RG-IDS入侵检测系统手艺白皮书

检测网络中是否有违反清静战略的行为和被攻击的迹象的手艺是入侵检测系统

宣布时间：2009-09-25
点击量：
点赞：

分享至

我想谈论

1 概述

1.1 什么是网络入侵检测

1.1.1 入侵检测系统

当信息化在各个行业中普遍应用并带来显着效益的时间，信息清静便成为现在迫切需要解决的问题。从古板的信息清静要领来看，接纳严酷的会见控制和数据加密战略来防护在很长一段时间来取得了显着的效果，但在重大系统中，接纳这些战略显着是不充分的，确切来讲它们是系统清静不可缺的部分，但不可完全包管系统的清静。在信息清静短暂而却漫长的生长历程中，一种对入侵行为的觉察手艺和应用徐徐被人们所重视，网络管理专家们要求有一种装备，它能够通过从盘算机网络的若干要害点网络信息并举行剖析，从中发明网络中是否有违反清静战略的行为和被攻击的迹象，这种装备就是现在被人们普遍使用的入侵检测系统（Intrusion Detection System缩写IDS）。

入侵检测系统(Intrusion Detection System)通过从盘算机网络或盘算机系统的要害点网络信息并举行剖析，从中发明网络或系统中是否有违反清静战略的行为和被攻击的迹象。入侵检测系统可以说是防火墙系统的合理增补和延伸，若是说防火墙是第一道清静闸门，入侵检测系统则可以说是第二道清静闸门。入侵检测系统在不影响网络性能的条件下，实时、动态地�；だ醋阅诓亢屯獠康闹种止セ鳎庇杏玫靥畈沽朔阑鹎剿艿执锏姆阑ぜ�。

凭证举行入侵剖析的数据泉源的差别，可以将入侵检测系统分为基于网络的入侵检测系统（Network-Based Intrusion Detection System）和基于主机的入侵检测系统（Host-Based Intrusion Detection System）。

基于网络的入侵检测系统（NIDS）的数据泉源为网络中传输的数据包及相关网络会话，通过这些数据和相关清静战略来举行入侵判断�；谥骰娜肭旨觳庀低常℉IDS）的数据泉源主要为系统内部的审计数据，通过这些数据来剖析、判断种种异常的用户行为及入侵事务。

1.1.2 入侵检测系统事情流程

通常入侵检测系统为了剖析、判断特定行为或者事务是否为违反清静战略的异常行为或者攻击行为，需要经由下列四个阶段：

1 数据收罗

网络入侵检测系统（NIDS）或者主机入侵检测系统(HIDS)使用处于混杂模式的网卡来获得通过网络的数据，收罗须要的数据用于入侵剖析。

2 数据过滤

凭证预界说的设置，举行须要的数据过滤，从而提高检测、剖析的效率。

3 攻击检测/剖析

凭证界说的清静战略，来实时监测并剖析通过网络的所有通讯营业，使用收罗的网络包作为数据源举行攻击区分，通常使用模式、表达式或字节匹配、频率或穿越阀值、事务的相关性和统计学意义上的非通例征象检测这四种手艺来识别攻击。

4 事务报警/响应

当IDS一旦检测到了攻击行为，IDS的响应�？榫吞峁┒嘀盅∠钜酝ㄖ⒈ň⒍怨セ鹘幽上煊Φ姆从Γǔ６及ㄍㄖ芾碓薄⒓吐荚谑菘�。

1.1.3 入侵检测系统的基本架构

信息的网络主要由Sensor认真，sensor称为网络传感器，它对网络数据举行监听，由于性能和清静的需求，现在的传感器多接纳专用的装备来实现，它的一块网卡通过混杂模式毗连在被检测的网段上认真网络网络数据包，另一块网卡用于管理，其它�？槿险嫫饰龊痛χ贸头Ｊ莅�。因此，信息网络需要在网络系统中的若干差别网段要害点举行网络，由于入侵检测很洪流平上依赖于网络信息的可靠性和准确性。

信息剖析是IDS手艺中的焦点问题，接纳什么样的检测手艺直接关系到报警信息的准确性。虽然检测手艺有许多种，但现在主流的检测要领有三种：模式匹配、异常检测、协议剖析。虽然效果处置惩罚就包括了系统的误报和漏报。
响应控制是针对发明可疑行为后的处置惩罚机制，现在常见的响应方法包括：写入数据库、在控制管理平台上显示、发送阻断请求给防火墙、发送给事务剖析工具等。

1.2 主流入侵检测手艺

1.2.1 模式匹配手艺

模式匹配手艺是入侵检测手艺领域中应用最为普遍的检测手段和机制之一，模式匹配手艺也称攻击特征检测手艺，假定所有入侵行为和手段（及其变种）都能够表达为一种模式或特征，那么所有已知的入侵要领都可以用匹配的要领来发明，模式发明的要害是怎样表达入侵的模式，把真正的入侵与正常行为区脱离来。

模式匹配手艺有它自己的利益：好比只需网络相关的数据荟萃，镌汰系统肩负，同时模式匹配手艺经由多年生长已经相当成熟，使得检测准确率和效率都相当高，这也是模式匹配手艺至今仍然保存并被使用的理由。虽然，纯粹的模式匹配手艺也同样具有显着的缺乏：

• 若是对整个网络流量举行匹配，盘算量很是大，系统有严重的性能问题。

• 只能使用牢靠的特征模式来检测入侵，对做过变形的攻击无法检测，因此容易被逃避检测。

• 特征库重大，对攻击信号的真实寄义和现实效果没有明确能力，因此，所有的变形都将成为攻击特征库里一个差别的特征，这就是模式匹配系统有一个重大的特征库的缘故原由所在。

因此，模式匹配的这种检测机制决议了它对已知攻击的报警较量准确，局限是它只能发明已知的攻击，对未知的攻击无能为力，并且误报率较量高。最为缺乏的是对任何妄想绕开入侵检测的网络攻击诱骗无能为力，由此会爆发大宗的虚伪报警，以至于淹没了真正的攻击检测。

1.2.2 异常检测手艺

基于异常检测要领主要泉源于这样的头脑：任何人的正常行为都是有一定纪律的，并且可以通太过析这些行为爆发的日志信息总结出这些纪律，通常需要界说为种种行为参数及其阀值的荟萃，用于形貌正常行为规模。而入侵和滥用行为则通常和正常的行为保存严重的差别，通过检查出这些差别就可以检测收支侵。这样，我们就能够检测出不法的入侵行为甚至是通过未知攻击要领举行的入侵行为，别的不属于入侵的异常用户行为（滥用自己的权限）也能被检测到。

异常检测手艺的检测流程：

入侵检测手艺具有的特点：

• 异常检测系统的效率取决于正当用户行为界说的完整性和监控的频率巨细

• 由于不需要对每种入侵行为举行界说，因此能有用检测未知的入侵

• 系统能针对用户行为的改变举行自我调解和优化，但随着检测模子的逐步准确，异常检测会消耗更多的系统资源

• 漏报率低，误报率高

因此，异常检测手艺假定所有入侵行为都是与正常行为差别的，若是建设系统正常行为的轨迹，那么理论上可以把所有与正常轨迹差别的系统状态视为可疑妄想。关于异常阀值与特征的选择是异常发明手艺的要害。好比，通过流量统计剖析将异常时间的异常网络流量视为可疑。异常发明手艺的局限是并非所有的入侵都体现为异常，并且系统的轨迹难于盘算更新。

虽然要使用异常检测还面临着几个问题：

• 用户的行为有一定纪律性，但选择哪些数据来体现这些纪律的行为仍然保存一些问题。

• 怎样有用体现这些正常行为，使用什么要领反应正常行为，怎样能学习到用户的新正常行为保存问题。

• 纪律的学习历程时间究竟为几多，用户行为的时效性等问题。

1.2.3 协议剖析手艺

协议剖析是现在最先进的检测手艺，是在古板模式匹配手艺基础之上生长起来的一种新的入侵检测手艺。它主要是针对网络攻击行为中攻击者妄想逃避IDS的检测，对攻击数据包做一些变形，它充分使用了网络协议的高度有序性，并团结了高速数据包捕获、协议剖析和下令剖析，来快速检测某个攻击特征是否保存，从而逃避IDS的检测而开发设计的。它最大的特点是将捕获的数据包从网络层一直送达应用层，将真实数据还原出来，然后将还原出来的数据再与规则库举行匹配，因此它能够通过对数据包举行结构化协议剖析来识别入侵妄想和行为。协议剖析大大镌汰了盘算量，纵然在高负载的高速网络上，也能逐个剖析所有的数据包。接纳协议剖析手艺的IDS能够明确差别协议的原理，由此剖析这些协议的流量，来寻找可疑的或不正常行为。对每一种协议，剖析不但仅基于协议标准，还基于协议的详细实现，由于许多协议的实现偏离了协议标准。协议剖析手艺视察并验证所有的流量，当流量不是期望值时，IDS就发出告警。协议剖析具有寻找任何偏离标准或期望值的行为的能力，因此能够检测到已知和未知攻击要领。
同时，状态协议剖析手艺就是在通例协议剖析手艺的基础上，加入状态特征剖析，即不但仅检测简单的毗连请求或响应，而是将一个会话的所有流量作为一个整体来思量。有些网络攻击行为仅靠检测简单的毗连请求或响应是检测不到的，由于攻击行为包括在多个请求中，此时状态协议剖析手艺就是IDS手艺的首选。同时协议剖析是凭证结构好的算法实现的，这种手艺比模式匹配检测效率更高，并能对一些未知的攻击特征举行识别，具有一定的免疫功效。

1.3 常见安排方法

IDS产品在共享式网络中的安排方法很是简朴，监听网卡毗连到需检测的网段中即可，网卡网络网络中的所有数据包举行剖析和处置惩罚，其优点是不影响网络结构和正常通讯。

在交流式网络中情形较量重大，通常有三种网络数据的方法：

• 一种方法是网络接口卡与交互装备的监控端口毗连，通过交流装备的Span/Mirror功效将流向各端口的数据包复制一份给监控端口，入侵检测传感器从监控端口获取数据包举行剖析和处置惩罚。

• 第二种方法是在网络中增添一台集线器改变网络拓扑结构，通过集线器（共享式监听方法）获取数据包。例如，若是一个交流机端口毗连到一个毗连在Internet的路由器上，就可以在路由器和交流机之间插入一个小集线器。

• 第三种方法是入侵检测传感器通过一种TAP（分路器）装备对交流式网络中的数据包举行剖析和处置惩罚。
传感器可以被安排在企业网络中的任何可能保存清静隐患的网段。在这些网段中，凭证网络流量和监控数据的需要来决议安排差别型号的传感器。

2 97国际入侵检测产品

2.1 RG-IDS系统结构

焦点系统架构

RG-IDS的焦点检测手艺是新一代的协议剖析手艺。该手艺团结了硬件加速信息包捕获手艺、基于状态的协议剖析手艺和开放的行为形貌代码形貌手艺来探测攻击。这三大手艺组成了RG-IDS所有解决计划的基�。岣吡巳肭旨觳庀低车募觳庾既仿屎拖低承阅�。

下面是RG-IDS焦点手艺的系统架构：

硬件加速包截获手艺

在整个系统架构中，RG-IDS的sensor在底层接纳硬件加速包截获手艺，通过硬件加速，大幅度提高了监听网卡的抓包能力，包管了信息网络的完整。如在一个真实的网络情形中，纵然网络的负载抵达1000Mbps，RG-IDS的硬件加速包截获手艺也能够实现很低的丢包率，有力包管要害数据的捕获。

TCP/IP协议状态检测

在RG-IDS的sensor捕获数据包后，将数据送到IP及TCP层，在这一层上，sensor接纳了完整的状态追踪手艺，在IP分片重组、排序，TCP流重组的基础上，完整纪录和坚持Session的提倡、建设和竣事等状态，同时纪录序列号（Sequence Number）并举行协议状态检测剖析，确保不会受到IDS逃避手艺的诱骗。

应用层协议剖析

当TCP/IP协议状态检测后，在将数据包送到应用层，在应用层，接纳了完整的应用层协议剖析手艺。RG-IDS协议剖析手艺是一种新型的入侵检测手艺，它充分使用了网络协议的高度有序性，使系统在每一层上都沿着协议栈向上解码，因此可以使用所有目今已知的协议信息，来扫除所有不属于这一个协议结构的攻击。

攻击特征匹配

RG-IDS剖析器是一个下令诠释程序，入侵检测引擎包括了多种差别的下令语法剖析器。下令剖析用具有读取攻击字符串及其所有可能的变形，并掘客其实质寄义的能力。这样，在攻击特征库中只需要一个特征，就能检测这一攻击所有可能的变形。

2.2 RG-IDS产品特点

RG-IDS系列产品具有以下突出手艺特点：

2.2.1 基于状态的协议剖析手艺

RG-IDS的协议剖析手艺，是对已知协媾和RFC规范的深入明确，可准确、高效的识别种种已知攻击。同时凭证系统协议剖析的算法，sensor拥有检测协议异常、协议误用的能力，解决了以往基于模式匹配手艺的IDS产品片面依赖攻击特征署名数目来检测攻击的误差，极大的提高了检测的效率，扩大了检测的规模。RG-IDS现在支持Telnet、FTP、HTTP、SMTP、SNMP、DNS等多达30种的主流应用层协议，优于其他IDS品牌。

例如RG-IDS检测一个http的会见，第一步直接跳到数据帧的第13个字节，读取2个字节的协议标识。若是值是0800，则说明这个以太网帧的数据域携带的是IP包，然后第二步跳到第24个字节处读取1字节的第四层协议标识，若是读取到的值是06，则说明这个IP包的数据域携带的是TCP包，第三步跳到第35个字节处读取一对端口号。若是有一个端口号是0080，则说明这个TCP帧的数据域携带的是HTTP包，第四步让剖析器从第55个字节最先读取URL。URL串将被提交给RG-IDS的HTTP剖析器后，由HTTP剖析器来剖析它是否可能会做攻击行为。

RG-IDS接纳这种先进的检测手艺，使它具有了显着的优势：

• 使用协议剖析已知的通讯协议，在处置惩罚数据帧和毗连时越发迅速和有用准确，镌汰了误报的可能性。

• 能够关联数据包前后的内容，对伶仃的数据包不举行检测，这和通俗IDS检测所有数据包有着实质的区别。一方面由于这种检测机制的高效性降低了系统在网络探测中的资源开销，大幅度提高了检测性能，另一方面由于在下令字符串抵达操作系统之前，模拟了它的执行，以确定它是否具有恶意，有用镌汰了误报。

• 它具有判别通讯行为真实意图的能力，它不会受到像URL编码、滋扰信息、IP分片等入侵检测系统规避手艺的影响。当检测到的所有数据信息经由应用协议剖析后，RG-IDS将真实的应用数据与署名库举行攻击特征的匹配，由于我们知道特征匹配仍然是检测效率最高的和最准确的检测手艺。只是这种匹配，与通俗基于模式匹配的检测机制有着实质上的区别，它是在协议剖析和还原以后真实有用的数据，这种真实可靠的有用数据的匹配，一方面提高了检测效率，另一方面，增强了检测攻击的准确度，镌汰了误报的概率。

2.2.2 基于目的操作系统指纹识别的智能IP碎片重组手艺

97国际IDS基于目的操作系统指纹识别的智能IP碎片重组手艺接纳先进的，越发隐藏清静的被动探测事情方法来探测剖析目的主机的操作系统，并凭证探测效果接纳针对性的IP碎片重组手艺，在阻止误报和漏报的同时，很洪流平上提高了IP碎片重组的速率，从而提升了引擎的性能。

2.2.3 应用层有限状态机手艺

97国际的应用层有限状态机手艺可以包管对每一个攻击举行详尽的历程状态量界说，这样界说的攻击署名与只依赖一两个外貌特征界说的署名相比有着很高的质量优势，可以拥有最低的误报率和最小的漏报率。

2.2.4 Sensor级别的多端口智能关联和剖析手艺

接纳这种手艺可以包管纵然安排在重大的、高冗余要求的网络情形中，97国际的RG-IDS系列产品仍然可以准确高效的举行事情，在差池称路由网络情形中也可完整举行状态的追踪。

2.2.5 开放的署名编写语言平台

97国际将先进高效的署名编写语言平台开放给客户，使用户可以凭证自己的需要，撰写状态检测署名；并可以凭证客户的需要提供针对私有协议的定制署名服务。

2.2.6 专门设计的高性能专用平台

RG-IDS接纳了专用硬件承载平台设计，配合RGOS(RG-Operation System)，提供多处置惩罚器并行、多历程增强和多线程优化的手艺，包管IDS的检测效率能够抵达最大化。97国际专门设计操作系统基于高性能硬件平台，接纳专有清静操作系统内核，在具备强盛数据处置惩罚能力的同时，在清静事务显示方面作出了立异的转变，以系统清静危害评估为焦点，接纳准实时的图形化方法来显示清静事务，使用户从大宗死板的报警事务中解脱出来。

2.2.7 基于会话状态的检测

RG-IDS 接纳先进的状态协议剖析手艺，能准确跟踪网络毗连的会话，准确、高效的检测网络运动。

2.2.8 开放的行为形貌代码

RG-IDS使用一种奇异、高效的“行为形貌代码”建设署名，“行为形貌代码”触发传感器最先网络事务的数据。例如，若是一个数据包有一个UDP包头，UDP战略的行为形貌代码便最先网络数据。行为形貌代码同时还告诉传感器该如那里置数据，行为形貌代码中提供的功效告诉传感器纪录什么类型的数据，并将该数据转达到纪录器上。例如，Pingflood战略告诉传感器来追踪源和目的IP地址、所发送的包数，及最后一个包之后总共的时间。所有的这些信息都发送到纪录器上去。

行为形貌代码的其他功效告诉传感器什么数据可作为警报发送。例如，Pingflood战略包括行为形貌代码，并告诉传感器引擎：在某时间，若是向某特定IP地址发送了凌驾一定量的ping包，便需向管理员发送警报。

2.2.9 基于误差保存的蠕虫检测手艺

IDS若是对蠕虫的检测是基于特征，那么将无法对变种的蠕虫举行检测，同时也无法对未知蠕虫举行有用检测。RG-IDS不但可以通过署名举行蠕虫检测，在对未知蠕虫的检测方面，它对流量异常举行统计剖析外，更主要的是使用了系统和软件的误差举行检测。由于当黑客释放蠕虫后，蠕虫是搜索误差，使用搜索效果攻击系统，复制副原来举行漫溢的。因此RG-IDS基于误差的检测充分包管了检测的准确性，同时也为用户加固系统提供了有力的资助。

2.2.10 反IDS逃避能力

RG-IDS可以检测攻击者的一些逃避手艺，如Hex,Unicode，空格等

HTTP允许hex等同于一个可印刷ASCII字符使用一种特命名堂列出，例如“％20”把HTTP hex字符等同于一个空格。现实上，％20在URL中经常使用，来代表路径名或文件名中的空格。这种使用是完全正当的——在URL中使用hex编码没有错。网络服务器，好比Microsoft IIS知道hex编码，并在处置惩罚URL时举行适当的解码。

为识别通过hex、Unicode编码造成疑惑攻击，RG-NID在查找内容之前，对他们实验解码。如IDS先将“script％73/iisadmin”解码成“scripts/iisadmin”，然后对该字符串举行剖析，并决议天生怎样的警报。由于我们的署名不是执行简朴的文本匹配，而是提供一个优越的攻击特征署名计划，基于以上逃避手艺或者混淆手艺都无法逃避97国际IDS的监测。

2.2.11 判别非标准通讯协议

RG-IDS的署名使用状态协议剖析，它可用来识别非标准通讯——不切合某端口预期协议的通讯。例如，我们预期在端口80看到HTTP通讯。然而，一些人居心设置其他非HTTP协议来使用端口80，通常这是由于端口80通讯是许多防火墙都允许通过的。在许多情形下，这种使用是对清静战略的违反。

标准IDS攻击特征署名手艺不可识别非HTTP通讯流，但基于状态协议剖析的攻击特征署名可以轻松做到这一点�？梢苑⒚鞑⒈ǜ婵赡艿贾卵现厍寰参蟛畹男槲シ葱形�。协议攻击特征署名设置不但基于RFC常用协议的标准，还基于违反RFC协议标准所建设特殊应用。

2.2.12 多层漫衍式系统结构

新一代的RG-IDS接纳立异的三层漫衍式系统结构设计，在古板的Sensor和控制台之间加入了事务网络器（Event Collector）和日志服务器（LogServer）等中心层组件，利便种种网络情形的无邪安排和管理。同时，各个组件都支持HA(高可用性)方法，确保在一个大型的、漫衍式的网络中能够实现无邪的、可靠的安排。

多层漫衍式系统结构具有两个利益，一个是能够举行大规模安排，举行统一集中管理；另一个从机制上包管了整个IDS系统运行和监控的清静可靠。也正是这种三层结构，使得RG-IDS的安排方法有许多种，虽然凭证网络规�？梢皂б庋≡瘢缂蚱影才啪涂梢越芾砥教ā⑹挛裢缙骱褪菘夤芾砥魍弊爸迷谝惶ɑ瞪希衅鞯ザ雷爸�。若是举行漫衍式安排，可以将管理平台、事务网络器、传感器、数据库管理器划分装置的差别的机械上，其中事务网络器是漫衍式安排的要害。

管理平台

在整个IDS系统的管理上，管理平台无疑是与用户直接交互的操作平台。RG-IDS管理平台是一个基于Windows的应用程序，它提供图形界面来举行用户管理、数据盘问、审查警报并设置传感器、数据库管理器以及报表天生等功效。通过一个管理平台，可以管理多个传感器。同时管理平台也提供了很好的会见控制机制，差别的管理员被授予差别级别的会见权限，如允许或榨取盘问、警报及设置等会见。

在清静事务显示方面，RG-IDS以系统清静危害评估为焦点，接纳准实时的图形化方法来显示清静事务。它为用户提供了：

图形化的清静事务剖析和显示窗口

无邪的战略设置和参数调解

直观的资产控制

事务网络器

一个大型漫衍式应用中，用户希望能够通过单个管理平台完全管理多个传感器，允许从一其中央点分发清静战略，或者把多个传感器上的数据合并到一个报告中去。用户可以通过装置一个事务网络器来实现集中管理，事务网络器现实上认真管理传感器及其数据库管理器。

远程传感器可以有同样设置，犹如样的战略和警报。每个传感器也可以被自力举行设置，从而在需要的时间激活差别的战略。例如，既可以在所有传感器上邮件战略包内激活“邮件信息名单”战略，也可以只在部分传感器上激活该战略。
传感器上一些设置是独吞的，例如用于监控的网络接口、系统级变量、以及会见控制信息。例如，若是每个传感器都在监控一个差别的网络，每个传感器的设置在事务网络器上设定。

在一个多层应用中，通常用管理员界面来会见战略，但着实是由事务网络器来举行现实管理的，并从传感器上网络数据集中处置惩罚。差别组件之间的所有通讯都举行了清静加密。

传感器

传感器的基本功效是捕获网络数据包，并使用战略及署名对数据进一步剖析和判断，当发明可疑的事务时触发传感器发送警报。

传感器装备包括一个大硬盘作为事务数据的存储空间，如存储所有的证据数据和警报，当传感器与EC的毗连意外中止时，事务会生涯在SENSOR的硬盘上，当毗连恢复时再上传到EC，从而包管事务不会丧失。

管理员可使用管理平台来盘问数据，天生报告，或审查传感器的状态。传感器上另外有一些后台程序认真管理数据和系统。例如，空间管理程序管理磁盘空间，而会见控制程序管理对数据、警报和设置举行的会见。

2.2.13 P2P、IM等应用程序的流量监控

P2P和IM类软件近年来获得了普遍放的应用，在获得了便当的同时，P2P和IM软件的误差也逐渐显露出来。BT、eMule等P2P软件对网络带宽资源的占用很是大，可疑容易的占有80%的企业网络出口带宽，RG-IDS可以检控网络上常见的P2P程序和IM程序，充分包管企业正常营业的运行。

2.2.14 详尽纪任命户审计信息

RG-IDS提供强盛的战略包网络上岸认证数据，IDS 的管理员更容易凭证用户名,密码,源 IP,目的 IP,登录成败和服务名称（例如 FTP 或 IMAP ）来盘问网络的数据。我们可以追踪并纪录某特定协议，如FTP或POP3乐成和失败的验证。通过盘算在某会话中爆发验证妄想的数目，我们可以识别类似密码推测攻击的例子。另外，一旦一个用户验证乐成，我们便可为谁人会话的其他部分存储用户名。因此若是厥后在该会话中探测出攻击，我们便知道该用户帐号提倡了那次攻击。在执行事务处置惩罚人物或视察嫌疑运动时，很是有价值。

2.2.15 详细的参数设置

RG-IDS署名特征库为用户提供了详细的署名参数设置，通过参数的设置和调解，用户可以获得很是准确的报警信息，同时也使用户很是容易的去界说或者修正这些参数。例如：

1 调解Badfiles战略参数可以详细检查种种网络协议状态的机械提交的文件名。若是认定文件为恶意，Filenamerecorder战略子包纪录并报警。同时也可以剖析目今的FTP，AIM，WWW，SMB，SMTP和TFTP等协议的文件传输，凭证badfiles战略的第一行的参数值设置告警。若是一个可疑的文件在被检测到，并且使用SMTP协议，那么它就很可能是一个蠕虫病毒。

2 界说正当流量或者监视一些违反清静战略的流量设置。RG-IDS可以自界说一些像防火墙规则或路由器一样的ACL（会见控制列表），可以建设规则，当TCP，UDP或ICMP流量切合特定特征时爆发警报.可以界说值以匹配：

• IP 源地址和 / 或目的地址

• TCP 或 UDP 源端口和 / 或目的端口

• ICMP 代码和 / 或类型

这些在policy战略中可举行详细设置，在这个战略中你可以有用的视察你想体贴的异常网络通讯，可以像使用像设置防火墙一样的制订网络通讯战略。若是异常通讯在网络上发明,该战略将会引发一个告警。该规则的设置是编辑RULES_TCP，RULES_UDP和RULES_ICMP的值。详细的说明设置信息请看资助。这个战略通常仅仅发送告警若是匹配到自界说规则。然而，这个战略的开启较量耗资源，在网络流量较量大的情形下请小心使用。

3 有些重复告警事务过多，可以通过attack战略在引擎上抑制告警。RG-IDS除了接纳事务合并抵达镌汰显示外，还可以界说署名战略抑制告警洪波，以阻止相同的攻击影响Sensor对信息的清静剖析，可以预防DOS 攻击和蠕虫能够导致大宗告警。通过Attack战略参数，可以设置采样距离时间。在设置的时间内，相同的告警的次数凌驾界说的值会被界说为告警洪波事务，以后相同的告警将会被抑制，节约了sensor对相同告警事务处置惩罚历程。

4 可自界说可疑网址会见告警设置�？杀嗉抡铰缘膚ww/uservars Backend中的参数，如HOSTMATCH，添加需要监控的完整主机名.若是 HTTP Request 中的 URL 完全匹配该参数中的某个完整主机名，触发 HostMatch 告警。如"www.sina.com.cn"(包括双引号)，同样，FTP、SMTP等高层协议中都有uservars参数，用户可以自界说一些关注的监控的事务。

5 自界说所监控的网络规模，忽略受信任的主机通讯�？赏ü柚胢ynetwork可以设置外地IP地址，设置该参数可以刷新一些战略的检测性能，例如在Hostscan战略中，若是设置了my_network参数，则只检查目的地址在my_network规模内的主机扫描。参数可以接纳例如10.0.0.0:255.0.0.0 或 10.0.0.0/8 的形式。也可以设置可编辑src_ignore_list和dst_ignore_list来忽略不体贴或者受信主机通讯流量。

6 自界说网络中TCP毗连的超时期待时间，避免IDS被拒绝服务攻击�？赏ü越缢瞪柚肐DS的TCP的syn，synAck，synOpensession等超时的值，避免一些无用垃圾信息或者恶意的攻击对IDS的性能造成影响，壅闭IDS的正常检测。