监测方法上与计算机病毒的监测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。该方法预报监测的准确率较高，但对于无经验知识的入侵与攻击行为无能为力。

 

 

统计监测

 

　　 统计模型常用异常监测，在统计模型中常用的测量参数包括：审计事件的数量、间隔时间、资源消耗情况等。常用的入侵监测5种统计模型为：

 

　　 1、操作模型，该模型假设异常可通过测量结果与一些固定指标相比较得到，固定指标可以根据经验值或一段时间内的统计平均得到，举例来说，在短时间内的多次失败的登录很有可能是口令尝试攻击；

 

　　 2、方差，计算参数的方差，设定其置信区间，当测量值超过置信区间的范围时表明有可能是异常；

 

　　 3、多元模型，操作模型的扩展，通过同时分析多个参数实现监测；

 

　　 4、马尔柯夫过程模型，将每种类型的事件定义为系统状态，用状态转移矩阵来表示状态的变化，当一个事件发生时，或状态矩阵该转移的概率较小则可能是异常事件；

 

　　 5、时间序列分析，将事件计数与资源耗用根据时间排成序列，如果一个新事件在该时间发生的概率较低，则该事件可能是入侵。

 

　　 统计方法的最大优点是它可以"学习"用户的使用习惯，从而具有较高检出率与可用性。但是它的"学习"能力也给入侵者以机会通过逐步"训练"使入侵事件符合正常操作的统计规律，从而透过入侵监测系统。

 

专家系统

 

　　 用专家系统对入侵进行监测，经常是针对有特征入侵行为。所谓的规则，即是知识，不同的系统与设置具有不同的规则，且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达，是入侵监测专家系统的关键。在系统实现中，将有关入侵的知识转化为if-then结构（也可以是复合结构），条件部分为入侵特征，then部分是系统防范措施。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。

 

文件完整性检查

 

　　 文件完整性检查系统检查计算机中自上次检查后文件变化情况。文件完整性检查系统保存有每个文件的数字文摘数据库，每次检查时，它重新计算文件的数字文摘并将它与数据库中的值相比较，如不同，则文件已被修改，若相同，文件则未发生变化。

 

　　 文件的数字文摘通过Hash函数计算得到。不管文件长度如何，它的Hash函数计算结果是一个固定长度的数字。与加密算法不同，Hash算法是一个不可逆的单向函数。采用安全性高的Hash算法，如MD5、SHA时，两个不同的文件几乎不可能得到相同的Hash结果。从而，当文件一被修改，就可监测出来。在文件完整性检查中功能最全面的当属Tripwire，其开放源代码的版本可从www.tripwire.org中获得。

 

文件完整性检查系统的优点

 

　　 从数学上分析，攻克文件完整性检查系统，无论是时间上还是空间上都是不可能的。文件完整性检查系统是非常强劲的监测文件被修改的工具。实际上，文件完整性检查系统是一个监测系统被非法使用的最重要的工具之一。

 

　　 文件完整性检查系统具有相当的灵活性，可以配置成为监测系统中所有文件或某些重要文件。

 

　　 当一个入侵者攻击系统时，他会干两件事，首先，他要掩盖他的踪迹，即他要通过更改系统中的可执行文件、库文件或日志文件来隐藏他的活动；其它，他要作一些改动保证下次能够继续入侵。这两种活动都能够被文件完整性检查系统监测出。

 

文件完整性检查系统的弱点

 

　　 文件完整性检查系统依赖于本地的文摘数据库。与日志文件一样，这些数据可能被入侵者修改。当一个入侵者取得管理员权限后，在完成破坏活动后，可以运行文件完整性检查系统更新数据库，从而瞒过系统管理员。当然，可以将文摘数据库放在只读的介质上，但这样的配置不够灵活性。

 

　　 做一次完整的文件完整性检查是一个非常耗时的工作，在Tripwire中，在需要时可选择检查某些系统特性而不是完全的摘要，从而加快检查速度。

 

　　 系统有些正常的更新操作可能会带来大量的文件更新，从而产生比较繁杂的检查与分析工作，如，在Windows NT系统中升级MS-Outlook将会带来1800多个文件变化。

 

无论从规模与方法上入侵技术近年来都发生了变化。入侵的手段与技术也有了"进步与发展"。入侵技术的发展与演化主要反映在下列几个方面：

 

　　 入侵或攻击的综合化与复杂化。入侵的手段有多种，入侵者往往采取一种攻击手段。由于网络防范技术的多重化，攻击的难度增加，使得入侵者在实施入侵或攻击时往往同时采取多种入侵的手段，以保证入侵的成功几率，并可在攻击实施的初期掩盖攻击或入侵的真实目的。

 

　　 入侵主体对象的间接化，即实施入侵与攻击的主体的隐蔽化。通过一定的技术，可掩盖攻击主体的源地址及主机位置。即使用了隐蔽技术后，对于被攻击对象攻击的主体是无法直接确定的。

 

　　 入侵或攻击的规模扩大。对于网络的入侵与攻击，在其初期往往是针对于某公司或一个网站，其攻击的目的可能为某些网络技术爱好者的猎奇行为，也不排除商业的盗窃与破坏行为。由于战争对电子技术与网络技术的依赖性越来越大，随之产生、发展、逐步升级到电子战与信息战。对于信息战，无论其规模与技术都与一般意义上的计算机网络的入侵与攻击都不可相提并论。信息战的成败与国家主干通信网络的安全是与任何主权国家领土安全一样的国家安全。

 

　　 入侵或攻击技术的分布化。以往常用的入侵与攻击行为往往由单机执行。由于防范技术的发展使得此类行为不能奏效。所谓的分布式拒绝服务（DDoS）在很短时间内可造成被攻击主机的瘫痪。且此类分布式攻击的单机信息模式与正常通信无差异，所以往往在攻击发动的初期不易被确认。分布式攻击是近期最常用的攻击手段。

 

　　 攻击对象的转移。入侵与攻击常以网络为侵犯的主体，但近期来的攻击行为却发生了策略性的改变，由攻击网络改为攻击网络的防护系统，且有愈演愈烈的趋势。现已有专门针对IDS作攻击的报道。攻击者详细地分析了IDS的审计方式、特征描述、通信模式找出IDS的弱点，然后加以攻击。

 

　　 今后的入侵监测技术大致可朝下述三个方向发展。

 

分布式入侵监测

 

　　 第一层含义，即针对分布式网络攻击的监测方法；第二层含义即使用分布式的方法来监测分布式的攻击，其中的关键技术为监测信息的协同处理与入侵攻击的全局信息的提取。

 

智能化入侵监测

 

　　 即使用智能化的方法与手段来进行入侵监测。所谓的智能化方法，现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法，这些方法常用于入侵特征的辨识与泛化。利用专家系统的思想来构建入侵监测系统也是常用的方法之一。特别是具有自学习能力的专家系统，实现了知识库的不断更新与扩展，使设计的入侵监测系统的防范能力不断增强，应具有更广泛的应用前景。应用智能体的概念来进行入侵监测的尝试也已有报道。较为一致的解决方案应为高效常规意义下的入侵监测系统与具有智能监测功能的监测软件或模块的结合使用。

 

全面的安全防御方案

 

　　 即使用安全工程风险管理的思想与方法来处理网络安全问题，将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵监测多方位全面对所关注的网络作全面的评估，然后提出可行的全面解决方案。

 

基于内核的入侵监测

 

　　 基于内核的入侵监测是一种相当巧妙的新型的Linux入侵监测系统。现在最主要的基于内核的入侵监测系统叫做LIDS，并可以从http://www.lids.org/ 下载。

 

Intruder Alert

 

　　 Intruder Alert(ITA)是使用管理者/代理结构的功能强大的产品。管理者和代理可以运行于UNIX，NT和Novell网络中。ITA的第一个优点是它可以在许多网络环境中应用。由于公司很少只应用单一厂商的产品，所以你选择的IDS应该可以适用于尽可能多的厂商的产品。

 

　　 ITA的第二个优点是其分布式的管理结构。ITA软件包由两个服务和三个应用程序组成：

 

　　 ·ITA Manager（充当服务，守护进程或Novell的可装载的模块）

 

　　 ·ITA Agent（充当服务，守护进程或Novell的可装载的模块）

 

　　 ·ITA Admin（用来配置代理的应用程序）

 

　　 ·ITA View（用于查询代理的程序）

 

　　 ·ITA Setup（从管理者域中添加和删除代理的程序）

 

ITA和防火墙

 

　　 防火墙会产生其它的连接问题。如果你试图连接处于防火墙保护下的代理，通常会因为防火墙只允许某些流量通过而失败。为了解决上述问题，请为该连接定义防火墙规则。

 

定义策略和建立规则

 

　　 一旦你定义了策略，便可以开始使用它。你可以观看在Policy Library tree下的策略。然而，这个列表只是提供了潜在的策略。如果你希望更改工作中的代理，则点击活动的管理者图标然后是从Policy Library tree起源的策略。

 

　　 ITA View分三次列出一些或全部的策略。不要对这种重复感到迷惑：程序列出了活动的策略和任何你可能使用策略，还列出至少两个域的策略：缺省的所有代理和缺省的NT。第三个tree列出了你可能增添到缺省域中的策略。当然，你可以重命名这些缺省的域，也可以增加新的域。第四个tree列出了事先定义好的策略，你可以剪切并粘贴到策略库中，并激活它们。在观看Active Policies tree时你无法看到特殊的规则短语和条款。你可以在Policies tree的管理者名称（如Student10）下看到这些信息。

 

规则的建立

 

　　 同eTrust Intrusion Detection一样，ITA的规则也包含一些子元素。这些对确定ITA监测哪些网络和主机以及采取哪些行为有所帮助。所有ITA的策略都包含三个部分：选择、忽略和动作。

 

　　 如果你希望确定一种特别的活动，例如NetBus连接或Land攻击，则 Select元素来定义。ITA针对你定义好的规则来实施特殊的行为。一旦你使用一个Select段并定义了事件，ITA就知道这个事件了。

 

　　 然而，ITA并不知道针对这个事件采取什么行动。Ignore段就是用来满足这个需要的。ITA将忽略任何你放在Ignore段中的条款，即使你已经定义过了。在Action段中的条款将决定ITA对你所定义的事件采取什么行为。如果你把相同的事件同时置于Ignore和Action段中的话，ITA不会对该事件采取行动。通常，Ignore段被用来处理误报。ITA规则使用Boolean逻辑。如果Select段被激活或为真，ITA将查看任何的Ignore和Action段。例如，在Action段中规定ITA将事件记录到日志文件中，而且Ignore段中没有覆盖这条逻辑的话，ITA将采用在Action段中定义的规则。

 

对规则排序

 

　　 你可以决定每条规则的重要性顺序。每条规则可以具有0到100的值。0到33的值表示这条规则是个警告，34到66表示为中等程度的安全问题，而67到100表示已经发生了严重的安全问题。ITA并不会自己将这些新的规则进行排序，你需要投入事件正确地对它们排列优先级顺序。

 

　　 Indirect, Filter和Disable三个复选框对定义规则来说并不是必须的。这些只是ITA在应用规则时进行附加控制的。Indirect选项只允许当其它ITA规则引用时才运行，Filter选项将被其它规则监测到的事件删除掉，Disable在ITA监测时删除掉整个的规则。

 

进行查询

 

　　 你可以使用ITA View进行查询。从ITA View的主界面，单击New按钮你可以定义并进行查询。Define New Filter对话框允许你连接管理者，然后直接从管理者向代理进行查询。从这里，你可以存储或装入事先定义好的能够帮助你快速了解某台主机安全状况的查询（例如filters）

 

　　 由于这个程序独立于ITA Admin运行，你必须重新登录管理者。这项要求加强了安全性，而且保证了一个程序的崩溃并不会影响到管理和查询代理。

 

　　 在连接好代理后，你可以开始进行查询。你的查询受限于你在ITA View中建立和激活的规则。你还可以根据优先级来进行查询。或者使用查询文本框，或者从管理者对象窗口向查询列表窗口拖拽查询项，然后选择Go。在查询对话框中的内容将覆盖在查询列表窗口的输入内容