安装入侵检测系统后的注意事项.docVIP

　　安装入侵检测系统后的注意事项～教育资源库 　　在经过数月的评估、测试、购置等工作，部署好入侵检测系统后，别以为事情就已完成，其实还有很多等待你去做。 　　 入侵检测系统（Intrusion Detection System IDS）如同一个三岁的早熟小孩，需要你时刻注意他，否则他就不高兴。这种说法可能有些离谱，但IDS确实不象其它安全系统那样，在安装后可以置之不理，而是需要与你沟通，需要你的特别留意。 　　防火墙有可能不需要你的理会，因为它只是默默地驻守在网络的旁边，隔断所有不受欢迎的网包，保护你的网络不受拒绝服务攻击或惹上其它与IP有关的麻烦。 认证系统、VPN 以及其它大部分安全设备也都不需要你的理会。你越不理会它们的存在，它们越能各尽其职。 　　相反，IDS需要你不断地敦促才能进入状态，这样才会告诉你它正在扫描端口，有无诸如SYN风暴 及其它各种各样的鬼东西正在攻击你的网络及系统。所以，如果你考虑把IDS作为网络安全架构的一部分，你就不仅要考虑哪些方案最能满足你的需要，还要考虑你在安装后的生活状况。也就是说，你将如何监控你的系统，谁去监管这些系统，以及最重要一点--IDS半夜三更发出警报时，你该怎麽办？ 　　不仅仅是即插即用 　　要好好利用IDS，因为安装后不仅意味着你拥有探测器及监控器，同时，你将拥有技术和人力资源的定制权、监控权、反应权及改正权。 　　定制 是指更精细地调校IDS，使IDS有能力找出与你网络有关的事件。统计数据显示：大部分攻击是由来自企业内部DMZ (非军事区)的人发动的，所以这个寻找过程不仅限于消除来自网上的假警报。 　　监控 是指对IDS资源的理解，包括知道什么是假警报以及如何调查及处理那些看来是真的警示。 　　反应 是指当有真警报发生时所采取的行动。攻击者究竟想达到什么目的？攻击者来了没有？如果你的DS 就采取了这种混合方法来提供入侵检测的解决方案。 　　RealSecure 原本依赖基于网络的探测器探测，但现在也包括了基于主机的入侵检测系统。ISS也融合了监控路由器系统日志的功能，所以，现在你的路由器也可以是个IDS探测器。CyberCop现在不仅提供基于主机的IDS，它也正在朝融合架构的方向发展，把网络嗅探器放在它们的主机代理中。而CMDS 同时使用网络及主机信息来搜索攻击模式。 　　智能IDS管理器 　　典型的IDS，不管是基于主机的、基于网络的或是两类型的混合，仍然需要你对它们进行调校及定制。但有一种新型的IDS，名叫智能系统IDS，它可以减轻你部分工作量。 这种系统不只可以从特别的探测器中读取数据，还可以从网络中每一台设备读取信息。它们会聆听路由器及操作系统的系统日志，吸纳防火墙的日志文件及IDS探测器信息，然后通过整理这批数据来判断你的网络究竟发生了什么事情。 　　这样的智能系统也试图通过智能调校灵敏度以消除假警报。 例如：CMDS就有一个检测不正常活动的工具，它可在某段时间内收集网络的数据，然后用基于网络的方法建立新的用户简表。一旦建立了新的简表，所有超出简表范围的事件都会触发警报。例如，如果用户Bob一般都是在正常工作时间登录网络，但有一次，Bob半夜三点钟从家里登录并开始下载文件。虽然Bob并没有做错事，IDS同样会向你发出警报。 　　其 123下一页 友情提醒：，特别！它产品也开始相继融合了类似的高级智能功能。例如CyberSafe 的Centrax 融合了安全政策、评估及监控功能，成为单一的管理控制台。 ISS 的RealSecure 的Fusion 技术就是结合了多个探测器的结果，不论这些探测器是基于主机的还是网络的、路由器或防火墙的，根据横跨这些设备的多阶段事件，IDS就可以作出明智的决定。例如，由网络探测器检测出缓冲器溢出，同时，主机探测器检测到根登录，这两者结合就可能是非法操作，IDS便会发出警报。 　　其它供应商也正在努力改进系统，使IDS更能减轻行政管理的负担。Axent 的NetProDS这类的智能系统、HP Open-Vieonitor 是当今两个最好的解决方案。当有警报发生时，只要点击警报，系统便会提供针对这种攻击提供更详细的资料。很多IDS也启动了数字签名的定义数据库：有攻击的解释、如何攻击、会有什么影响及如何对付。ISS 的帮助文件是可以自行制定的，你可以通过调校警报简表来使其个性化。Cisco 的NetRanger 也是一样。NetRanger 的数据库其实就是一系列的HTML文件。有一个可扩展的HTML数据库非常好，你可以针对每类攻击，把Cisco 的HTML文件换成你制定的事件反应操作流程，这样，你就可以把适合本企业的反应操作制定到企业的管理中了。