RG-IDS入侵检测系统技术白皮书

1 概述

 

1.1 什么是网络入侵检测

 

1.1.1 入侵检测系统
 

 

    当信息化在各个行业中广泛应用并带来明显效益的时候，信息安全便成为目前迫切需要解决的问题。从传统的信息安全方法来看，采用严格的访问控制和数据加密策略来防护在很长一段时间来取得了明显的效果，但在复杂系统中，采用这些策略明显是不充分的，确切来讲它们是系统安全不可缺的部分，但不能完全保证系统的安全。在信息安全短暂而却漫长的发展历程中，一种对入侵行为的发觉技术和应用渐渐被人们所重视，网络管理专家们要求有一种设备，它能够通过从计算机网络的若干关键点收集信息并进行分析，从中发现网络中是否有违反安全策略的行为和被攻击的迹象，这种设备就是现在被人们普遍使用的入侵检测系统（Intrusion Detection System缩写IDS）。
 

 

    入侵检测系统(Intrusion Detection System)通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统可以说是防火墙系统的合理补充和延伸，如果说防火墙是第一道安全闸门，入侵检测系统则可以说是第二道安全闸门。入侵检测系统在不影响网络性能的前提下，实时、动态地保护来自内部和外部的各种攻击，同时有效地弥补了防火墙所能达到的防护极限。
 

 

    根据进行入侵分析的数据来源的不同，可以将入侵检测系统分为基于网络的入侵检测系统（Network-Based Intrusion Detection System）和基于主机的入侵检测系统（Host-Based Intrusion Detection System）。
 

 

    基于网络的入侵检测系统（NIDS）的数据来源为网络中传输的数据包及相关网络会话，通过这些数据和相关安全策略来进行入侵判断。基于主机的入侵检测系统（HIDS）的数据来源主要为系统内部的审计数据，通过这些数据来分析、判断各种异常的用户行为及入侵事件。
 

 

1.1.2 入侵检测系统工作流程

 

    通常入侵检测系统为了分析、判断特定行为或者事件是否为违反安全策略的异常行为或者攻击行为，需要经过下列四个阶段：
 

 

1 数据采集

 

    网络入侵检测系统（NIDS）或者主机入侵检测系统(HIDS)利用处于混杂模式的网卡来获得通过网络的数据，采集必要的数据用于入侵分析。
 

 

2 数据过滤

 

    根据预定义的设置，进行必要的数据过滤，从而提高检测、分析的效率。
 

 

3 攻击检测/分析

 

    根据定义的安全策略，来实时监测并分析通过网络的所有通信业务，使用采集的网络包作为数据源进行攻击辨别，通常使用模式、表达式或字节匹配、频率或穿越阀值、事件的相关性和统计学意义上的非常规现象检测这四种技术来识别攻击。
 

 

4 事件报警/响应
 

 

    当IDS一旦检测到了攻击行为，IDS的响应模块就提供多种选项以通知、报警并对攻击采取相应的反应，通常都包括通知管理员、记录在数据库。

 

1.1.3 入侵检测系统的基本架构
 

 

    信息的收集主要由Sensor负责，sensor称为网络传感器，它对网络数据进行监听，因为性能和安全的需求，现在的传感器多采用专用的设备来实现，它的一块网卡通过混杂模式连接在被检测的网段上负责收集网络数据包，另一块网卡用于管理，其它模块负责分析和处理数据包。因此，信息收集需要在网络系统中的若干不同网段关键点进行收集，因为入侵检测很大程度上依赖于收集信息的可靠性和正确性。

 

 

    信息分析是IDS技术中的核心问题，采用什么样的检测技术直接关系到报警信息的准确性。当然检测技术有很多种，但目前主流的检测方法有三种：模式匹配、异常检测、协议分析。当然结果处理就包含了系统的误报和漏报。
响应控制是针对发现可疑行为后的处理机制，目前常见的响应方式包括：写入数据库、在控制管理平台上显示、发送阻断请求给防火墙、发送给事件分析工具等。
 

 

1.2 主流入侵检测技术

 

1.2.1 模式匹配技术
 

 

    模式匹配技术是入侵检测技术领域中应用最为广泛的检测手段和机制之一，模式匹配技术也称攻击特征检测技术，假定所有入侵行为和手段（及其变种）都能够表达为一种模式或特征，那么所有已知的入侵方法都可以用匹配的方法来发现，模式发现的关键是如何表达入侵的模式，把真正的入侵与正常行为区分开来。
 

 

    模式匹配技术有它自己的好处：比如只需收集相关的数据集合，显著减少系统负担，同时模式匹配技术经过多年发展已经相当成熟，使得检测准确率和效率都相当高，这也是模式匹配技术至今仍然存在并被使用的理由。当然，单纯的模式匹配技术也同样具有明显的不足：
 

 

    • 如果对整个网络流量进行匹配，计算量非常大，系统有严重的性能问题。
 

    • 只能使用固定的特征模式来检测入侵，对做过变形的攻击无法检测，因此容易被逃避检测。
 

    • 特征库庞大，对攻击信号的真实含义和实际效果没有理解能力，因此，所有的变形都将成为攻击特征库里一个不同的特征，这就是模式匹配系统有一个庞大的特征库的原因所在。
 

 

    因此，模式匹配的这种检测机制决定了它对已知攻击的报警比较准确，局限是它只能发现已知的攻击，对未知的攻击无能为力，而且误报率比较高。最为不足的是对任何企图绕开入侵检测的网络攻击欺骗无能为力，由此会产生大量的虚假报警，以至于淹没了真正的攻击检测。

 

1.2.2 异常检测技术

 

    基于异常检测方法主要来源于这样的思想：任何人的正常行为都是有一定规律的，并且可以通过分析这些行为产生的日志信息总结出这些规律，通常需要定义为各种行为参数及其阀值的集合，用于描述正常行为范围。而入侵和滥用行为则通常和正常的行为存在严重的差异，通过检查出这些差异就可以检测出入侵。这样，我们就能够检测出非法的入侵行为甚至是通过未知攻击方法进行的入侵行为，此外不属于入侵的异常用户行为（滥用自己的权限）也能被检测到。
 

 

异常检测技术的检测流程：

 

入侵检测技术具有的特点：
 

 

    • 异常检测系统的效率取决于合法用户行为定义的完备性和监控的频率大小
 

    • 因为不需要对每种入侵行为进行定义，因此能有效检测未知的入侵
 

    • 系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源
 

    • 漏报率低，误报率高
 

 

    因此，异常检测技术假定所有入侵行为都是与正常行为不同的，如果建立系统正常行为的轨迹，那么理论上可以把所有与正常轨迹不同的系统状态视为可疑企图。对于异常阀值与特征的选择是异常发现技术的关键。比如，通过流量统计分析将异常时间的异常网络流量视为可疑。异常发现技术的局限是并非所有的入侵都表现为异常，而且系统的轨迹难于计算更新。
 

 

    当然要使用异常检测还面临着几个问题：
 

    • 用户的行为有一定规律性，但选择哪些数据来表现这些规律的行为仍然存在一些问题。
 

    • 如何有效表示这些正常行为，使用什么方法反映正常行为，如何能学习到用户的新正常行为存在问题。
 

    • 规律的学习过程时间到底为多少，用户行为的时效性等问题。
 

 

1.2.3 协议分析技术

 

    协议分析是目前最先进的检测技术，是在传统模式匹配技术基础之上发展起来的一种新的入侵检测技术。它主要是针对网络攻击行为中攻击者企图躲避IDS的检测，对攻击数据包做一些变形，它充分利用了网络协议的高度有序性，并结合了高速数据包捕捉、协议分析和命令解析，来快速检测某个攻击特征是否存在，从而逃避IDS的检测而开发设计的。它最大的特点是将捕获的数据包从网络层一直送达应用层，将真实数据还原出来，然后将还原出来的数据再与规则库进行匹配，因此它能够通过对数据包进行结构化协议分析来识别入侵企图和行为。协议分析大大减少了计算量，即使在高负载的高速网络上，也能逐个分析所有的数据包。采用协议分析技术的IDS能够理解不同协议的原理，由此分析这些协议的流量，来寻找可疑的或不正常行为。对每一种协议，分析不仅仅基于协议标准，还基于协议的具体实现，因为很多协议的实现偏离了协议标准。协议分析技术观察并验证所有的流量，当流量不是期望值时，IDS就发出告警。协议分析具有寻找任何偏离标准或期望值的行为的能力，因此能够检测到已知和未知攻击方法。
同时，状态协议分析技术就是在常规协议分析技术的基础上，加入状态特性分析，即不仅仅检测单一的连接请求或响应，而是将一个会话的所有流量作为一个整体来考虑。有些网络攻击行为仅靠检测单一的连接请求或响应是检测不到的，因为攻击行为包含在多个请求中，此时状态协议分析技术就是IDS技术的首选。同时协议分析是根据构造好的算法实现的，这种技术比模式匹配检测效率更高，并能对一些未知的攻击特征进行识别，具有一定的免疫功能。
 

 

1.3 常见部署方式

 

    IDS产品在共享式网络中的部署方式非常简单，监听网卡连接到需检测的网段中即可，网卡收集网络中的所有数据包进行分析和处理，其优点是不影响网络结构和正常通信。
 

 

    在交换式网络中情况比较复杂，通常有三种收集数据的方式：
 

 

    • 一种方式是网络接口卡与交互设备的监控端口连接，通过交换设备的Span/Mirror功能将流向各端口的数据包复制一份给监控端口，入侵检测传感器从监控端口获取数据包进行分析和处理。
 

    • 第二种方式是在网络中增加一台集线器改变网络拓扑结构，通过集线器（共享式监听方式）获取数据包。例如，如果一个交换机端口连接到一个连接在Internet的路由器上，就可以在路由器和交换机之间插入一个小集线器。

 

    • 第三种方式是入侵检测传感器通过一种TAP（分路器）设备对交换式网络中的数据包进行分析和处理。
传感器可以被放置在企业网络中的任何可能存在安全隐患的网段。在这些网段中，根据网络流量和监控数据的需要来决定部署不同型号的传感器。
 

 

2 锐捷入侵检测产品

 

2.1 RG-IDS体系结构

 

核心体系架构
 

 

    RG-IDS的核心检测技术是新一代的协议分析技术。该技术结合了硬件加速信息包捕捉技术、基于状态的协议分析技术和开放的行为描述代码描述技术来探测攻击。这三大技术构成了RG-IDS所有解决方案的基础，它显著地提高了入侵检测系统的检测准确率和系统性能。
 

 

下面是RG-IDS核心技术的体系架构：

 

 

硬件加速包截获技术
 

 

    在整个体系架构中，RG-IDS的sensor在底层采用硬件加速包截获技术，通过硬件加速，大幅度提高了监听网卡的抓包能力，保证了信息收集的完整。如在一个真实的网络环境中，即使网络的负载达到1000Mbps，RG-IDS的硬件加速包截获技术也能确保不丢失一个数据包。
 

 

TCP/IP协议状态检测
 

 

    在RG-IDS的sensor捕获数据包后，将数据送到IP及TCP层，在这一层上，sensor采用了完整的状态追踪技术，在IP分片重组、排序，TCP流重组的基础上，完整记录和保持Session的发起、建立和结束等状态，同时记录序列号（Sequence Number）并进行协议状态检测分析，确保不会受到IDS躲避技术的欺骗。
 

 

应用层协议分析
 

 

    当TCP/IP协议状态检测后，在将数据包送到应用层，在应用层，采用了完整的应用层协议分析技术。RG-IDS协议分析技术是一种新型的入侵检测技术，它充分利用了网络协议的高度有序性，使系统在每一层上都沿着协议栈向上解码，因此可以使用所有当前已知的协议信息，来排除所有不属于这一个协议结构的攻击。
 

 

攻击特征匹配
 

 

    RG-IDS解析器是一个命令解释程序，入侵检测引擎包括了多种不同的命令语法解析器。命令解析器具有读取攻击字符串及其所有可能的变形，并发掘其本质含义的能力。这样，在攻击特征库中只需要一个特征，就能检测这一攻击所有可能的变形。
 

 

2.2 RG-IDS产品特点

 

    RG-IDS系列产品具有以下突出技术特点：
 

 

2.2.1 基于状态的协议分析技术
 

 

    RG-IDS的协议分析技术，是对已知协议和RFC规范的深入理解，可准确、高效的识别各种已知攻击。同时根据系统协议分析的算法，sensor拥有检测协议异常、协议误用的能力，彻底解决了以往基于模式匹配技术的IDS产品片面依赖攻击特征签名数量来检测攻击的弊端，极大的提高了检测的效率，扩大了检测的范围。RG-IDS目前支持Telnet、FTP、HTTP、SMTP、SNMP、DNS等多达30种的主流应用层协议，遥遥领先与其他IDS品牌。
 

 

    例如RG-IDS检测一个http的访问，第一步直接跳到数据帧的第13个字节，读取2个字节的协议标识。如果值是0800，则说明这个以太网帧的数据域携带的是IP包，然后第二步跳到第24个字节处读取1字节的第四层协议标识，如果读取到的值是06，则说明这个IP包的数据域携带的是TCP包，第三步跳到第35个字节处读取一对端口号。如果有一个端口号是0080，则说明这个TCP帧的数据域携带的是HTTP包，第四步让解析器从第55个字节开始读取URL。URL串将被提交给RG-IDS的HTTP解析器后，由HTTP解析器来分析它是否可能会做攻击行为。
 

 

    RG-IDS采用这种先进的检测技术，使它具有了明显的优势：
 

 

    • 利用协议分析已知的通信协议，在处理数据帧和连接时更加迅速和有效准确，减少了误报的可能性。
 

    • 能够关联数据包前后的内容，对孤立的数据包不进行检测，这和普通IDS检测所有数据包有着本质的区别。一方面因为这种检测机制的高效性降低了系统在网络探测中的资源开销，大幅度提高了检测性能，另一方面因为在命令字符串到达操作系统之前，模拟了它的执行，以确定它是否具有恶意，有效减少了误报。
 

    • 它具有判别通信行为真实意图的能力，它不会受到像URL编码、干扰信息、IP分片等入侵检测系统规避技术的影响。当检测到的所有数据信息经过应用协议分析后，RG-IDS将真实的应用数据与签名库进行攻击特征的匹配，因为我们知道特征匹配仍然是检测效率最高的和最准确的检测技术。只是这种匹配，与普通基于模式匹配的检测机制有着本质上的区别，它是在协议分析和还原以后真实有效的数据，这种真实可靠的有效数据的匹配，一方面提高了检测效率，另一方面，增强了检测攻击的准确度，减少了误报的概率。
 

 

2.2.2 基于目标操作系统指纹识别的智能IP碎片重组技术
 

 

    锐捷IDS基于目标操作系统指纹识别的智能IP碎片重组技术采用先进的，更加隐蔽安全的被动探测工作方式来探测分析目标主机的操作系统，并根据探测结果采用针对性的IP碎片重组技术，在避免误报和漏报的同时，极大的提高了IP碎片重组的速度，从而提升了引擎的性能。
 

 

2.2.3 应用层有限状态机技术
 

 

    锐捷的应用层有限状态机技术可以保证对每一个攻击进行详尽的过程状态量定义，这样定义的攻击签名与只依靠一两个表面特征定义的签名相比有着极高的质量优势，可以拥有最低的误报率和最小的漏报率。
 

 

2.2.4 Sensor级别的多端口智能关联和分析技术

 

    采用这种技术可以保证即使部署在复杂的、高冗余要求的网络环境中，锐捷的RG-IDS系列产品仍然可以准确高效的进行工作，在不对称路由网络环境中也可完整进行状态的追踪。
 

 

2.2.5 开放的签名编写语言平台
 

 

    锐捷将先进高效的签名编写语言平台开放给客户，使用户可以根据自己的需要，撰写状态检测签名；并可以根据客户的需要提供针对私有协议的定制签名服务。
 

 

2.2.6 专门设计的高性能专用平台

 

    RG-IDS采用了专用硬件承载平台设计，配合RGOS(RG-Operation System)，提供多处理器并行、多进程增强和多线程优化的技术，保证IDS的检测效率能够达到最大化。锐捷专门设计操作系统基于高性能硬件平台，采用专有安全操作系统内核，在具备强大数据处理能力的同时，在安全事件显示方面作出了创新的变化，以系统安全风险评估为核心，采用准实时的图形化方式来显示安全事件，使用户从大量枯燥的报警事件中解脱出来。
 

 

2.2.7 基于会话状态的检测

 

    RG-IDS 采用先进的状态协议分析技术，能准确跟踪网络连接的会话，准确、高效的检测网络活动。
 

 

2.2.8 开放的行为描述代码
 

 

    RG-IDS使用一种独特、高效的“行为描述代码”创建签名，“行为描述代码”触发传感器开始收集事件的数据。例如，如果一个数据包有一个UDP包头，UDP策略的行为描述代码便开始收集数据。行为描述代码同时还告诉传感器该如何处理数据，行为描述代码中提供的功能告诉传感器记录什么类型的数据，并将该数据传递到记录器上。例如，Pingflood策略告诉传感器来追踪源和目的IP地址、所发送的包数，及最后一个包之后总共的时间。所有的这些信息都发送到记录器上去。
 

 

    行为描述代码的其他功能告诉传感器什么数据可作为警报发送。例如，Pingflood策略包含行为描述代码，并告诉传感器引擎：在某时间，如果向某特定IP地址发送了超过一定量的ping包，便需向管理员发送警报。
 

 

2.2.9 基于漏洞存在的蠕虫检测技术
 

 

    IDS如果对蠕虫的检测是基于特征，那么将无法对变种的蠕虫进行检测，同时也无法对未知蠕虫进行有效检测。RG-IDS不但可以通过签名进行蠕虫检测，在对未知蠕虫的检测方面，它对流量异常进行统计分析外，更重要的是利用了系统和软件的漏洞进行检测。因为当黑客释放蠕虫后，蠕虫是搜索漏洞，利用搜索结果攻击系统，复制副本来进行泛滥的。因此RG-IDS基于漏洞的检测是从根本上保证了检测的准确性，同时也为用户加固系统提供了有力的帮助。
 

 

2.2.10 反IDS逃避能力
 

 

    RG-IDS可以检测攻击者的一些逃避技术，如Hex,Unicode，空格等
 

 

    HTTP允许hex等同于一个可印刷ASCII字符使用一种特定格式列出，例如“％20”把HTTP hex字符等同于一个空格。实际上，％20在URL中常常使用，来代表路径名或文件名中的空格。这种使用是完全合法的——在URL中使用hex编码没有错。网络服务器，比如Microsoft IIS知道hex编码，并在处理URL时进行适当的解码。
 

 

    为辨认通过hex、Unicode编码造成迷惑攻击，RG-NID在查找内容之前，对他们实施解码。如IDS先将“script％73/iisadmin”解码成“scripts/iisadmin”，然后对该字符串进行分析，并决定生成怎样的警报。由于我们的签名不是执行简单的文本匹配，而是提供一个优越的攻击特征签名方案，基于以上逃避技术或者混合技术都无法逃避锐捷IDS的监测。
 

 

2.2.11 鉴别非标准通信协议

 

    RG-IDS的签名使用状态协议分析，它可用来辨认非标准通信——不符合某端口预期协议的通信。例如，我们预期在端口80看到HTTP通信。然而，一些人故意配置其他非HTTP协议来使用端口80，通常这是因为端口80通信是很多防火墙都允许通过的。在很多环境下，这种使用是对安全策略的违背。
 

 

    标准IDS攻击特征签名技术不能辨认非HTTP通信流，但基于状态协议分析的攻击特征签名可以轻松做到这一点。可以发现并报告可能导致严重安全漏洞的协议违反行为。协议攻击特征签名设置不仅基于RFC常用协议的标准，还基于违反RFC协议标准所建立特殊应用。
 

 

2.2.12 多层分布式体系结构
 

 

    新一代的RG-IDS采用创新的三层分布式体系结构设计，在传统的Sensor和控制台之间加入了事件收集器（Event Collector）和日志服务器（LogServer）等中间层组件，方便各种网络环境的灵活部署和管理。同时，各个组件都支持HA(高可用性)方式，确保在一个大型的、分布式的网络中能够实现灵活的、可靠的部署。

 

 

    多层分布式体系结构具有两个好处，一个是能够进行大规模部署，进行统一集中管理；另一个从机制上保证了整个IDS系统运行和监控的安全可靠。也正是这种三层结构，使得RG-IDS的部署方式有很多种，当然根据网络规模可以任意选择，如简单部署就可以将管理平台、事件收集器和数据库管理器同时安装在一台机器上，而传感器单独安装。如果进行分布式部署，可以将管理平台、事件收集器、传感器、数据库管理器分别安装的不同的机器上，其中事件收集器是分布式部署的关键。
 

 

管理平台
 

 

    在整个IDS系统的管理上，管理平台无疑是与用户直接交互的操作平台。RG-IDS管理平台是一个基于Windows的应用程序，它提供图形界面来进行用户管理、数据查询、查看警报并配置传感器、数据库管理器以及报表生成等功能。通过一个管理平台，可以管理多个传感器。同时管理平台也提供了很好的访问控制机制，不同的管理员被授予不同级别的访问权限，如允许或禁止查询、警报及配置等访问。
 

 

    在安全事件显示方面，RG-IDS以系统安全风险评估为核心，采用准实时的图形化方式来显示安全事件。它为用户提供了：
 

 

    图形化的安全事件分析和显示窗口
 

    灵活的策略配置和参数调整
 

    直观的资产控制
 

 

事件收集器
 

 

    一个大型分布式应用中，用户希望能够通过单个管理平台完全管理多个传感器，允许从一个中央点分发安全策略，或者把多个传感器上的数据合并到一个报告中去。用户可以通过安装一个事件收集器来实现集中管理，事件收集器实际上负责管理传感器及其数据库管理器。
 

 

    远程传感器可以有同样配置，如同样的策略和警报。每个传感器也可以被独立进行配置，从而在需要的时候激活不同的策略。例如，既可以在所有传感器上邮件策略包内激活“邮件信息名单”策略，也可以只在部分传感器上激活该策略。
传感器上一些配置是独有的，例如用于监控的网络接口、系统级变量、以及访问控制信息。例如，如果每个传感器都在监控一个不同的网络，每个传感器的配置在事件收集器上设定。
 

 

    在一个多层应用中，通常用管理员界面来访问策略，但其实是由事件收集器来进行实际管理的，并从传感器上收集数据集中处理。不同组件之间的所有通信都进行了安全加密。
 

 

传感器

 

    传感器的基本功能是捕获网络数据包，并利用策略及签名对数据进一步分析和判断，当发现可疑的事件时触发传感器发送警报。
 

 

    传感器设备包含一个大硬盘作为事件数据的存储空间，如存储所有的证据数据和警报，当传感器与EC的连接意外中断时，事件会保存在SENSOR的硬盘上，当连接恢复时再上传到EC，从而保证事件不会丢失。
 

 

    管理员可使用管理平台来查询数据，生成报告，或查看传感器的状态。传感器上另外有一些后台程序负责管理数据和系统。例如，空间管理程序管理磁盘空间，而访问控制程序管理对数据、警报和配置进行的访问。
 

 

2.2.13 P2P、IM等应用程序的流量监控
 

 

    P2P和IM类软件近年来得到了广泛放的应用，在得到了便利的同时，P2P和IM软件的弊端也逐渐显露出来。BT、eMule等P2P软件对网络带宽资源的占用非常大，可疑轻易的占据80%的企业网络出口带宽，RG-IDS可以检控网络上常见的P2P程序和IM程序，充分保障企业正常业务的运行。
 

 

2.2.14 详尽记录用户审计信息
 

 

    RG-IDS提供强大的策略包收集登陆认证数据，IDS 的管理员更容易根据用户名,密码,源 IP,目的 IP,登录成败和服务名称（例如 FTP 或 IMAP ）来查询收集的数据。我们可以追踪并记录某特定协议，如FTP或POP3成功和失败的验证。通过计算在某会话中发生验证企图的数量，我们可以辨认类似密码猜测攻击的例子。另外，一旦一个用户验证成功，我们便可为那个会话的其他部分存储用户名。因此如果后来在该会话中探测出攻击，我们便知道该用户帐号发起了那次攻击。在执行事件处理人物或调查嫌疑活动时，非常有价值。
 

 

2.2.15 详细的参数配置
 

 

    RG-IDS签名特征库为用户提供了详细的签名参数配置，通过参数的设置和调整，用户可以得到非常准确的报警信息，同时也使用户非常容易的去定义或者修正这些参数。例如：
 

 

    1 调整Badfiles策略参数可以详细检查各种网络协议状态的机器提交的文件名。如果认定文件为恶意，Filenamerecorder策略子包记录并报警。同时也可以分析当前的FTP，AIM，WWW，SMB，SMTP和TFTP等协议的文件传输，根据badfiles策略的第一行的参数值设置告警。如果一个可疑的文件在被检测到，并且使用SMTP协议，那么它就很可能是一个蠕虫病毒。
 

 

    2 定义合法流量或者监视一些违反安全策略的流量设置。RG-IDS可以自定义一些像防火墙规则或路由器一样的ACL（访问控制列表），可以建立规则，当TCP，UDP或ICMP流量符合特定特征时产生警报.可以定义值以匹配：
 

 

    • IP 源地址和 / 或目的地址
 

    • TCP 或 UDP 源端口和 / 或目的端口
 

    • ICMP 代码和 / 或类型
 

 

    这些在policy策略中可进行详细配置，在这个策略中你可以有效的观察你想关心的异常网络通讯，可以像使用像配置防火墙一样的制定网络通讯策略。如果异常通讯在网络上发现,该策略将会引发一个告警。该规则的配置是编辑RULES_TCP，RULES_UDP和RULES_ICMP的值。详细的说明配置信息请看帮助。这个策略通常仅仅发送告警如果匹配到自定义规则。然而，这个策略的开启比较耗资源，在网络流量比较大的环境下请小心使用。
 

 

    3 有些重复告警事件过多，可以通过attack策略在引擎上抑制告警。RG-IDS除了采用事件归并达到减少显示外，还可以定义签名策略抑制告警洪波，以避免相同的攻击影响Sensor对信息的安全分析，可以预防DOS 攻击和蠕虫能够导致大量告警。通过Attack策略参数，可以配置采样间隔时间。在设置的时间内，相同的告警的次数超过定义的值会被定义为告警洪波事件，以后相同的告警将会被抑制，节省了sensor对相同告警事件处理过程。
 

 

    4 可自定义可疑网址访问告警配置。可编辑新策略的www/uservars Backend中的参数，如HOSTMATCH，添加需要监控的完整主机名.如果 HTTP Request 中的 URL 完全匹配该参数中的某个完整主机名，触发 HostMatch 告警。如"www.sina.com.cn"(包括双引号)，同样，FTP、SMTP等高层协议中都有uservars参数，用户可以自定义一些关注的监控的事件。
 

 

    5 自定义所监控的网络范围，忽略受信任的主机通讯。可通过配置mynetwork可以设置本地IP地址，设置该参数可以改进一些策略的检测性能，例如在Hostscan策略中，如果设置了my_network参数，则只检查目标地址在my_network范围内的主机扫描。参数可以采用例如10.0.0.0:255.0.0.0 或 10.0.0.0/8 的形式。也可以设置可编辑src_ignore_list和dst_ignore_list来忽略不关心或者受信主机通讯流量。
 

 

    6 自定义网络中TCP连接的超时等待时间，防止IDS被拒绝服务攻击。可通过自定义配置IDS的TCP的syn，synAck，synOpensession等超时的值，防止一些无用垃圾信息或者恶意的攻击对IDS的性能造成影响，阻塞IDS的正常检测。