执行动作 Action
在大多数的IDS程序中,你可以为规则赋予动作。在你定义规则时,通常必须考虑将规则实施到网络上的时机和方式。一项规则的其它元素包括:
•需要保护的主机。你可以指定某台主机或某一范围内的主机。
•需要做日志记录的和禁止的主机。你可以指定某台主机或某一范围内的主机。
•实施策略的时间段
•事件的描述
•对发生的事件如何反应,包括:
•重新配置防火墙
•阻塞特定的TCP连接日志记录机制
•邮件,传真,电话提示
•启动其它程序来阻止攻击
•SNMP陷阱
IDS程序要求你先建立规则,进而赋予动作。你可以自己定义规则。然而,大多数的IDS厂商已经设想了许多场景。这并不意味着你不需要建立自己的规则或编辑已经存在的规则来确保它们符合你的需求。
误报
如同实施防火墙,IDS也需要仔细地设置。否则,你将收到并不实际存在的攻击和问题的报告。误报“false positive”就是指这种不准确的报告。
然而,完全忽略误报是不明智的。IDS程序有时候会检测到一些非法的网络活动,即使并没有对这些活动定义规则。例如,许多IDS系统会报告说存在过多的与NetBus和某些UNIX的root kit相关的SYN连接。虽然你需要对误报引起重视,但你还必须培养识别何时忽略误报何时认真对待它们的能力。网络级的IDS更容易发生误报情况,尤其在它们被配置成检测对某些主机的攻击时,例如NetBus,密码攻击等等。
入侵检测产品选择要点
当您选择入侵检测系统时,要考虑的要点有:
1. 系统的价格
当然,价格是必需考虑的要点,不过,性能价格比、以及要保护系统的价值可是更重要的因素。
2. 特征库升级与维护的费用
象反病毒软件一样,入侵检测的特征库需要不断更新才能检测出新出现的攻击方法。
3. 对于网络入侵检测系统,最大可处理流量(包/秒 PPS)是多少
首先,要分析网络入侵检测系统所布署的网络环境,如果在512K或2M专线上布署网络入侵检测系统,则不需要高速的入侵检测引擎,而在负荷较高的环境中,性能是一个非常重要的指标。
4. 该产品容易被躲避吗
有些常用的躲开入侵检测的方法,如:分片、TTL欺骗、异常TCP分段、慢扫描、协同攻击等。
5. 产品的可伸缩性
系统支持的传感器数目、最大数据库大小、传感器与控制台之间通信带宽和对审计日志溢出的处理。
6. 运行与维护系统的开销
产品报表结构、处理误报的方便程度、事件与事志查询的方便程度以及使用该系统所需的技术人员数量。
7. 产品支持的入侵特征数
不同厂商对检测特征库大小的计算方法都不一样,所以不能偏听一面之辞。
8. 产品有哪些响应方法
要从本地、远程等多个角度考察。自动更改防火墙配置是一个听上去很“酷”的功能,但是,自动配置防火墙可是一个极为危险的举动。
9. 是否通过了国家权威机构的评测
主要的权威测评机构有:国家信息安全测评认证中心、公安部计算机信息系统安全产品质量监督检验中心。
