如何构建安全的入侵检测系统(IDS)

　　在成功的安装之后，指向IDS的网络浏览器将会产生如下的警报日志窗口。图表1是BASE警报窗口

　　从这里，你可以看到，入侵检测数据会得到有效的分析。BASE提供了很多数据收集和陈述的工具。例如，图表2展示的就是一个星期的警报日志：

　　每一个警报都被单独的或是整体的分析。在上面的例子中，大多数的警报都是虚报，因为有些流量可能是不正常的，但却是没有威胁的特征。例如，有这样一个警报(表三)产生了，当时正在开的一个远程会议莫名其妙的中断了，很可能是用户没有正确的关闭远程桌面程序。

　　之前提到过IDS入侵检测系统应该布置在局域网和防火墙之间。假如说图表三的警告是真的话，防火墙就应该布置在阻止来自于攻击源地址的所有流量。在布置防火墙之后就不应该有新的警报了，因此能有效的减少威胁。

　　有了IDS我们还应该做什么？

　　构建一个功能性的IDS检测设备只是第一步。一旦安装之后，IDS的管理员应该花大量的时间来扫描系统的警报和性能。如果你想建造一座庞大的建筑，你就不能仅仅打一个地基，构建Snort/BASE入侵检测系统也是一样的道理。

　　随着威胁的出现，我们需要不断的将病毒、攻击样本的特征加到病毒特征库里，用户只要花费很少的费用就可以享受Snort的潜在危险规则的订阅服务，对于注册用户来说，在服务到期后的30天内也可以享受到免费服务。例如Oinkmaster工具，此类工具可以从网上得到。

　　除此之外，你也可以手动的建立病毒特征，或者创建一个跳过规则来防止产生更多的虚警。很多情况警报实际上是正常的网络流量，但仅仅因为可能产生很多虚警报而不即使更新病毒库是很愚蠢的做法。其它的一些开源工具有MRTG, ntop 和tcpdump，把它们与服务器和网络设备日志分析一起使用的话，就可以为IDS的配置提供更全面的数据。

　　Snort可以布置在中央分布环境中，在这一环境中，多重传感器将会把信息传输给单一的数据库服务器。对于大型企业的网络来说，这是很有效的，它既可以分析相关事件，又可以简单的把信息从多点网络中分离出来。在局域网的安全边界布置Snort是很正常的，例如在管理员服务器和本地机之间。

　　以特征库为基础的网络IDS只不过是一个加强你公司安全策略的工具而已。想通过安装IDS或是类似的安全系统来解决所有的安全威胁，这并不现实的，也是一种错误的安全观。但深入研究IDS，你将会迅速的得到回报和甜头。