UTM/IDS/IPS

本文对如何定制IDS的关键部件特征数据库做了详细地介绍，相信你已经对此有了进一步的认识。入侵者总是狡猾多变的，我们不能让手中的钢刀有刃无光，要经常地磨砺它、改装它，才可能以万变应万变，让入侵者胆战心惊！

一般来说，像我这样的菜鸟还有众多的MM，对“骇客”这个称呼有种发自内心的崇拜感和惧怕感——为什么呢？在一般人眼里，骇客是无所不能的，可以来无影、去无踪，可以在网络世界里为所欲为。那么，在强大的对手面前，我们真的就束手无策吗？

如果有了应用IDS，传感器会收集SQL命令并对其进行解密，然后查看这些命令到底要访问数据库中的哪些表和列。利用这种方法，传感器就可以判断出到底是正常情况还是一次攻击行为。如果发现的行为是IDS策略不允许的，传感器会判断攻击的威胁水平并采取适当的措施，通常是向管理员的控制台和/或通过电子邮件发出警告。

漏洞及攻击分析在NIDS规则设计过程中具有极端重要性，它是规则设计的起点和基础，只有清楚地定义了攻击的特征集A，才有可能有针对性的设计出准确高效的NIDS检测规则。

目前,对企业提供的网络安全解决方案中,以FW+IDS+AV为主流选择。AV、FW在第一期的安全建设中，是必须的。各企业根据实际情况选择IDS。但随着网络环境日益恶化，这些产品终究一个不少的成为企业网络的必需品。

IDS要有效地捕捉入侵行为，必须拥有一个强大的入侵特征数据库，这就如同公安部门必 须拥有健全的罪犯信息库一样。但是，IDS一般所带的特征数据库都比较死板，遇到“变 脸”的入侵行为往往相逢不相识。因此，管理员有必要学会如何创建满足实际需要的特 征数据样板，做到万变应万变！本文将对入侵特征的概念、种类以及如何创建特征进行 介绍，希望能帮助读者尽快掌握对付“变脸”的方法。

测试与效验你的防火墙系统有利于提高防火墙的工作效率，使其发挥令你满意的效果。你必须了解每个系统组件有可 能出现的错误与各种错误的恢复处理技术。一旦在你的规划下有防火墙系统出现非工作状态，这就需要你及时去进行 恢复处理了。

在网络蓬勃发展的几天，网络安全问题日益突出。网络上的黑、白两道在网络安全的各个领域都展开了激烈的竞争。黑帽社团不断推出躲避或者越过网络入侵检测系统（Network Intrusion Detection System,NIDS）的新技术，而NIDS的开发者不断地在自己的产品中加入对这些技术的检测。但是，由于NIDS本身的局限性，胜利的天平正在向 黑帽子倾斜。本文将讨论一些基本的IDS躲避技术，以及如何识破这些技术。

由于目前的NIDS绝大部分是采用sniffer形式抓包，以模式匹配的方式检测和分析入侵，不能处理和分析加密或伪装后的数据包，特别是在网络负载流量高的情况下，许多NIDS会出现丢包现象，所以NIDS仍然存在误报、漏报的可能。黑客如果将上面的一些方法巧妙的结合起来，仍可以逃避目前一些 NIDS的监视。

如果不能找到特征的匹配，系统就会启动启发式扫描和异常检测引擎，会话流量会得到进一步的仔细检查，以发现异常。通过使用最新的启发式扫描技术、异常检测技术和动态威胁防御系统，安全平台大大提高了对已知和未知威胁的防御能力。

为了提高IDS的响应能力，目前国外比较成熟的做法是，用户将这项工作委托给其它专业的安全服务商。在国内还有一个对外包服务商的信任认知过程，而且要确保有一个与外界网络联系的实时畅通的渠道。因此，安全服务委托外包的方式，在国内还需时日。

当我刚才提到“00 ASCII码”以及非标准路径分隔符“\”时，大家可能会倍感熟悉，因为这与前段时间流行的动网上传漏洞以及暴库大法有着密切联系。黑客是门艺术，黑客讲究的是灵感是思路，我们通过深入思考，旧的知识也可以创造出新的技术!

IDS和IPS(IDP)满足的是用户不同的安全需求。两种技术在相当长的时间里，会和防火墙技术一起共存，并在用户的信息安全保障体系中担当不同的角色，并协同工作。

相比而言，误用检测的原理简单，很容易配置，特征知识库也容易扩充，但它存在一个致命的弱点——只能检测到已知的攻击方法和技术。异常检测可以检测出已知的和未知的攻击方法和技术，问题是正常行为标准只能采用人工智能、机器学习算法等来生成，并且需要大量的数据和时间，同时，现在人工智能和机器学习算法仍处于研究阶段。所以现在的入侵检测系统大多采用误用检测的分析方法。

从实际使用情况来看，目前购买IDS的主要用户群一般集中在那些拥有比较专业的网管人员、对网络安全需求比较高的单位，特别是银行等金融行业。这也从侧面说明了，由于目前的IDS还处于一个工具的状态，没有能够成为一个真正适用于广大用户的产品，只用拥有专业网络知识的操作者才能对IDS系统进行有效的策略配置和规则优化，并能从大量的报警信息中找到那些真正的入侵行为。银行和电信行业出于自身的行业特点，对网络安全的需求非常高，通常都建设了自身的网络管理队伍和网络安全体系。大多数的企业和事业单位对网络安全的认识都停留在防病毒和防火墙的层次上，很少对网络整体安全有深刻的认识和建设规划;网络管理人员一般也是兼职人员或力量薄弱，很少有时间和精力专门处理非常复杂的IDS报警信息。

业界的同行曾经说过“安全，是一种意识，而不是某种的技术就能实现真正的安全。”随着工作的时间渐长，对这句话的体会就越深。再防守严密的网络，利用人为的疏忽，管理员的懒惰和社会工程学也可能被轻易攻破。

为了对付这类威胁，新一级别的安全脱颖而出，这就是应用安全。这种安全技术将传统的网络和操作系统级入侵探测系统(IDS)概念应用于数据库(即应用)。与通常的网络或操作系统解决方案不同的是，应用IDS提供主动的、针对SQL的保护和监视，可以保护数以千计的预先包装或自行开发的Web应用。例如，应用IDS可以监视和防护关键的数据，使那些针对数据库的攻击，如缓冲区溢出和Web应用攻击等无法对数据库造成真正的损害，而且应用IDS还可以对这些事件进行审查。

由于IDS对网络的流量有一定的限制，在网络安装过多的IDS时，将会对网络速度有较大的影响，所以根据网络的实际 情况及安全性的要求，我们综合考虑了这两种需求，并做出了以下的布署方案。

为了对付这类威胁，新一级别的安全脱颖而出，这就是应用安全。这种安全技术将传统的网络和操作系统级入侵探测系统(IDS)概念应用于数据库(即应用)。与通常的网络或操作系统解决方案不同的是，应用IDS提供主动的、针对SQL的保护和监视，可以保护数以千计的预先包装或自行开发的Web应用。例如，应用IDS可以监视和防护关键的数据，使那些针对数据库的攻击，如缓冲区溢出和Web应用攻击等无法对数据库造成真正的损害，而且应用IDS还可以对这些事件进行审查。

它们基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。做这类防火墙最出名的厂商莫过于NetScreen.其他的品牌还有FortiNet,算是后起之秀了。这类防火墙由于是专用OS,因此防火墙本身的漏洞比较少，不过价格相对比较高昂，所以一般只有在“确实需要”的情况下才考虑。