用專(zhuān)家系統(tǒng)對(duì)入侵進(jìn)行檢測(cè)，經(jīng)常是針對(duì)有特征入侵行為。所謂的規(guī)則，即是知識(shí)，不同的系統(tǒng)與設(shè)置具有不同的規(guī)則，且規(guī)則之間往往無(wú)通用性。專(zhuān)家系統(tǒng)的建立依賴(lài)于知識(shí)庫(kù)的完備性，知識(shí)庫(kù)的完備性又取決于審計(jì)記錄的完備性與實(shí)時(shí)性。入侵的特征抽取與表達(dá)，是入侵檢測(cè)專(zhuān)家系統(tǒng)的關(guān)鍵。在系統(tǒng)實(shí)現(xiàn)中，將有關(guān)入侵的知識(shí)轉(zhuǎn)化為if-then結(jié)構(gòu)（也可以是復(fù)合結(jié)構(gòu)），條件部分為入侵特征，then部分是系統(tǒng)防范措施。運(yùn)用專(zhuān)家系統(tǒng)防范有特征入侵行為的有效性完全取決于專(zhuān)家系統(tǒng)知識(shí)庫(kù)的完備性。

　　文件完整性檢查

　　文件完整性檢查系統(tǒng)檢查計(jì)算機(jī)中自上次檢查后文件變化情況。文件完整性檢查系統(tǒng)保存有每個(gè)文件的數(shù)字文摘數(shù)據(jù)庫(kù)，每次檢查時(shí)，它重新計(jì)算文件的數(shù)字文摘并將它與數(shù)據(jù)庫(kù)中的值相比較，如不同，則文件已被修改，若相同，文件則未發(fā)生變化。

　　文件的數(shù)字文摘通過(guò)Hash函數(shù)計(jì)算得到。不管文件長(zhǎng)度如何，它的Hash函數(shù)計(jì)算結(jié)果是一個(gè)固定長(zhǎng)度的數(shù)字。與加密算法不同，Hash算法是一個(gè)不可逆的單向函數(shù)。采用安全性高的Hash算法，如MD5、SHA時(shí)，兩個(gè)不同的文件幾乎不可能得到相同的Hash結(jié)果。從而，當(dāng)文件一被修改，就可檢測(cè)出來(lái)。在文件完整性檢查中功能最全面的當(dāng)屬Tripwire。

　　文件完整性檢查系統(tǒng)的優(yōu)點(diǎn)

　　從數(shù)學(xué)上分析，攻克文件完整性檢查系統(tǒng)，無(wú)論是時(shí)間上還是空間上都是不可能的。文件完整性檢查系統(tǒng)是非常強(qiáng)勁的檢測(cè)文件被修改的工具。實(shí)際上，文件完整性檢查系統(tǒng)是一個(gè)檢測(cè)系統(tǒng)被非法使用的最重要的工具之一。

　　文件完整性檢查系統(tǒng)具有相當(dāng)?shù)撵`活性，可以配置成為監(jiān)測(cè)系統(tǒng)中所有文件或某些重要文件。

　　當(dāng)一個(gè)入侵者攻擊系統(tǒng)時(shí)，他會(huì)干兩件事，首先，他要掩蓋他的蹤跡，即他要通過(guò)更改系統(tǒng)中的可執(zhí)行文件、庫(kù)文件或日志文件來(lái)隱藏他的活動(dòng)；其它，他要作一些改動(dòng)保證下次能夠繼續(xù)入侵。這兩種活動(dòng)都能夠被文件完整性檢查系統(tǒng)檢測(cè)出。

　　文件完整性檢查系統(tǒng)的弱點(diǎn)

　　文件完整性檢查系統(tǒng)依賴(lài)于本地的文摘數(shù)據(jù)庫(kù)。與日志文件一樣，這些數(shù)據(jù)可能被入侵者修改。當(dāng)一個(gè)入侵者取得管理員權(quán)限后，在完成破壞活動(dòng)后，可以運(yùn)行文件完整性檢查系統(tǒng)更新數(shù)據(jù)庫(kù)，從而瞞過(guò)系統(tǒng)管理員。當(dāng)然，可以將文摘數(shù)據(jù)庫(kù)放在只讀的介質(zhì)上，但這樣的配置不夠靈活性。

　　做一次完整的文件完整性檢查是一個(gè)非常耗時(shí)的工作，在Tripwire中，在需要時(shí)可選擇檢查某些系統(tǒng)特性而不是完全的摘要，從而加快檢查速度。

　　系統(tǒng)有些正常的更新操作可能會(huì)帶來(lái)大量的文件更新，從而產(chǎn)生比較繁雜的檢查與分析工作，如，在Windows NT系統(tǒng)中升級(jí)MS-Outlook將會(huì)帶來(lái)1800多個(gè)文件變化。

　　入侵檢測(cè)技術(shù)分析

　　執(zhí)行動(dòng)作 Action

　　在大多數(shù)的IDS程序中，你可以為規(guī)則賦予動(dòng)作。在你定義規(guī)則時(shí)，通常必須考慮將規(guī)則實(shí)施到網(wǎng)絡(luò)上的時(shí)機(jī)和方式。一項(xiàng)規(guī)則的其它元素包括：

　　·需要保護(hù)的主機(jī)。你可以指定某臺(tái)主機(jī)或某一范圍內(nèi)的主機(jī)。
　　·需要做日志記錄的和禁止的主機(jī)。你可以指定某臺(tái)主機(jī)或某一范圍內(nèi)的主機(jī)。
　　·實(shí)施策略的時(shí)間段
　　·事件的描述
　　·對(duì)發(fā)生的事件如何反應(yīng)，包括：
　　·重新配置防火墻
　　·阻塞特定的TCP連接日志記錄機(jī)制
　　·郵件，傳真，電話(huà)提示
　　·啟動(dòng)其它程序來(lái)阻止攻擊
　　·SNMP陷阱

　　IDS程序要求你先建立規(guī)則，進(jìn)而賦予動(dòng)作。你可以自己定義規(guī)則。然而，大多數(shù)的IDS廠商已經(jīng)設(shè)想了許多場(chǎng)景。這并不意味著你不需要建立自己的規(guī)則或編輯已經(jīng)存在的規(guī)則來(lái)確保它們符合你的需求。

　　誤報(bào)

　　如同實(shí)施防火墻，IDS也需要仔細(xì)地設(shè)置。否則，你將收到并不實(shí)際存在的攻擊和問(wèn)題的報(bào)告。誤報(bào)“false positive”就是指這種不準(zhǔn)確的報(bào)告。

　　然而，完全忽略誤報(bào)是不明智的。IDS程序有時(shí)候會(huì)檢測(cè)到一些非法的網(wǎng)絡(luò)活動(dòng)，即使并沒(méi)有對(duì)這些活動(dòng)定義規(guī)則。例如，許多IDS系統(tǒng)會(huì)報(bào)告說(shuō)存在過(guò)多的與NetBus和某些UNIX的root kit相關(guān)的SYN連接。雖然你需要對(duì)誤報(bào)引起重視，但你還必須培養(yǎng)識(shí)別何時(shí)忽略誤報(bào)何時(shí)認(rèn)真對(duì)待它們的能力。網(wǎng)絡(luò)級(jí)的IDS更容易發(fā)生誤報(bào)情況，尤其在它們被配置成檢測(cè)對(duì)某些主機(jī)的攻擊時(shí)，例如NetBus，密碼攻擊等等。