1 概述

 

1.1 什么是網絡入侵檢測

 

1.1.1 入侵檢測系統
 

 

    當信息化在各個行業中廣泛應用并帶來明顯效益的時候，信息安全便成為目前迫切需要解決的問題。從傳統的信息安全方法來看，采用嚴格的訪問控制和數據加密策略來防護在很長一段時間來取得了明顯的效果，但在復雜系統中，采用這些策略明顯是不充分的，確切來講它們是系統安全不可缺的部分，但不能完全保證系統的安全。在信息安全短暫而卻漫長的發展歷程中，一種對入侵行為的發覺技術和應用漸漸被人們所重視，網絡管理專家們要求有一種設備，它能夠通過從計算機網絡的若干關鍵點收集信息并進行分析，從中發現網絡中是否有違反安全策略的行為和被攻擊的跡象，這種設備就是現在被人們普遍使用的入侵檢測系統（Intrusion Detection System縮寫IDS）。
 

 

    入侵檢測系統(Intrusion Detection System)通過從計算機網絡或計算機系統的關鍵點收集信息并進行分析，從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測系統可以說是防火墻系統的合理補充和延伸，如果說防火墻是第一道安全閘門，入侵檢測系統則可以說是第二道安全閘門。入侵檢測系統在不影響網絡性能的前提下，實時、動態地保護來自內部和外部的各種攻擊，同時有效地彌補了防火墻所能達到的防護極限。
 

 

    根據進行入侵分析的數據來源的不同，可以將入侵檢測系統分為基于網絡的入侵檢測系統（Network-Based Intrusion Detection System）和基于主機的入侵檢測系統（Host-Based Intrusion Detection System）。
 

 

    基于網絡的入侵檢測系統（NIDS）的數據來源為網絡中傳輸的數據包及相關網絡會話，通過這些數據和相關安全策略來進行入侵判斷?；谥鳈C的入侵檢測系統（HIDS）的數據來源主要為系統內部的審計數據，通過這些數據來分析、判斷各種異常的用戶行為及入侵事件。
 

 

1.1.2 入侵檢測系統工作流程

 

    通常入侵檢測系統為了分析、判斷特定行為或者事件是否為違反安全策略的異常行為或者攻擊行為，需要經過下列四個階段：
 

 

1 數據采集

 

    網絡入侵檢測系統（NIDS）或者主機入侵檢測系統(HIDS)利用處于混雜模式的網卡來獲得通過網絡的數據，采集必要的數據用于入侵分析。
 

 

2 數據過濾

 

    根據預定義的設置，進行必要的數據過濾，從而提高檢測、分析的效率。
 

 

3 攻擊檢測/分析

 

    根據定義的安全策略，來實時監測并分析通過網絡的所有通信業務，使用采集的網絡包作為數據源進行攻擊辨別，通常使用模式、表達式或字節匹配、頻率或穿越閥值、事件的相關性和統計學意義上的非常規現象檢測這四種技術來識別攻擊。
 

 

4 事件報警/響應
 

 

    當IDS一旦檢測到了攻擊行為，IDS的響應模塊就提供多種選項以通知、報警并對攻擊采取相應的反應，通常都包括通知管理員、記錄在數據庫。

 

1.1.3 入侵檢測系統的基本架構
 

 

    信息的收集主要由Sensor負責，sensor稱為網絡傳感器，它對網絡數據進行監聽，因為性能和安全的需求，現在的傳感器多采用專用的設備來實現，它的一塊網卡通過混雜模式連接在被檢測的網段上負責收集網絡數據包，另一塊網卡用于管理，其它模塊負責分析和處理數據包。因此，信息收集需要在網絡系統中的若干不同網段關鍵點進行收集，因為入侵檢測很大程度上依賴于收集信息的可靠性和正確性。

 

 

    信息分析是IDS技術中的核心問題，采用什么樣的檢測技術直接關系到報警信息的準確性。當然檢測技術有很多種，但目前主流的檢測方法有三種：模式匹配、異常檢測、協議分析。當然結果處理就包含了系統的誤報和漏報。
響應控制是針對發現可疑行為后的處理機制，目前常見的響應方式包括：寫入數據庫、在控制管理平臺上顯示、發送阻斷請求給防火墻、發送給事件分析工具等。
 

 

1.2 主流入侵檢測技術

 

1.2.1 模式匹配技術
 

 

    模式匹配技術是入侵檢測技術領域中應用最為廣泛的檢測手段和機制之一，模式匹配技術也稱攻擊特征檢測技術，假定所有入侵行為和手段（及其變種）都能夠表達為一種模式或特征，那么所有已知的入侵方法都可以用匹配的方法來發現，模式發現的關鍵是如何表達入侵的模式，把真正的入侵與正常行為區分開來。
 

 

    模式匹配技術有它自己的好處：比如只需收集相關的數據集合，減少系統負擔，同時模式匹配技術經過多年發展已經相當成熟，使得檢測準確率和效率都相當高，這也是模式匹配技術至今仍然存在并被使用的理由。當然，單純的模式匹配技術也同樣具有明顯的不足：
 

 

    • 如果對整個網絡流量進行匹配，計算量非常大，系統有嚴重的性能問題。
 

    • 只能使用固定的特征模式來檢測入侵，對做過變形的攻擊無法檢測，因此容易被逃避檢測。
 

    • 特征庫龐大，對攻擊信號的真實含義和實際效果沒有理解能力，因此，所有的變形都將成為攻擊特征庫里一個不同的特征，這就是模式匹配系統有一個龐大的特征庫的原因所在。
 

 

    因此，模式匹配的這種檢測機制決定了它對已知攻擊的報警比較準確，局限是它只能發現已知的攻擊，對未知的攻擊無能為力，而且誤報率比較高。最為不足的是對任何企圖繞開入侵檢測的網絡攻擊欺騙無能為力，由此會產生大量的虛假報警，以至于淹沒了真正的攻擊檢測。

 

1.2.2 異常檢測技術

 

    基于異常檢測方法主要來源于這樣的思想：任何人的正常行為都是有一定規律的，并且可以通過分析這些行為產生的日志信息總結出這些規律，通常需要定義為各種行為參數及其閥值的集合，用于描述正常行為范圍。而入侵和濫用行為則通常和正常的行為存在嚴重的差異，通過檢查出這些差異就可以檢測出入侵。這樣，我們就能夠檢測出非法的入侵行為甚至是通過未知攻擊方法進行的入侵行為，此外不屬于入侵的異常用戶行為（濫用自己的權限）也能被檢測到。
 

 

異常檢測技術的檢測流程：

 

入侵檢測技術具有的特點：
 

 

    • 異常檢測系統的效率取決于合法用戶行為定義的完備性和監控的頻率大小
 

    • 因為不需要對每種入侵行為進行定義，因此能有效檢測未知的入侵
 

    • 系統能針對用戶行為的改變進行自我調整和優化，但隨著檢測模型的逐步精確，異常檢測會消耗更多的系統資源
 

    • 漏報率低，誤報率高
 

 

    因此，異常檢測技術假定所有入侵行為都是與正常行為不同的，如果建立系統正常行為的軌跡，那么理論上可以把所有與正常軌跡不同的系統狀態視為可疑企圖。對于異常閥值與特征的選擇是異常發現技術的關鍵。比如，通過流量統計分析將異常時間的異常網絡流量視為可疑。異常發現技術的局限是并非所有的入侵都表現為異常，而且系統的軌跡難于計算更新。
 

 

    當然要使用異常檢測還面臨著幾個問題：
 

    • 用戶的行為有一定規律性，但選擇哪些數據來表現這些規律的行為仍然存在一些問題。
 

    • 如何有效表示這些正常行為，使用什么方法反映正常行為，如何能學習到用戶的新正常行為存在問題。
 

    • 規律的學習過程時間到底為多少，用戶行為的時效性等問題。
 

 

1.2.3 協議分析技術

 

    協議分析是目前最先進的檢測技術，是在傳統模式匹配技術基礎之上發展起來的一種新的入侵檢測技術。它主要是針對網絡攻擊行為中攻擊者企圖躲避IDS的檢測，對攻擊數據包做一些變形，它充分利用了網絡協議的高度有序性，并結合了高速數據包捕捉、協議分析和命令解析，來快速檢測某個攻擊特征是否存在，從而逃避IDS的檢測而開發設計的。它最大的特點是將捕獲的數據包從網絡層一直送達應用層，將真實數據還原出來，然后將還原出來的數據再與規則庫進行匹配，因此它能夠通過對數據包進行結構化協議分析來識別入侵企圖和行為。協議分析大大減少了計算量，即使在高負載的高速網絡上，也能逐個分析所有的數據包。采用協議分析技術的IDS能夠理解不同協議的原理，由此分析這些協議的流量，來尋找可疑的或不正常行為。對每一種協議，分析不僅僅基于協議標準，還基于協議的具體實現，因為很多協議的實現偏離了協議標準。協議分析技術觀察并驗證所有的流量，當流量不是期望值時，IDS就發出告警。協議分析具有尋找任何偏離標準或期望值的行為的能力，因此能夠檢測到已知和未知攻擊方法。
同時，狀態協議分析技術就是在常規協議分析技術的基礎上，加入狀態特性分析，即不僅僅檢測單一的連接請求或響應，而是將一個會話的所有流量作為一個整體來考慮。有些網絡攻擊行為僅靠檢測單一的連接請求或響應是檢測不到的，因為攻擊行為包含在多個請求中，此時狀態協議分析技術就是IDS技術的首選。同時協議分析是根據構造好的算法實現的，這種技術比模式匹配檢測效率更高，并能對一些未知的攻擊特征進行識別，具有一定的免疫功能。
 

 

1.3 常見部署方式

 

    IDS產品在共享式網絡中的部署方式非常簡單，監聽網卡連接到需檢測的網段中即可，網卡收集網絡中的所有數據包進行分析和處理，其優點是不影響網絡結構和正常通信。
 

 

    在交換式網絡中情況比較復雜，通常有三種收集數據的方式：
 

 

    • 一種方式是網絡接口卡與交互設備的監控端口連接，通過交換設備的Span/Mirror功能將流向各端口的數據包復制一份給監控端口，入侵檢測傳感器從監控端口獲取數據包進行分析和處理。
 

    • 第二種方式是在網絡中增加一臺集線器改變網絡拓撲結構，通過集線器（共享式監聽方式）獲取數據包。例如，如果一個交換機端口連接到一個連接在Internet的路由器上，就可以在路由器和交換機之間插入一個小集線器。

 

    • 第三種方式是入侵檢測傳感器通過一種TAP（分路器）設備對交換式網絡中的數據包進行分析和處理。
傳感器可以被放置在企業網絡中的任何可能存在安全隱患的網段。在這些網段中，根據網絡流量和監控數據的需要來決定部署不同型號的傳感器。
 

 

2 銳捷入侵檢測產品

 

2.1 RG-IDS體系結構

 

核心體系架構
 

 

    RG-IDS的核心檢測技術是新一代的協議分析技術。該技術結合了硬件加速信息包捕捉技術、基于狀態的協議分析技術和開放的行為描述代碼描述技術來探測攻擊。這三大技術構成了RG-IDS所有解決方案的基礎，它提高了入侵檢測系統的檢測準確率和系統性能。
 

 

下面是RG-IDS核心技術的體系架構：

 

 

硬件加速包截獲技術
 

 

    在整個體系架構中，RG-IDS的sensor在底層采用硬件加速包截獲技術，通過硬件加速，大幅度提高了監聽網卡的抓包能力，保證了信息收集的完整。如在一個真實的網絡環境中，即使網絡的負載達到1000Mbps，RG-IDS的硬件加速包截獲技術也能夠實現很低的丟包率，有力保障關鍵數據的捕獲。
 

 

TCP/IP協議狀態檢測
 

 

    在RG-IDS的sensor捕獲數據包后，將數據送到IP及TCP層，在這一層上，sensor采用了完整的狀態追蹤技術，在IP分片重組、排序，TCP流重組的基礎上，完整記錄和保持Session的發起、建立和結束等狀態，同時記錄序列號（Sequence Number）并進行協議狀態檢測分析，確保不會受到IDS躲避技術的欺騙。
 

 

應用層協議分析
 

 

    當TCP/IP協議狀態檢測后，在將數據包送到應用層，在應用層，采用了完整的應用層協議分析技術。RG-IDS協議分析技術是一種新型的入侵檢測技術，它充分利用了網絡協議的高度有序性，使系統在每一層上都沿著協議棧向上解碼，因此可以使用所有當前已知的協議信息，來排除所有不屬于這一個協議結構的攻擊。
 

 

攻擊特征匹配
 

 

    RG-IDS解析器是一個命令解釋程序，入侵檢測引擎包括了多種不同的命令語法解析器。命令解析器具有讀取攻擊字符串及其所有可能的變形，并發掘其本質含義的能力。這樣，在攻擊特征庫中只需要一個特征，就能檢測這一攻擊所有可能的變形。
 

 

2.2 RG-IDS產品特點

 

    RG-IDS系列產品具有以下突出技術特點：
 

 

2.2.1 基于狀態的協議分析技術
 

 

    RG-IDS的協議分析技術，是對已知協議和RFC規范的深入理解，可準確、高效的識別各種已知攻擊。同時根據系統協議分析的算法，sensor擁有檢測協議異常、協議誤用的能力，解決了以往基于模式匹配技術的IDS產品片面依賴攻擊特征簽名數量來檢測攻擊的弊端，極大的提高了檢測的效率，擴大了檢測的范圍。RG-IDS目前支持Telnet、FTP、HTTP、SMTP、SNMP、DNS等多達30種的主流應用層協議，優于其他IDS品牌。
 

 

    例如RG-IDS檢測一個http的訪問，第一步直接跳到數據幀的第13個字節，讀取2個字節的協議標識。如果值是0800，則說明這個以太網幀的數據域攜帶的是IP包，然后第二步跳到第24個字節處讀取1字節的第四層協議標識，如果讀取到的值是06，則說明這個IP包的數據域攜帶的是TCP包，第三步跳到第35個字節處讀取一對端口號。如果有一個端口號是0080，則說明這個TCP幀的數據域攜帶的是HTTP包，第四步讓解析器從第55個字節開始讀取URL。URL串將被提交給RG-IDS的HTTP解析器后，由HTTP解析器來分析它是否可能會做攻擊行為。
 

 

    RG-IDS采用這種先進的檢測技術，使它具有了明顯的優勢：
 

 

    • 利用協議分析已知的通信協議，在處理數據幀和連接時更加迅速和有效準確，減少了誤報的可能性。
 

    • 能夠關聯數據包前后的內容，對孤立的數據包不進行檢測，這和普通IDS檢測所有數據包有著本質的區別。一方面因為這種檢測機制的高效性降低了系統在網絡探測中的資源開銷，大幅度提高了檢測性能，另一方面因為在命令字符串到達操作系統之前，模擬了它的執行，以確定它是否具有惡意，有效減少了誤報。
 

    • 它具有判別通信行為真實意圖的能力，它不會受到像URL編碼、干擾信息、IP分片等入侵檢測系統規避技術的影響。當檢測到的所有數據信息經過應用協議分析后，RG-IDS將真實的應用數據與簽名庫進行攻擊特征的匹配，因為我們知道特征匹配仍然是檢測效率最高的和最準確的檢測技術。只是這種匹配，與普通基于模式匹配的檢測機制有著本質上的區別，它是在協議分析和還原以后真實有效的數據，這種真實可靠的有效數據的匹配，一方面提高了檢測效率，另一方面，增強了檢測攻擊的準確度，減少了誤報的概率。
 

 

2.2.2 基于目標操作系統指紋識別的智能IP碎片重組技術
 

 

    銳捷IDS基于目標操作系統指紋識別的智能IP碎片重組技術采用先進的，更加隱蔽安全的被動探測工作方式來探測分析目標主機的操作系統，并根據探測結果采用針對性的IP碎片重組技術，在避免誤報和漏報的同時，很大程度上提高了IP碎片重組的速度，從而提升了引擎的性能。
 

 

2.2.3 應用層有限狀態機技術
 

 

    銳捷的應用層有限狀態機技術可以保證對每一個攻擊進行詳盡的過程狀態量定義，這樣定義的攻擊簽名與只依靠一兩個表面特征定義的簽名相比有著很高的質量優勢，可以擁有最低的誤報率和最小的漏報率。
 

 

2.2.4 Sensor級別的多端口智能關聯和分析技術

 

    采用這種技術可以保證即使部署在復雜的、高冗余要求的網絡環境中，銳捷的RG-IDS系列產品仍然可以準確高效的進行工作，在不對稱路由網絡環境中也可完整進行狀態的追蹤。
 

 

2.2.5 開放的簽名編寫語言平臺
 

 

    銳捷將先進高效的簽名編寫語言平臺開放給客戶，使用戶可以根據自己的需要，撰寫狀態檢測簽名；并可以根據客戶的需要提供針對私有協議的定制簽名服務。
 

 

2.2.6 專門設計的高性能專用平臺

 

    RG-IDS采用了專用硬件承載平臺設計，配合RGOS(RG-Operation System)，提供多處理器并行、多進程增強和多線程優化的技術，保證IDS的檢測效率能夠達到最大化。銳捷專門設計操作系統基于高性能硬件平臺，采用專有安全操作系統內核，在具備強大數據處理能力的同時，在安全事件顯示方面作出了創新的變化，以系統安全風險評估為核心，采用準實時的圖形化方式來顯示安全事件，使用戶從大量枯燥的報警事件中解脫出來。
 

 

2.2.7 基于會話狀態的檢測

 

    RG-IDS 采用先進的狀態協議分析技術，能準確跟蹤網絡連接的會話，準確、高效的檢測網絡活動。
 

 

2.2.8 開放的行為描述代碼
 

 

    RG-IDS使用一種獨特、高效的“行為描述代碼”創建簽名，“行為描述代碼”觸發傳感器開始收集事件的數據。例如，如果一個數據包有一個UDP包頭，UDP策略的行為描述代碼便開始收集數據。行為描述代碼同時還告訴傳感器該如何處理數據，行為描述代碼中提供的功能告訴傳感器記錄什么類型的數據，并將該數據傳遞到記錄器上。例如，Pingflood策略告訴傳感器來追蹤源和目的IP地址、所發送的包數，及最后一個包之后總共的時間。所有的這些信息都發送到記錄器上去。
 

 

    行為描述代碼的其他功能告訴傳感器什么數據可作為警報發送。例如，Pingflood策略包含行為描述代碼，并告訴傳感器引擎：在某時間，如果向某特定IP地址發送了超過一定量的ping包，便需向管理員發送警報。
 

 

2.2.9 基于漏洞存在的蠕蟲檢測技術
 

 

    IDS如果對蠕蟲的檢測是基于特征，那么將無法對變種的蠕蟲進行檢測，同時也無法對未知蠕蟲進行有效檢測。RG-IDS不但可以通過簽名進行蠕蟲檢測，在對未知蠕蟲的檢測方面，它對流量異常進行統計分析外，更重要的是利用了系統和軟件的漏洞進行檢測。因為當黑客釋放蠕蟲后，蠕蟲是搜索漏洞，利用搜索結果攻擊系統，復制副本來進行泛濫的。因此RG-IDS基于漏洞的檢測充分保證了檢測的準確性，同時也為用戶加固系統提供了有力的幫助。
 

 

2.2.10 反IDS逃避能力
 

 

    RG-IDS可以檢測攻擊者的一些逃避技術，如Hex,Unicode，空格等
 

 

    HTTP允許hex等同于一個可印刷ASCII字符使用一種特定格式列出，例如“％20”把HTTP hex字符等同于一個空格。實際上，％20在URL中常常使用，來代表路徑名或文件名中的空格。這種使用是完全合法的——在URL中使用hex編碼沒有錯。網絡服務器，比如Microsoft IIS知道hex編碼，并在處理URL時進行適當的解碼。
 

 

    為辨認通過hex、Unicode編碼造成迷惑攻擊，RG-NID在查找內容之前，對他們實施解碼。如IDS先將“script％73/iisadmin”解碼成“scripts/iisadmin”，然后對該字符串進行分析，并決定生成怎樣的警報。由于我們的簽名不是執行簡單的文本匹配，而是提供一個優越的攻擊特征簽名方案，基于以上逃避技術或者混合技術都無法逃避銳捷IDS的監測。
 

 

2.2.11 鑒別非標準通信協議

 

    RG-IDS的簽名使用狀態協議分析，它可用來辨認非標準通信——不符合某端口預期協議的通信。例如，我們預期在端口80看到HTTP通信。然而，一些人故意配置其他非HTTP協議來使用端口80，通常這是因為端口80通信是很多防火墻都允許通過的。在很多環境下，這種使用是對安全策略的違背。
 

 

    標準IDS攻擊特征簽名技術不能辨認非HTTP通信流，但基于狀態協議分析的攻擊特征簽名可以輕松做到這一點?？梢园l現并報告可能導致嚴重安全漏洞的協議違反行為。協議攻擊特征簽名設置不僅基于RFC常用協議的標準，還基于違反RFC協議標準所建立特殊應用。
 

 

2.2.12 多層分布式體系結構
 

 

    新一代的RG-IDS采用創新的三層分布式體系結構設計，在傳統的Sensor和控制臺之間加入了事件收集器（Event Collector）和日志服務器（LogServer）等中間層組件，方便各種網絡環境的靈活部署和管理。同時，各個組件都支持HA(高可用性)方式，確保在一個大型的、分布式的網絡中能夠實現靈活的、可靠的部署。

 

 

    多層分布式體系結構具有兩個好處，一個是能夠進行大規模部署，進行統一集中管理；另一個從機制上保證了整個IDS系統運行和監控的安全可靠。也正是這種三層結構，使得RG-IDS的部署方式有很多種，當然根據網絡規模可以任意選擇，如簡單部署就可以將管理平臺、事件收集器和數據庫管理器同時安裝在一臺機器上，而傳感器單獨安裝。如果進行分布式部署，可以將管理平臺、事件收集器、傳感器、數據庫管理器分別安裝的不同的機器上，其中事件收集器是分布式部署的關鍵。
 

 

管理平臺
 

 

    在整個IDS系統的管理上，管理平臺無疑是與用戶直接交互的操作平臺。RG-IDS管理平臺是一個基于Windows的應用程序，它提供圖形界面來進行用戶管理、數據查詢、查看警報并配置傳感器、數據庫管理器以及報表生成等功能。通過一個管理平臺，可以管理多個傳感器。同時管理平臺也提供了很好的訪問控制機制，不同的管理員被授予不同級別的訪問權限，如允許或禁止查詢、警報及配置等訪問。
 

 

    在安全事件顯示方面，RG-IDS以系統安全風險評估為核心，采用準實時的圖形化方式來顯示安全事件。它為用戶提供了：
 

 

    圖形化的安全事件分析和顯示窗口
 

    靈活的策略配置和參數調整
 

    直觀的資產控制
 

 

事件收集器
 

 

    一個大型分布式應用中，用戶希望能夠通過單個管理平臺完全管理多個傳感器，允許從一個中央點分發安全策略，或者把多個傳感器上的數據合并到一個報告中去。用戶可以通過安裝一個事件收集器來實現集中管理，事件收集器實際上負責管理傳感器及其數據庫管理器。
 

 

    遠程傳感器可以有同樣配置，如同樣的策略和警報。每個傳感器也可以被獨立進行配置，從而在需要的時候激活不同的策略。例如，既可以在所有傳感器上郵件策略包內激活“郵件信息名單”策略，也可以只在部分傳感器上激活該策略。
傳感器上一些配置是獨有的，例如用于監控的網絡接口、系統級變量、以及訪問控制信息。例如，如果每個傳感器都在監控一個不同的網絡，每個傳感器的配置在事件收集器上設定。
 

 

    在一個多層應用中，通常用管理員界面來訪問策略，但其實是由事件收集器來進行實際管理的，并從傳感器上收集數據集中處理。不同組件之間的所有通信都進行了安全加密。
 

 

傳感器

 

    傳感器的基本功能是捕獲網絡數據包，并利用策略及簽名對數據進一步分析和判斷，當發現可疑的事件時觸發傳感器發送警報。
 

 

    傳感器設備包含一個大硬盤作為事件數據的存儲空間，如存儲所有的證據數據和警報，當傳感器與EC的連接意外中斷時，事件會保存在SENSOR的硬盤上，當連接恢復時再上傳到EC，從而保證事件不會丟失。
 

 

    管理員可使用管理平臺來查詢數據，生成報告，或查看傳感器的狀態。傳感器上另外有一些后臺程序負責管理數據和系統。例如，空間管理程序管理磁盤空間，而訪問控制程序管理對數據、警報和配置進行的訪問。
 

 

2.2.13 P2P、IM等應用程序的流量監控
 

 

    P2P和IM類軟件近年來得到了廣泛放的應用，在得到了便利的同時，P2P和IM軟件的弊端也逐漸顯露出來。BT、eMule等P2P軟件對網絡帶寬資源的占用非常大，可疑輕易的占據80%的企業網絡出口帶寬，RG-IDS可以檢控網絡上常見的P2P程序和IM程序，充分保障企業正常業務的運行。
 

 

2.2.14 詳盡記錄用戶審計信息
 

 

    RG-IDS提供強大的策略包收集登陸認證數據，IDS 的管理員更容易根據用戶名,密碼,源 IP,目的 IP,登錄成敗和服務名稱（例如 FTP 或 IMAP ）來查詢收集的數據。我們可以追蹤并記錄某特定協議，如FTP或POP3成功和失敗的驗證。通過計算在某會話中發生驗證企圖的數量，我們可以辨認類似密碼猜測攻擊的例子。另外，一旦一個用戶驗證成功，我們便可為那個會話的其他部分存儲用戶名。因此如果后來在該會話中探測出攻擊，我們便知道該用戶帳號發起了那次攻擊。在執行事件處理人物或調查嫌疑活動時，非常有價值。
 

 

2.2.15 詳細的參數配置
 

 

    RG-IDS簽名特征庫為用戶提供了詳細的簽名參數配置，通過參數的設置和調整，用戶可以得到非常準確的報警信息，同時也使用戶非常容易的去定義或者修正這些參數。例如：
 

 

    1 調整Badfiles策略參數可以詳細檢查各種網絡協議狀態的機器提交的文件名。如果認定文件為惡意，Filenamerecorder策略子包記錄并報警。同時也可以分析當前的FTP，AIM，WWW，SMB，SMTP和TFTP等協議的文件傳輸，根據badfiles策略的第一行的參數值設置告警。如果一個可疑的文件在被檢測到，并且使用SMTP協議，那么它就很可能是一個蠕蟲病毒。
 

 

    2 定義合法流量或者監視一些違反安全策略的流量設置。RG-IDS可以自定義一些像防火墻規則或路由器一樣的ACL（訪問控制列表），可以建立規則，當TCP，UDP或ICMP流量符合特定特征時產生警報.可以定義值以匹配：
 

 

    • IP 源地址和 / 或目的地址
 

    • TCP 或 UDP 源端口和 / 或目的端口
 

    • ICMP 代碼和 / 或類型
 

 

    這些在policy策略中可進行詳細配置，在這個策略中你可以有效的觀察你想關心的異常網絡通訊，可以像使用像配置防火墻一樣的制定網絡通訊策略。如果異常通訊在網絡上發現,該策略將會引發一個告警。該規則的配置是編輯RULES_TCP，RULES_UDP和RULES_ICMP的值。詳細的說明配置信息請看幫助。這個策略通常僅僅發送告警如果匹配到自定義規則。然而，這個策略的開啟比較耗資源，在網絡流量比較大的環境下請小心使用。
 

 

    3 有些重復告警事件過多，可以通過attack策略在引擎上抑制告警。RG-IDS除了采用事件歸并達到減少顯示外，還可以定義簽名策略抑制告警洪波，以避免相同的攻擊影響Sensor對信息的安全分析，可以預防DOS 攻擊和蠕蟲能夠導致大量告警。通過Attack策略參數，可以配置采樣間隔時間。在設置的時間內，相同的告警的次數超過定義的值會被定義為告警洪波事件，以后相同的告警將會被抑制，節省了sensor對相同告警事件處理過程。
 

 

    4 可自定義可疑網址訪問告警配置?？删庉嬓虏呗缘膚ww/uservars Backend中的參數，如HOSTMATCH，添加需要監控的完整主機名.如果 HTTP Request 中的 URL 完全匹配該參數中的某個完整主機名，觸發 HostMatch 告警。如"www.sina.com.cn"(包括雙引號)，同樣，FTP、SMTP等高層協議中都有uservars參數，用戶可以自定義一些關注的監控的事件。
 

 

    5 自定義所監控的網絡范圍，忽略受信任的主機通訊?？赏ㄟ^配置mynetwork可以設置本地IP地址，設置該參數可以改進一些策略的檢測性能，例如在Hostscan策略中，如果設置了my_network參數，則只檢查目標地址在my_network范圍內的主機掃描。參數可以采用例如10.0.0.0:255.0.0.0 或 10.0.0.0/8 的形式。也可以設置可編輯src_ignore_list和dst_ignore_list來忽略不關心或者受信主機通訊流量。
 

 

    6 自定義網絡中TCP連接的超時等待時間，防止IDS被拒絕服務攻擊。可通過自定義配置IDS的TCP的syn，synAck，synOpensession等超時的值，防止一些無用垃圾信息或者惡意的攻擊對IDS的性能造成影響，阻塞IDS的正常檢測。