UTM/IDS/IPS

IDS能够查找在某一个特定时段内一个主机和另一个主机之间的连接次数(例如，在10秒钟之内同一个IP地址的主机发出10次以上的连接请求)。这种方法是DNS服务器经常被误认为是端口扫描主机的一个原因。ns1.securitysage.com网站称，当你的计算机使用一个DNS服务器的时候，它将随机地从高的端口到低的53端口连接ns1.securitysage.com网站，ns1.securitysage.com网站通常用53端口对这同一个连接进行应答。对于IDS来说，这就像ns1.securitysage.com网站正在对另一个主机进行端口扫描一样 ，在几秒钟之内发出几个查询。

不管是funlove病毒也好，还是CIH也好。在内部网络用户下载外网的带毒文件的时候，防火墙是不为所动的（这里的防火墙不是指单机/企业级的杀毒软件中的实时监控功能，虽然它们不少都叫“病毒防火墙”）。

有些网络设备会处理TOS选项，如果NIDS与受保护主机各自连接的网络设备处理不一样的话，通过精心设置TOS选项，将会导致NDIS的Sensor与受保护主机收到的数据包的顺序不一样，于是有可能导致NIDS重组后的数据包与被保护主机的数据包不一致，从而绕过NIDS的监测(尤其在UDP包中)。

　目前，攻击NIDS最有效的办法是利用Coretez Giovanni写的Stick程序，Stick使用了很巧妙的办法，它可以在2秒内模拟450次攻击，快速的告警信息的产生会让IDS反应不过来、产生失去反应甚至死机现象。由于Stick发出多个有攻击特征（按照snort的规则组包）的数据包，所以IDS匹配了这些数据包的信息时，就会频繁发出警告，造成管理者无法分辨哪些警告是针对真正的攻击发出的，从而使IDS失去作用。当有攻击表现的信息包数量超过IDS的处理能力的话，IDS会陷入拒绝服务状态。Stick对许多IDS有影响，ISS公司的产品也不例外，该公司的产品中曾有"RealSecure Network Sensor 5.0"的Windows NT/2000版受到了影响，后来ISS发布了补丁，好像已经解决了这个问题。但其它一些公司的IDS，如snort，因为Stick发送的是按 snort规则组成的包，所以用Stick攻击装有snort的网络时，会产生大量的日志记录。

这几年有关入侵检测的产品发展比较快，现在比较流行的入侵检测系统（IDS）也比较多，其中Intruder Alert and Netprowler、Centrax 2.2和Realsecure 3.2采用了集成化的检测方法。 (1)NetRanger:与路由器结合。Cisco的NetRanger是当前性能最好的IDS之一。NetRanger使用一个引擎/控制模型，它几乎能够检测到当前已知的各种攻击。

会话阻止的机制可以被攻击者所绕过，绕过这一机制的很多方法都是依靠时间选择方式。 如果攻击不需要一个交互式的会话过程，则攻击者可以通过简单设置TCP/IP数据包的PUSH堆栈来实现时间选择。TCP/IP堆栈一般不会立即将收到的大块数据送给应用程序处理。绝大多数时候，这样将造成应用程序花费比较高的系统中断调用和内容交换的代价来提高对小数据包的处理能力，堆栈将所有数据放在一个缓冲区中，当缓冲区满了以后，堆栈才将堆栈中所有的数据一次性提交给应用层的程序。在上面的例子中，所有的51字节的数据全部收到以后才会被一次性提交给应用层。

事件分析系统是IDS的核心模块，主要功能是对各种事件进行分析，从中发现违反安全策略的行为，如何建立是重点也是难点。如果自己能或与人合作编写软件系统，就需要做好严谨的前期开发准备，如对网络协议、黑客攻击、系统漏洞有着比较清晰的认识，接着开始制定规则和策略，它应该基于标准的技术标准和规范，然后优化算法以提高执行效率，建立检测模型，可以模拟进行攻击及分析过程。

如果有了应用IDS，传感器会收集SQL命令并对其进行解密，然后查看这些命令到底要访问数据库中的哪些表和列。利用这种方法，传感器就可以判断出到底是正常情况还是一次攻击行为。如果发现的行为是IDS策略不允许的，传感器会判断攻击的威胁水平并采取适当的措施，通常是向管理员的控制台和/或通过电子邮件发出警告。

在网络安全攻防较量中，用户虽然无法抑制黑客们的蠢蠢欲动，但以更快的速度完善反黑客技术却是可以做到的。在新近推出的榕基RJ-IDS中，我们看到了不少会令黑客们头痛的新技术。榕基RJ-IDS系列产品具有主流IDS产品的所有功能。所有榕基RJ-IDS型号产品都可以实现双网络接口或多网络接口探测，多网络接口探测器功能可以同时监控多个交换机、多VLAN的数据，减少用户的投资。其千兆型号采用高速芯片板卡，使单台设备最高检测能力达到“线速”，是真正的"千兆"入侵检测产品。通过其多级管理功能能够满足大型项目的应用，可以轻松部署在千兆网络环境中，同时分析上、下行网络数据，实现了能对各级中心下的节点探测器进行用户统一管理、权限分配统一管理、策略分发统一管理等集中式管理功能，帮助企业最大限度的保护企业内部的网络安全。

网络攻击的本质就是利用目标系统设计或实现上的问题，从被攻击进程的角度看，攻击报文或在内容结构上，或在出现的时序上，或在流量的大小上，攻击报文一定是处于服务程序无法正确处理的畸形状态。限于篇幅，本文暂不讨论比较复杂的与时序及统计相关的攻击，只考虑相对比较简单的单请求攻击，要使攻击得以成功完成，网络攻击的报文的内容和结构必须满足某些必要的条件，这些必要的报文特征用于驱使受攻击进程的处理流程走到触发漏洞的操作，我们用特征集A表示这些必要的报文特征的集合。

为了使性能达到最佳，所有会话流量首先被每一个安全和检测引擎使用已知特征进行分析。特征模式结合由硬件加速的精简模式识别语言是当前识别已知攻击最快的方法。如果发现了特征的匹配，DTPS按照在行为策略中定义的规则来处理有害流量——丢弃、重置客户端、重置服务器、中止会话等。安全防护响应网络可提供病毒库、IDS/IPS特征以及安全引擎最新版本， 以保持实时更新。这就保证了基于最新特征的威胁会被识别出来，并被快速阻挡。

设计思路:响应系统可分为两个程序部分，监听和控制。 监听部分绑定某个空闲端口，接收从事件探测器发出的分析结果和其他信息，并转化存储文件到事件数据库系统中，作为管理员可根据用户权限调用来只读、修改以及特别的操作。控制部分可用GTK+来编写GUI，开发出较为直观的图形用户界面，目的主要是给用户一个更方便友好的界面来浏览警告信息。

碎片攻击和会话拼接（session splicing）有点类似。直到最近，很多入侵检测系统在进行字符串匹配之前不能准确地重组碎片。现在这种 情况有了改观，所有的入侵检测系统都能够进行某些重组。

误用检测的原理简单，很容易配置，特征知识库也容易扩充，但它存在一个致命的弱点——只能检测到已知的攻击方法和技术。异常检测可以检测出已知的和未知的攻击方法和技术，问题是正常行为标准只能采用人工智能、机器学习算法等来生成，并且需要大量的数据和时间，同时，现在人工智能和机器学习算法仍处于研究阶段。所以现在的入侵检测系统大多采用误用检测的分析方法。

关注TCP、UDP或者ICMP的报头信息要比关注DNS报头信息更方便。因为TCP、UDP以及ICMP都属于IP协议，它们的报头信息和载荷信息都位于IP数据包的payload部分，比如要获取TCP报头数值，首先解析IP报头，然后就可以判断出这个载荷的“父亲”是TCP。而象DNS这样的协议，它又包含在UDP和TCP数据包的载荷中，如果要获取DNS的信息，就必须深入2层才能看到真面目。而且，解析此类协议还需要更多更复杂的编程代码，完全不如TCP等简单。实际上，这个解析操作也正是区分不同协议的关键所在，评价IDS系统的好坏也体现在是否能够很好地分析更多的协议。

要协调各组件之间的有目的通信，各组件就必须能正确理解相互之间传递的各种数据的语义。可参考CIDF的通信机制，构建3层模型。注意各个组件之间的互操作性，保证安全、高效、顺畅。

由于方法论的问题，IDS的误报和误警是不可能彻底解决的，这个问题对IDS的方向的影响就是它需要走强化安全管理功能的道路。它需要强化对多种安全信息的收集功能，它需要提高IDS的智能化分析和报告能力，它需要与多种安全产品形成配合。只有这样，IDS才有可能成为网络安全的重要基础设施。

在大型网络中，网络的不同部分可能使用了多种入侵检测系统，甚至还有防火墙、漏洞扫描等其他类别的安全设备，这些入侵检测系统之间以及IDS和其他安全组件之间如何交换信息，共同协作来发现攻击、作出响应并阻止攻击是关系整个系统安全性的重要因素。例如，漏洞扫描程序例行的试探攻击就不应该触发IDS的报警；而利用伪造的源地址进行攻击，就可能联动防火墙关闭服务从而导致拒绝服务，这也是互动系统需要考虑的问题。

两种检测技术的方法、所得出的结论有非常大的差异。基于异常的检测技术的核心是维护一个知识库。对于已知得攻击，它可以详细、准确的报告报告出攻击类型，但是对未知攻击却效果有限，而且知识库必须不断更新。基于异常的检测技术则无法准确判别出攻击的手法，但它可以（至少在理论上可以）判别更广范、甚至未发觉的攻击。

IDS作为网络安全架构中的重要一环，其重要地位有目共睹。随着技术的不断完善和更新，IDS正呈现出新的发展态势。IPS（入侵防御系统）的出现，应该说是IDS技术的一种新发展趋势， IPS技术在IDS监测的功能上又增加了主动响应的功能，一旦发现有攻击行为，立即响应，主动切断连接。它的部署方式不像IDS并联在网络中，而是以串联的方式接入网络中。