入侵检测设计思路.docx

作为监视手段，网络IDS构成网络安全的一部分。对于已知的攻击方法，网络IDS提供了一种防范手段，能及时的将黑客拒之门外。

“启用网络IDS”：启用安全过滤网关的网络IDS功能

监听网口：指定安全过滤网关的网络IDS系统监听网络数据的网口。

“报警邮箱”：报警邮箱为网络IDS提供邮件报警。如无需此项不需要设置。

自定义检测:根据用户自己定义的攻击特征进行检测。点击此条链接将进入自定义检测页面。

“检测策略设置”：在检测策略设置中，总共有十五种检测策略XX检测:

选中表示检测该类型的攻击.

“调整检测规则”：管理员在禁用了一些检测规则后，可在此查看当前被禁用的检测规则，并可选择对其进行恢复。

“扫描检测配置”：提供对端口扫描这种攻击行为的检测和报警。管理员通过配置合适的参数，能够及时发现针对内部网络的端口扫描攻击行为。

8“启用扫描检测”：选中，表示开始启用端口扫描检测的功能。如在“阀值

为”后填“3”，“发现”后填“5”，表示安全过滤网关扫描检测系统发现某一个端口3秒钟有超过5次的连接，将报警。

9“忽略来自以下源IP地址的扫描检测”：表示对下表列出的源IP地址安全

过滤网关不进行扫描检测。有时FTP服务器或DNS服务器会引发扫描报警，这属于误报。因为，用户在大批量下载文件时，某一个端口很可能频繁占用，引起扫描报警。此时，管理员可以调整扫描时间阈值或者将这些服务器的IP地址添加到忽略扫描报警的地址列表中。

10“确定”：使扫描检测配置生效。

自定义规则列表

当发现新的攻击时，管理员可在这里及时定义一条相应规则进行防范与检测。

协议为TCP时显示TCP的内容，为ICMP时显示ICMP的内容。

点击“添加规则”按钮，出现添加自定义规则界面。

点击“编辑规则”按钮，编辑选中的那条规则.

点击“删除规则”按钮，将删除一条已存在的自定义规则。

点击“规则生效”按钮，将使列表中的规则生效。

添加自定义规则

“源地址”、“源地址掩码”、“目的地址”、“目的地址掩码”、“协议”、“定义报警事件主题”这六项组成了检测规则的主要部分，因此这六项必须要填写。其余部分则根据需要填写。下面详细解释每一项的具体含意.源地址：源IP地址。此为必填项。源地址掩码：通过掩码确定源地址范围。此为必填项。目的地址：目的IP地址。此为必填项。目的地址掩码：通过掩码确定目的地址范围。此为必填项。端口：这是一个范围值。如果要确定单个端口值，如80端口，可写成“从80到80”。

IP包头：标识(identification)：以特定值测试IP包头。3.生存期TTL：检查IP包头的生存期（TTL）字段。

协议：目前只支持三种协议：TCP、UDP和ICMP。

数据区长度：匹配包数据的大小。

TCP标志位（从左到右）：以特定设置测试TCP标志。

TCP包头确认码（ACK）：寻找特定TCP包头确认码。

TCP包头顺序码（SEQ）：记录特定的TCP包头顺序码。

ICMP类型：匹配ICMP类型字段。

ICMP代码：匹配ICMP编码字段。

入侵特征码：以特定模式搜寻包数据。此项非常重要，也是模式匹配的核心所在。比如说，为检测针对 IIS 的%c1%1c 攻击，可在此处填入

/scripts/..%c1%1c../。如果特征字符串包含十六进制字符，必须用管道符“|”将其括起来。另外需要注意的是，字符“~”作为控制字符不能出现在此文本框内。

偏移量度(offset)：对“入侵特征码”选项的调整，设置包数据的偏移量以开始搜寻指定的特征字符串。

长度(depth)：对“入侵特征码”选项的调整，设置从开始位置到搜寻结束

的字节数。

14定义报警事件主题：当捕获到的包产生报警事件时所发出的报警消息。

入侵自动响应

对本机网络IDS系统的自动响应设置：选中自动响应生效后，安全过滤网关能够完成对本机网络IDS系统发出的告警信息实时响应，一旦有触发检测规则的可疑事件发生，发起者的源IP地址立即被自动列入系统黑名单中，发起者的通信被安全过滤网关阻断，可疑行为将无法继续进行下去。管理员可以自定义阻断时间（以分钟为单位）。

对SFG通用安全协议(PUMA)网络IDS系统响应生效：选中对SFG通用

安全协议(PUMA)网络IDS系统响应生效后，安全过滤网关能接收到其他网络

IDS系统（采用SFG安全通信协议）发出的告警信息并自动阻断该IDS所告警的危险源地址。管理员需要首先导入通信主密钥文件(UserMK.dat,该密钥文件可以由SFG安全协议的KDC程序自动产生)，在导入主密钥文件时