2． 入侵检测系统可以做些什么？

　　入侵检测系统监视系统内的多种信息源，并用多种方法分析这些信息。首先，最普遍的作法是将信息与大型攻击特征数据库作比较，找出每个特征所代表的避开或使安全保护失效的意图。其次它可以发现与授权用户越权使用有关的问题（如普通职员查看付费管理记录）。最后，一些入侵检测系统对信息进行统计分析，寻找可能不属于前两类的反常行为（如发生在特殊时间的访问，反常的登录失败次数。）

　　3． KIDS与防火墙有什么不同？它们是不是同类产品？ 

　　防火墙和KIDS采用了类似的技术，但功能不相同。防火墙是控制实体。防火墙强制整个网络遵循进出规则，但不寻找攻击特征。防火墙的主要目的是对网络不合法的信息流，“不合法的信息流”的定义通常基于IP地址和协议类型。

　　KIDS不是控制网络使用权的产品。KIDS根本不干预网络的信息流，它允许信息通行，暗中监视未授权行为的特征。它对“未授权行为”的定义是综合的、可定制的攻击特征库。假设你的网络是一座高层建筑，防火墙相当于守门人，每个KIDS传感器相当于每层楼的守卫。守门人的职责是让合适的人进去，把不合适的人当在门外。但是狡猾的罪犯可能会骗过守门人进入大厦。每层楼的守卫知道谁有权到该层楼，能迅速地反应阻止入侵。

　　4． 如果我已经有了防火墙，为什么还需要IDS？ 

　　一个常见的错觉是认为防火墙能够识别并阻止攻击，但实际并不是这样。

　　防火墙仅仅是先拒绝一切，然后重新开启一些经过仔细选择的服务的设备。在理想状态下，系统应该已经被“锁定”，已经安全了，不需要防火墙的保护。我们使用防火墙的原因是因为安全漏洞总是意外地发生。因此，在安装防火墙时，第一件事就是停止所有的通信活动，然后防火墙的管理员仔细添加允许特定的信息类型通过防火墙的规则。例如，一个典型的通用的防火墙允许对互联网的访问，但会停止所有的UDP和ICMP数据报的信息流，停止TCP接入，但是允许对外的TCP连接。这就截断了所有来自外部互联网上黑客的连接，但仍然允许内部用户进行对外的连接。
　　防火墙仅仅是围绕着你的网络的篱笆，安装了几个经过挑选的门而已。篱笆是不能探测出试图进行侵入的人（如在内部挖漏洞的人），也不知道通过这些门的人是否具有许可。它仅仅是限制对指定的点的访问。
　　综上而述，防火墙不是用户想象的动态的防御系统。相反的，KIDS更像是一个动态的系统。KIDS能够识别出防火墙看不到的对网络的攻击。
　　例如，在1999年4月，许多站点被黑客通过ColdFusion中的漏洞侵入，这些点都有对访问进行限制到端口80的防火墙，但是网络服务器还是被侵入了，相反，一个入侵检测系统就会发现攻击，因为它与系统中设置的特征相符。
防火墙的另一个问题是他们只能处于网络的边界，而由于黑客侵袭造成的经济上的损失的80%来自网络内部。防火墙只位于网络的边界而不会进入网络内部，它仅仅观察着来往于内部网络和互联网的信息流。应该将KIDS加入到防火墙中的原因有：多重检查，防止误配防火墙。
　　(1)捕获那些允许通过防火墙的攻击（如对Web服务器的攻击）。
　　(2)捕获失败的尝试。
　　(3)捕获内部侵袭。
　　黑客的能力要比你想象的大的多，你的安全防卫措施越多越好，这样可以最大限度提高黑客入侵的难度，减少入侵行为的发生。

　　5.如果有KIDS，还需要防火墙吗？

　　绝对需要。KIDS是对防火墙的必要的附加而不是补充。适当配置的防火墙可以将非预期的信息屏蔽在外。然而防火墙为提供一些级别的获取权的通道可能被伪装的攻击者利用，如FTP。许多公司在他们的内部网存在FTP服务器并通过防火墙的通道向外界提供服务。一个常见的攻击手段是试图获取FTP的root权限。一旦攻击者获得对网络内部系统的权限，其他系统会变得脆弱。防火墙不能制止这种类型的攻击，KIDS却能够制止。KIDS对防火墙后面的网络的信息流监控，能够检测到并终止获取FTP的root权限的企图。

　　另外防火墙的错误配置也有可能发生。一个配置不当的防火墙所能提供的保护就象八月的午后戴了一付廉价的太阳镜。尽管防火墙的错误配置能够迅速更正，网络内有了KIDS则能捕获许多溜进来的非预期的信息。即便不选择切断这些连接，KIDS所发出的警告的数量仍能迅速表明防火墙没有起到作用。

　　6. 入侵检测系统从哪里获得其信息的？是防火墙吗？ 

　　不是。虽然有些日志文件分析程序确实通过扫描防火墙的日志来察看入侵信息，但绝大多数的入侵检测系统是从别处获取信息的。

　　要记住防火墙只是允许或拒绝信息流通过的基于规则的系统，即使“内容检测”方式的防火墙也不能明确告知当前的信息流是否正在被攻击，他们只能确定是否与他们设定规则相匹配。例如，在网络服务器前面的防火墙可能会锁定除了TCP连接到端口80之外的信息流，从防火墙来说，任何到端口80的信息流都是合法的。而KIDS可以检查同样的信息流并寻找攻击的模式。KIDS系统并不在意管理员是否允许端口80的流通而拒绝其他的，对IDS来说，所有的信息流都是可疑的。
　　这意味着KIDS查看的数据源与防火墙是一样的：即线路上的原始网络信息流。如果KIDS设置在防火墙的下游而不是平行位置，它就会只限制那些防火墙认为是攻击的信息流，按照上文的例子来说，防火墙就不会把端口80的信息流传递给KIDS。

　　7． 入侵检测系统可以捕捉哪些防火墙捕捉不到的东西？

　　防火墙可以过滤数据包，并根据网络协议，做出放行／阻挡数据包得决定。规则通常通过查询数据库以确定某种协议是否在允许使用之列。如果可以使用，这个数据就允许通过，这样就出现了一个问题，进攻者可以将能被防火墙发现的内容封闭进另一个符合网络协议的数据包而蒙混过关。

　　基于应用程序的攻击是通过发送数据包与这些应用程序直接通信来发现其中的漏洞。这样，通过发送HTTP命令，可以让Web应用软件出现问题，造成缓冲器溢出。如果防火墙被设置为允许HTTP业务通过的方式，那么包含攻击信息的数据包就会通过防火墙。

　　8． 我们已经购买了许多安全设备，为什么我们还需要入侵检测系统？ 

　　即使已经拥有了许多安全设施，也仍需要入侵检测系统，以提供额外得安全保护。不论安全产品设计得多么完美，它们还是会因为硬件或软件或用户的原因失去作用。用户有时会抑制或绕开这些产品，使它们提供的保护失效。由于漏洞检测系统可以监视来自安全系统其它部分的信息，所以能在发生问题时检测出问题。

　　9． KIDS能识别哪些网络事件？ 

　　KIDS能识别两类网络事件：

　　(1)攻击行为：
　　一些网络行为特征表明，有人以未授权方式对你网络中的系统和/或数据进行操作。例如：SATAN浏览，ping floods，WinNuke packets，SYN floods，IP half 浏览，及企图对未授权的Root进行存取操作。
　　(2)非攻击行为（过程）：
　　网络管理员可能对这些非攻击性的网络行为感兴趣。如网络管理员分析HTTP操作，可知道谁在网络上，他们要去什么地方；分析WINDOWS共享文件的存取情况，可以知道工程服务部到财务部的一个连接；还有e-mail解码等等。
KIDS含有最全面的攻击识别特征集合。

　　10．KIDS能监视和解码哪种协议？

　　KIDS可过滤和解码任何TCP/IP协议。网络管理员可以这样配置KIDS的过滤器规则。可分析如下网络服务：Web，E-mail，文件传输，远程登录，聊天及其它。KIDS可分析的服务的范围会频繁的扩充，为了获得最新版本，你应该经常访问金诺网安的站点： http://www.netstd.com/。

　　11. KIDS是怎样工作的？

　　KIDS安装在装有网络适配卡的主机上。KIDS将网络适配卡设成混杂模式，象监听器那样工作，可收到本地网段上的所有信息流。当一个包符合了当前有效的特征规则时，会被解码和攻击识别分析。每个活动的过程都被保持和跟踪，这样分布在许多包中的攻击特征就可以被检测出来。因此，当一个“感兴趣事件”被检测到时，KIDS会采取合适的动作。

　　KIDS只监控本地网段，且不会对网段造成时延的影响。

　　12． KIDS怎样响应攻击？

　　对检测到的攻击和未授权行为，由网络管理员决定对之采取相应的动作。网络管理员可有以下选择：

　　实时显示过程（或记录下来供以后回放）
　　发复位包自动切断连接
　　保存原始资料的可追踪的文件以备以后的分析
　　保存攻击信息（时间、入侵者的IP地址、受害者的IP地址／关口，协议信息）
　　运行用户预定义程序来处理攻击事件
　　发E-mail通知管理员
　　通过手机短消息通知管理员
　　通过传呼机通知管理员
　　通过传真通知管理员

　　13． KIDS可运行在哪些平台上？ 

　　目前，KIDS被以下平台支持：

　　管理控制台：Windows NT

　　网络传感器：Linux

　　主机传感器：Windows 2000/ Windows NT

　　14． KIDS可监控那些网络类型？ 

　　KIDS目前只能监控以太网和快速以太网，金诺网安以后将增加对其它网络环境的支持。

　　15． KIDS支持哪些以太网卡？ 

　　KIDS能运行在所有支持混杂模式的以太网卡上。参考以太网适配器手册，看看你的网卡是否有这个能力。

　　16． 怎样在企业网中配置KIDS？ 

　　KIDS采用分布式体系结构。KIDS的NIDS传感器在一个指定的网段上执行过滤和监视功能。HIDS安装在重点保护的主机上，对主机的重要文件进行保护，如网站主页Index.html、监控系统日志等。KIDS的管理控制台显示和记录数据，集中管理各个检测传感器。

　　多个KIDS传感器可向一个管理控制台报告。当传感器检测到未授权行为时，采取合适的动作，并向管理控制台发送消息，网络管理员或检测分析人员就能知道发生了什么。传感器可定期地向管理控制台上载其本地日志文件和数据库，这样网络管理员就可获得有关网络行为的集中报告。
　　至于传感器的放置位置，最好是在每个有重要数据需要保护或需要对一组用户监视的网段上放置一个传感器。
　　注意每个NIDS传感器只能看到本网段上的信息流。由于路由器阻止将信息拷贝到其它段上，为了覆盖整个网络需要安装多个传感器。
　　部署KIDS的重要原则：
　　在防火墙后面放置一个传感器，监视进出网络的信息流。这个传感器能检测到来自Internet的未授权行为。它能帮助网络管理员检测到防火墙的错误配置。
　　许多公司还在防火墙外面DMZ中放置一个传感器， 保护外部web服务器， 分析外部信息流。
　　网络周边（network perimeter）KIDS在网络范围内是最有效的， 例如在防火墙的两边，靠近拨号服 务器， 以及与合作网络相连时。这样的连结倾向于为低带宽（速度为T1）以便KIDS能够跟上信息流量。
　　广域网的中枢（WAN backbone）另一个高价值点位于企业广域网的中枢，这里的常见的问题是从较远的地方对企业主网络进行入侵。
　　服务器上（server farms）服务器通常放置在自己的网络中，与交换机相连。对于特别重要的服 务器， 用户可以安装专门的HIDS系统来监控单一的服 务器，同时在服 务器所在的网段上安装NIDS。NIDS与HIDS配合， 效果更好。
　　所有这些传感器可向一个管理控制台报告。控制台可放在公司内部网络上，也可通过Internet设在总部，或设在由服务组织提供的网络操作中心。也可将传感器安装在主干上， 能看到所有内部网段上的信息流。但在每个网段上安装传感器有两个明显的优势：
　　(1) 可为每个网段对传感器客户化。例如， 销售部子网上的传感器可配置为检测所有到客户数据库的信息流。
　　(2) 子网内的传感器可检测到来自内部的未授权行为，例如， 一名支持工程师企图通过root权限获取源代码文档。

　　17. KIDS如何与我的安全网络的其他部分相协调？

　　将防火墙放在网络中有不同的安全要求的区域之间（如：互联网-本地网之间，用户和服务器之间，企业和合作伙伴之间，等）；

　　利用网络漏洞扫描仪来双重检查防火墙并找出能让入侵者利用的漏洞；
　　利用主机规则扫描仪确保他们和所接受的操作相一致；
　　利用网络入侵监测系统和其他信息包嗅探工具来查看发生了什么；
　　利用主机入侵监测系统和病毒检测来标注出已经成功发生的入侵；
　　建立容易遵循的政策来明确的阐明对待入侵的响应方法。

　　18． KIDS 的传感器是怎样与管理控制台通讯的？ 

　　从传感器送往管理控制台的数据包括：

　　(1) 报警消息 表明有令网络管理员感兴趣的事件发生，当事件发生时，传感器将相应消息传送到管理控制台；
　　(2) 活动TCP连接信息 在控制台的请求下，网络传感器网络中活动TCP连接信息就被传送到管理控制台；
　　(3) 执行控制台发来的命令后的反馈信息。

　　来自管理控制台的数据包括：
　　(1) 开始，停止和暂停命令
　　(2) 手工断开连接
　　(3) 修改报警规则、响应规则
　　通讯的数据是经过认证和加密的。而且传感器可以装双网卡，这样传感器和控制台的通信可以在与被检测网段隔离的网段上，保证了入侵检测系统自身的安全。这样做的另一个好处是入侵检测系统在被检测的网段上不留下IP地址，可以避免成为黑客的攻击对象。

　　19． 运行KIDS需对网络做什么改动？

　　什么都不需要。不需要买新的路由器和网桥；设备不需要重新配置；如果要保护服务器，则需要在服务器上安装一套主机传感器软件，但这套软件对系统的影响是很小的。

　　KIDS能在你现有的网络设施上工作。所需要做的就是在要监视的网段上配一台NIDS网络传感器，并在某台装有Windows NT/2000的机器上安装控制台软件。

　　20． 如何增强企业入侵检测与防卫的能力？

　　首先的和最重要的是建立一个安全政策。如果你看守网络至深夜并看到有入侵的行为发生，你会怎么做？你会让入侵继续并收集证据？还是拔掉插头？如果是后者的话，你会切断内部网和外部网之间的防火墙的连接，还是切断整个互联网的连接（阻止用户登录你的网站）？谁有拔插头的权限？

　　企业的CEO应该进行优先权的设置。考虑这样一个情景，当你认为你正受到攻击，所以你切断了连接。用户收到警报并抱怨这种情况，然后发现你其实做错了，那你的处境就很不利了。即使正受到大规模的攻击，也几乎很少有人因为害怕而切断连接，数据的盗窃可能只是理论上的，对用户的影响确是实际发生的。因此在最高层需要对这类事情进行清晰的阐述并确定当入侵发生时应如何反应。一旦明确了优先级，就可以考虑相应的技术，这在以下部分中进行描述。

　　21． 我应该怎样在我的企业中执行入侵检测？

　　仔细考虑如何对以下系统进行设置来检测入侵者：

　　操作系统 像WinNT和UNIX这样的操作系统集成有登录和审核的特性， 能用来监控关键的资源。以下部分讨论了如何配置Windows和UNIX来进行入侵探测。
　　服务如网络服务器， 电子邮件服 务器和数据库， 也包括登录/审核特性。另外， 可以利用许多工具来解析这些文件以发现侵入的特征。
　　网络入侵检测系统监控网络的流量， 试图发现入侵的举动， 以下列举了相关的一些产品。
　　防火墙通常具有网络入侵探测能力， 毕竟， 锁定入侵是他们的主要目的， 难以想象他们不 能同 时探测出入侵。
　　网络管理平台（如OpenView）具有能帮助网络管理者设置对可疑的活动的警报的工具，至少，所有的SNMP装置都应该发出“认证失败”信号 并且管理控制台将会对系统管理员发出警告。

　　22． 我怎样收集足够的关于黑客的证据？ 

　　KIDS有一个有趣的功能就是收集事件的足够的信息来识别黑客。这可能比较困难，因为真正的技术高超的黑客可能从另一个相关的系统发出攻击。黑客也会经常采用IP地址欺骗，造成假象，显示攻击来自一台可能根本没有打开的电脑。

　　就我们所了解的，最好的方法是收集尽可能多的信息。同样，你应该确定你的所有暴露于互联网的系统都有审核和登录功能，这将帮助你解决当被入侵时你应该作什么。

　　23． KIDS能运行在交换网上吗？

　　能。基本上是一个配置问题。

　　网络交换（及IP交换）把网络分成多个段。在一个已知段上交换机不能把没有指明送往该段的信息送到该段上。因此，在每个有重要数据需小心保护的段上放置一个传感器。
　　有的交换机只允许每个端口有一个MAC地址，通常被叫做“桌上交换机”。对于桌上交换机，必须在网络的更高层上放置KIDS传感器，逆流交换机，以便传感器可检测到交换机和网络其它部分之间的信息。金诺网安正在致力于提供KIDS在交换网络中更详细的部署情况。

　　24． KIDS会给网络造成多少时延？

　　没有时延。防火墙在把数据送入内部网络之前，要对数据存储和评估。KIDS则完全不强迫。KIDS监控网络信息，在需要时拷贝包，但根本不影响和延迟信息流。只有当KIDS响应了一个攻击并切断连接时才对信息流有影响，而这影响除了攻击者没人会注意到。

　　25． KIDS给网络增加了多少信息流量？ 

　　在分布式配置中，如传感器分布在网络中，向管理控制台传送数据，增加的信息量与以下几个因素有关：

　　从传感器向管理控制台报告的网络事件的数量和频率
　　管理控制台向传感器请求活动TCP连接的频率
　　从传感器向管理控制台上传内容的大小。网络管理员可能不 上载全部内容，而 选择所存储信息的一个子集
　　传感器和控制台所处的网段。如果通信网段与检测网段隔离， 则被检测网段丝毫没有影响

　　26． KIDS必须要IP地址吗？

　　网络传感器用于检测网段的端口可以不要IP地址，而网络传感器与控制台通信的端口是需要IP地址的。由于可以将通信网段与被检测网段分开，可以避免KIDS被黑客攻击。

　　27． KIDS的一个控制台最多可以控制多少个传感器，它的负载能力如何？？

　　KIDS的一个控制台可以监测多台传感器，理论上控制台能控制的传感器的数量是没什么特别限制的，实际上的具体数量主要取决于以下的因素：

　　安装运行KIDS控制台的主机的系统性能。与主机CPU高低、内存大小、硬盘速度、网卡性能、主板性能及操作系统效率等因素有关。
　　网络带宽大小、网络效率和网络负载状况。取决于控制台和传感器之间的通讯效率， 效率越高支持的传感器的数量越多。
　　传感器所执行的检测策略的复 杂程度。安全策略的内容越简单， 传感器对各种事件的响应就较少， 控制台所能控制的数量就越多。
　　KIDS的控制台的负载主要取决于报警的数量，KIDS具有报警信息压缩的功能，可以一次发送多条报警信息，从而有效地减少报警的数量，提高处理效率。

　　28． 控制台所在主机的安全性应如何保证？

　　控制台所在的主机一般有固定的IP地址，所以也有一定的安全隐患，可能是操作系统本身的漏洞或者是人为的配置不当，所以也应当有较好的防护。