我很喜欢ISS RealSecure这个总是把自己打扮的很干净的入侵检测系统，它是我第一个真正接触到的IDS系统，而且也没有让我失望，两年前第一次使用它5.0版本的时候，我曾经惊讶于程序神奇高效的工作模式，今天给大家演示的版本已经是6.5的版本了，最新的7.0版本也在测试中了。
　　
　　ISS RealSecure构成
　　
　　　
　　
　　ISS RealSecure是一种实时监控软件，它包含控制台、网络引擎和系统代理三个部分组成。
　　
　　网络引擎基于C类网段，安装在一台单独使用的计算机上，通过捕捉网段上的数据包，分析包头和数据段内容，与模板中定义的事件手法进行匹配，发现攻击后采取相应的安全动作；
　　
　　系统代理基于主机，安装在受保护的主机上，通过捕捉访问主机的数据包，分析包头和数据段内容，与模板中定义的事件手法进行匹配，发现攻击后采取相应的安全动作；
　　
　　控制台是安全管理员的管理界面，它可同时与多个网络引擎和系统代理连接，实时获取安全信息。
　　
　　RealSecure的模板包括安全事件模板、连接事件模板和用户定义事件模板。
　　
　　安全事件模板中的每一种事件代表着一种黑客攻击的手法，可根据实际应用中的网络服务灵活选择监控部分或全部的安全事件；
　　
　　连接事件模板是为方便用户监控特殊的应用服务，例如用户可限制那些主机（IP地址）允许或禁止访问某些服务（端口）；
　　
　　用户定义事件模板是为方便用户限制对特殊文件和字段的访问控制。RealSecure对相应监控事件的响应有多种，且及时有效。用户可设置的响应方式包括通知主控台、中断连接、记录日志、实时回放攻击操作、通知网管等等。
　　
　　安装ISS RealSecure
　　
　　安装ISS RealSecure的这套系统整个安装过程还算是比较简单，由于使用ISS RealSecure不需要购买额外专门的硬件平台支持，所以安装在一台WINNT或者UNIX主机系统上它就可以开始工作了，当然最好这台主机有两块网卡一块用来做网络监听无IP设置，一块专门用来做管理端口。
　　
　　　
　　
　　管理端程序启动以后，就需要启动网络探测头了。
　　
　　　
　　
　　有两个组件需要启动，先启动event_collector_1 然后是network_sensor_1。
　　
　　　
　　
　　由于IDS类产品和扫描软件一样都是属于漏洞检测类产品，所以这类产品的及时更新最新的漏洞资料库文件是非常重要如果不能及时对最新的网络攻击手段做出响应，入侵检测就会失去意义了。
　　
　　　
　　
　　管理员可以选择通过在线WEB SSL加密保护方式和本地文件方式进行升级。
　　
　　

转载地址：http://www.netsp.com.cn/Article/netsafe/idsips/200506/20050602135809.html