UTM/IDS/IPS

攻击者发送OOB数据，如果被保护主机的应用程序可以处理OOB，由于NIDS不可能准确预测被保护主机收到OOB的时候缓冲区内正常数据的多少，于是可能绕过NIDS。

不象NIDS，厂家可以自己定制一个足够安全的操作系统来保证NIDS自身的安全，HIDS的安全性受其所在主机的操作系统的安全性限制，如果所在系统被攻破，HIDS将很快被清除。如果HIDS为单机，则它基本上只能检测没有成功的攻击，如果HIDS为传感器/控制台结构，则将面临与NIDS同样的对相关系统的攻击。

　安装管理者的操作系统应该尽可能的安全和没有漏洞。有些厂商要求你使用特定类型的操作系统来安装管理者。例如，ISS RealSecure要求你安装在Windows NT Workstation而不是Windows NT Server，这是由于在NT Workstation上更容易对操作系统进行精简。

　　 特征检测对已知的攻击或入侵的方式作出确定性的描述，形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时，即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高，但对于无经验知识的入侵与攻击行为无能为力。

要分析网络入侵检测系统所布署的网络环境，如果在512K或2M专线上布署网络入侵检测系统，则不需要高速的入侵检测引擎，而在负荷较高的环境中，性能是一个非常重要的指标。

我没有使用UPS，同时运行的是一个需要能够远程访问的服务器，我就按照上面的文件进行了配置，但是在实际应用过程中，每个人的系统根据环境不一样，会有一些差别。

在Linux系统中，通过使用这一系列的多层的安全措施，可以防止很大范围的攻击，同时还可以防止入侵或者篡改。系统被黑客入侵口就是网络接口，在网络接口，系统内核上我们都可以防止他人的入侵。意识到系统中的一些潜在的安全漏洞。任何运行在系统上的守护进程或者服务，不管是root用户还是非root用户运行的，都能够成为一个潜在的安全威胁。充分准备好面对这些威胁。

　建立基线是你在审计过程中应当采取的第一步。在建立基线时，先在网络活动的峰值期间运行IDS一段很短的时间。下面的连续将告诉你更多的关于整个网络活动的情况。掌握这些信息是唯一能够确定你所运行的网络是否“正常”的标准。确定在员工工作期间发生了哪种类型的活动。这些情况有助于你捕获那些有工业间谍或其它安全伤害的雇员行为。另外可以在晚间运行IDS，因为这是攻击者从外界进行攻击的最常见时段。

IDS的误报和误警是不可能彻底解决的，这个问题对IDS的方向的影响就是它需要走强化安全管理功能的道路。它需要强化对多种安全信息的收集功能，它需要提高IDS的智能化分析和报告能力，它需要与多种安全产品形成配合。只有这样，IDS才有可能成为网络安全的重要基础设施。

IDS还含有一个集中监控信息的“控制台”，其作用是接收所有Probe的告警，远程控制所有的Probe。控制台端的日志分析模块会把Probe的告警信息综合后集中分析，生成入侵分析报告。控制台端的响应模块会根据不同的响应策略对不同的告警采取不同的行动。连接控制台和Probe的是通信模块。

Found Sniper是一个用于计算机网络上的、自动的、实时入侵保护系统。Found Sniper监控网络传输的数据流，自动检测和响应可疑的网络行为，使用户在网络和系统受到危害之前发现并阻止非法入侵，同时Found Sniper检测、报警、识别和阻止那些在实时环境下无法被防火墙发现的非法活动、内部网络滥用和内部信息泄露。Found Sniper支持千兆接口，能够在网络通信量情况下，进行无信息包丢失的入侵检测。

另一块卡理论上可以是Linux 2.4内核所能支持的任何芯片的网卡，但是我们也推荐使用 Intel EEpro100，这样可以省去很多麻烦，避免不必要的错误发生。这块卡在系统中会 被认为是ETH1，用作管理和通讯。

联动技术的诞生，的确给了用户一种“眼前一亮”的感觉。但是，“好听不好用”的确是目前联动的应用现状。显然，这种现状是发起它的人们所不愿看到的。缺乏一种大家都认可的沟通语言应该说是联动应用路上的一个最大的拦路虎。作为一种公共语言，协议自然是铲除这种拦路虎的有效手段。因为，任何一种技术能够发扬光大，都离不开这样一种手段。有关这个事实的实例可以说俯拾皆是。协议的诞生是需要有领头者的，主流厂商自然当仁不让，东软现在已经挺身而出，是否还会有其他的厂商来加入这个“协议”队伍，我们还需要拭目以待。第一个吃螃蟹的人当然是勇士，不过，勇士不一定就是成功者，即使是联动协议，NAP也不一定就得到最终的广泛认可。不过，东软的这种协议思路还是值得借鉴的。

防病毒、防火墙、IDS系统等安全产品通常分别具有自己的硬件平台，分别部署。这意味着用户需要部署几套不同的设备，既浪费了资源又占用了空间。入侵防御系统（IPS）有可能会结束防火墙、IDS系统、漏洞扫描与评估、防病毒等安全产品间彼此孤立、缺少联动的分裂局面。正如其名称所蕴含的那样，入侵防御系统（IPS）具有检测入侵和对入侵做出反应两项功能，可以说是将防火墙、IDS系统、防病毒和脆弱性评估等技术的优点与自动阻止攻击的功能融为一体。目前无论国外还是国内，还没有厂商做到这一步，这尚处于理论研究阶段。

Synscan是一个流行的用于扫描和探测系统的工具，由于它的代码被用于创建蠕虫Ramen的开始片断而在2001年早期大出风头。Synscan的执行行为很具典型性，它发出的信息包具有多种可分辨的特性

关注TCP、UDP或者ICMP的报头信息要比关注DNS报头信息更方便。因为TCP、UDP以及ICMP都属于IP协议，它们的报头信息和载荷信息都位于IP数据包的payload部分，比如要获取TCP报头数值，首先解析IP报头，然后就可以判断出这个载荷的 “父亲”是TCP。而象DNS这样的协议，它又包含在UDP和TCP数据包的载荷中，如果要获取DNS的信息，就必须深入2层才能看到真面目。而且，解析此类协议还需要更多更复杂的编程代码，完全不如TCP等简单。实际上，这个解析操作也正是区分不同协议的关键所在，评价IDS系统的好坏也体现在是否能够很好地分析更多的协议。

整合在后续的工作中会不断进行，各个组件的功能也会不断完善。一个基本的、基于Windows平台的IDS框架就构建完毕。满足网络条件的话，试试亲手做做自己的奶酪吧，有一种不可名状的劳作后的甜蜜。

Snort是一个轻便的网络入侵检测系统，可以完成实时流量分析和对网络上的IP包登录进行测试等功能，能完成协议分析，内容查找／匹配，能用来探测多种攻击和嗅探（如缓冲区溢出、秘密断口扫描、CGI攻击、SMB嗅探、拇纹采集尝试等）。

SnortCenter是一个基于Web的snort探针和规则管理系统，用于远程修改snort探针的配置，起动、停止探针，编辑、分发snort特征码规则。

整合在后续的工作中会不断进行，各个组件的功能也会不断完善。一个基本的、基于Windows平台的IDS框架就构建完毕。满足网络条件的话，试试亲手做做自己的奶酪吧，有一种不可名状的劳作后的甜蜜。