入侵檢查安全設備如何配置

㈠ 防火牆如何與路由器入侵檢測等安全設備聯動

聯動前 設備是要能通訊的，也就是 路由最起碼要可達。

在就是設置，設置許可權，很麻煩，具體到命令還是 圖形的操作都很繁瑣。

你可以閱讀寫專業知識。

聯動 比如說 IDS 因為是旁騖狀態，它可以檢測 入侵什麼的行為，但是由於是旁騖狀態，所以 他不能拒絕 惡意的數據包，所以他只有 聯動 上級的設備，在上級設備 比如路由器上寫一條ACL什麼的。

㈡ 新手如何構建一個入門級入侵檢測系統

通常來說，一個企業或機構准備進軍此領域時，往往選擇從基於網路的IDS入手，因為網上有很多這方面的開放源代碼和資料，實現起來比較容易，並且，基於網路的IDS適應能力強。有了簡單網路IDS的開發經驗，再向基於主機的IDS、分布式IDS、智能IDS等方面邁進的難度就小了很多。在此，筆者將以基於網路的IDS為例，介紹典型的IDS開發思路。 根據CIDF規范，我們從功能上將入侵檢測系統劃分為四個基本部分
通常來說，一個企業或機構准備進軍此領域時，往往選擇從基於網路的IDS入手，因為網上有很多這方面的開放源代碼和資料，實現起來比較容易，並且，基於網路的IDS適應能力強。有了簡單網路IDS的開發經驗，再向基於主機的IDS、分布式IDS、智能IDS等方面邁進的難度就小了很多。在此，筆者將以基於網路的IDS為例，介紹典型的IDS開發思路。
根據CIDF規范，我們從功能上將入侵檢測系統劃分為四個基本部分：數據採集子系統、數據分析子系統、控制檯子系統、資料庫管理子系統。
具體實現起來，一般都將數據採集子系統（又稱探測器）和數據分析子系統在Linux或Unix平台上實現，我們稱之為數據採集分析中心;將控制檯子系統在Windows NT或2000上實現，資料庫管理子系統基於Access或其他功能更強大的資料庫，多跟控制檯子系統結合在一起，我們稱之為控制管理中心。本文以Linux和Windows NT平台為例介紹數據採集分析中心和控制管理中心的實現。
可以按照如下步驟構建一個基本的入侵檢測系統。
第一步 獲取Libpcap和Tcpmp
審計蹤跡是IDS的數據來源，而數據採集機制是實現IDS的基礎，否則，巧婦難為無米之炊，入侵檢測就無從談起。數據採集子系統位於IDS的最底層，其主要目的是從網路環境中獲取事件，並向其他部分提供事件。目前比較流行的做法是：使用Libpcap和Tcpmp，將網卡置於「混雜」模式，捕獲某個網段上所有的數據流。
Libpcap是Unix或Linux從內核捕獲網路數據包的必備工具，它是獨立於系統的API介面，為底層網路監控提供了一個可移植的框架，可用於網路統計收集、安全監控、網路調試等應用。
Tcpmp是用於網路監控的工具，可能是Unix上最著名的Sniffer了，它的實現基於Libpcap介面，通過應用布爾表達式列印數據包首部，具體執行過濾轉換、包獲取和包顯示等功能。Tcpmp可以幫助我們描述系統的正常行為，並最終識別出那些不正常的行為，當然，它只是有益於收集關於某網段上的數據流（網路流類型、連接等）信息，至於分析網路活動是否正常，那是程序員和管理員所要做的工作。Libpcap和Tcpmp在網上廣為流傳，開發者可以到相關網站下載。
第二步 構建並配置探測器，實現數據採集功能
1. 應根據自己網路的具體情況，選用合適的軟體及硬體設備，如果你的網路數據流量很小，用一般的PC機安裝Linux即可，如果所監控的網路流量非常大，則需要用一台性能較高的機器。
2. 在Linux伺服器上開出一個日誌分區，用於採集數據的存儲。
3. 創建Libpcap庫。從網上下載的通常都是Libpcap.tar.z的壓縮包，所以，應先將其解壓縮、解包，然後執行配置腳本，創建適合於自己系統環境的Makefile，再用Make命令創建Libpcap庫。Libpcap安裝完畢之後，將生成一個Libpcap庫、三個include文件和一個Man頁面（即用戶手冊）。
4. 創建Tcpmp。與創建Libpcap的過程一樣，先將壓縮包解壓縮、解包到與Libpcap相同的父目錄下，然後配置、安裝Tcpmp。
如果配置、創建、安裝等操作一切正常的話，到這里，系統已經能夠收集到網路數據流了。至於如何使用Libpcap和Tcpmp，還需要參考相關的用戶手冊。
第三步 建立數據分析模塊
網上有一些開放源代碼的數據分析軟體包，這給我們構建數據分析模塊提供了一定的便利條件，但這些「免費的午餐」一般都有很大的局限性，要開發一個真正功能強大、實用的IDS，通常都需要開發者自己動手動腦設計數據分析模塊，而這往往也是整個IDS的工作重點。
數據分析模塊相當於IDS的大腦，它必須具備高度的「智慧」和「判斷能力」。所以，在設計此模塊之前，開發者需要對各種網路協議、系統漏洞、攻擊手法、可疑行為等有一個很清晰、深入的研究，然後制訂相應的安全規則庫和安全策略，再分別建立濫用檢測模型和異常檢測模型，讓機器模擬自己的分析過程，識別確知特徵的攻擊和異常行為，最後將分析結果形成報警消息，發送給控制管理中心。 設計數據分析模塊的工作量浩大，並且，考慮到「道高一尺，魔高一丈」的黑客手法日益翻新，所以，這註定是一個沒有終點的過程，需要不斷地更新、升級、完善。在這里需要特別注意三個問題：
① 應優化檢測模型和演算法的設計，確保系統的執行效率；
② 安全規則的制訂要充分考慮包容性和可擴展性，以提高系統的伸縮性；
③ 報警消息要遵循特定的標准格式，增強其共享與互操作能力，切忌隨意制訂消息格式的不規范做法。
第四步 構建控制檯子系統
控制檯子系統負責向網路管理員匯報各種網路違規行為，並由管理員對一些惡意行為採取行動（如阻斷、跟蹤等）。由於Linux或Unix平台在支持界面操作方面遠不如常用的Windows產品流行，所以，為了把IDS做成一個通用、易用的系統，筆者建議將控制檯子系統在Windows系列平台上實現。
控制檯子系統的主要任務有兩個：
① 管理數據採集分析中心，以友好、便於查詢的方式顯示數據採集分析中心發送過來的警報消息；
② 根據安全策略進行一系列的響應動作，以阻止非法行為，確保網路的安全。
控制檯子系統的設計重點是：警報信息查詢、探測器管理、規則管理及用戶管理。
1．警報信息查詢：網路管理員可以使用單一條件或復合條件進行查詢，當警報信息數量龐大、來源廣泛的時候，系統需要對警報信息按照危險等級進行分類，從而突出顯示網路管理員需要的最重要信息。
2．探測器管理：控制台可以一次管理多個探測器（包括啟動、停止、配置、查看運行狀態等），查詢各個網段的安全狀況，針對不同情況制訂相應的安全規則。
3．規則庫管理功能：為用戶提供一個根據不同網段具體情況靈活配置安全策略的工具，如一次定製可應用於多個探測器、默認安全規則等。
4．用戶管理：對用戶許可權進行嚴格的定義，提供口令修改、添加用戶、刪除用戶、用戶許可權配置等功能，有效保護系統使用的安全性。
第五步 構建資料庫管理子系統
一個好的入侵檢測系統不僅僅應當為管理員提供實時、豐富的警報信息，還應詳細地記錄現場數據，以便於日後需要取證時重建某些網路事件。
資料庫管理子系統的前端程序通常與控制檯子系統集成在一起，用Access或其他資料庫存儲警報信息和其他數據。該模塊的數據來源有兩個：
① 數據分析子系統發來的報警信息及其他重要信息；
② 管理員經過條件查詢後對查詢結果處理所得的數據，如生成的本地文件、格式報表等。
第六步 聯調，一個基本的IDS搭建完畢
以上幾步完成之後，一個IDS的最基本框架已被實現。但要使這個IDS順利地運轉起來，還需要保持各個部分之間安全、順暢地通信和交互，這就是聯調工作所要解決的問題。
首先，要實現數據採集分析中心和控制管理中心之間的通信，二者之間是雙向的通信。控制管理中心顯示、整理數據採集分析中心發送過來的分析結果及其他信息，數據採集分析中心接收控制管理中心發來的配置、管理等命令。注意確保這二者之間通信的安全性，最好對通信數據流進行加密操作，以防止被竊聽或篡改。同時，控制管理中心的控制檯子系統和資料庫子系統之間也有大量的交互操作，如警報信息查詢、網路事件重建等。
聯調通過之後，一個基本的IDS就搭建完畢。後面要做的就是不斷完善各部分功能，尤其是提高系統的檢測能力。

㈢ 入侵報警系統包括哪些設備組成

前端採集設備（紅外對射/雙肩探測器等）
傳輸設備（同軸線纜/網線/光纖等）
管理設備（報警主機/管理主機等）
顯示設備（LED/警燈等）

㈣ 中小企業如何部署入侵檢測系統

隨著網路技術的快速發展，如今的網路安全不再僅僅是靠防火牆或者個別安全社設備就可以完全抵禦的，攻擊手法和方式的多樣化勢必要求網路安全產品整合，協同工作。防火牆、殺毒軟體、安全策略早已被大多數用戶紛紛採用的，更出現了IPS、IDP等高端的安全產品，但筆者以為其實就中小企業而言入侵檢測系統更能滿足用戶的需求。筆者始終認為，只有掌握了惡意軟體或行為後，對症下葯會更好的解決用戶所遇到的威脅。 入侵檢測的用途 雖然入侵檢測系統(Intrusion Detection System，IDS)早已不再是什麼神秘的神兵利器，但卻可以在惡意行為發生時及時通告用戶，此種檢測手段非常適合於在防火牆的基礎之上部署在中、小企業中，甚至對於要求更嚴格的大型企業網路也是適用的。現在用戶都清楚一個事實，一台普通的計算機是以安裝防火牆的方式來進行訪問規則的設置，而對於企業網路來說，這是遠遠不夠的。此時相對更加昂貴的IPS或IDP設備，入侵檢測系統IDS已經可以勝任網路防護的重任，管理員只要留意網路通信的異常和警告稍加分析就可以判斷是否有惡意行為的發生。通常筆者在實施企業級應用時，首先會考慮企業的實際需要，而IDS不論對於何種規模的網路都是適用的，IDS是建立在防火牆基礎之上的一種很有效的防護手段。 入侵檢測適用范圍 雖然IDS和IPS之間的爭論已經了結了很久，但是仍有不少用戶在選擇安全產品的時候存在錯誤或者說是模糊的概念。有人說IDS和IPS目前只適用於中大型網路，對於只有小型網路和若干IT工作人員的中小型企業來說，大型IDS入侵檢測系統造價偏高而且還得投入工作人員全天候進行監控，相對來說並不劃算。因此很多小型企業只能利用防火牆對其實現安全防護，這顯然是不夠的，這讓很多入侵行為無法被防火牆及時發現並造成損失。曾經筆者在為一家中小企業處理做應急方案的時候就發現，由於防火牆自身規則的限制，使得企業無法防範來自內部的威脅，困此小型企業可以嘗試使用小型網路產品或者利用外包商們專為中小型企業提供的檢測和預警服務，在防火牆產品以備或防火牆無法滿足現有安全需求時完善企業的安全機制。但是筆者還是強調任何設備都不是萬能的守護神，而IDS應該是多層防禦系統的一部份，這個防禦系統中最重要的還應是安全管理。 如何部署入侵檢測系統 如果企業在已擁有防火牆基礎之上部署入侵檢測系統，應首先評考慮目前的網路規模和范圍以及需要保護的數據和基礎設施等，由於IDS只是一種安全硬體，而且由於IDS在行為檢測過程中可能會佔用比較多的資源，這對於一個極小的網路來說會成為很大的負擔，甚至會影響網路的使用性能。用戶只有根據自身的需求進行評估後，才可以對相關的IDS或IPS進行評測考證，隨後才能討論IDS如何融入現有的安全策略中。 在小型企業中，配備好一個處理能力良好的防火牆會比完備的IDS更好控制，但是防火牆只能阻止已經被限制網路通信，並不能起到很好的防護效果。而對於IDS來說可以記錄不必要的通信量，雖然有時不進行阻止，但在記錄中發現不明規則的同時，可以利用防火牆新建策略對其進行阻止訪問，所以防火牆與IDS是功能互補，相互依賴的。 通常惡意行為在入侵一台伺服器時會先侵入較低保護的系統，然後通過提權獲得更高的許可權直至達到入侵目的。因此用戶考慮是否部署IDS產品前，應對目前伺服器中存儲的信息進行風險分析，不僅要考慮數據安全性，也要考慮系統結構和低風險系統到高風險系統的可侵入性。 如果僅靠IDS是不會達到很好的防護效果的，用戶要想IDS對網路起到很好的保護，那其設備必須安裝在防火牆的兩邊以及網關處，讓其檢測無論是內部的還是外部的所有通信量，並將不同網段的檢測結果進行對比，那樣才能確定攻擊的來源或者試圖入侵的惡意代碼。而對於內部攻擊，可通過IDS入侵檢測系統對內部網段可疑活動的檢測，找到病源。當然IDS可能會產生誤報，管理人員可以從惡意程序試探網路的通信數據中找到入侵的路徑。 總結 隨著黑客技術的提升，使得安全技術和產品必須更快的發展，以應對網路各種脅威。

㈤ 簡述入侵檢測常用的四種方法

入侵檢測系統所採用的技術可分為特徵檢測與異常檢測兩種。

1、特徵檢測

特徵檢測(Signature-based detection) 又稱Misuse detection ，這一檢測假設入侵者活動可以用一種模式來表示，系統的目標是檢測主體活動是否符合這些模式。

它可以將已有的入侵方法檢查出來，但對新的入侵方法無能為力。其難點在於如何設計模式既能夠表達「入侵」現象又不會將正常的活動包含進來。

2、異常檢測

異常檢測(Anomaly detection) 的假設是入侵者活動異常於正常主體的活動。根據這一理念建立主體正常活動的「活動簡檔」，將當前主體的活動狀況與「活動簡檔」相比較，當違反其統計規律時，認為該活動可能是「入侵」行為。

異常檢測的難題在於如何建立「活動簡檔」以及如何設計統計演算法，從而不把正常的操作作為「入侵」或忽略真正的「入侵」行為。

(5)入侵檢查安全設備如何配置擴展閱讀

入侵分類：

1、基於主機

一般主要使用操作系統的審計、跟蹤日誌作為數據源，某些也會主動與主機系統進行交互以獲得不存在於系統日誌中的信息以檢測入侵。

這種類型的檢測系統不需要額外的硬體．對網路流量不敏感，效率高，能准確定位入侵並及時進行反應，但是佔用主機資源，依賴於主機的可靠性，所能檢測的攻擊類型受限。不能檢測網路攻擊。

2、基於網路

通過被動地監聽網路上傳輸的原始流量，對獲取的網路數據進行處理，從中提取有用的信息，再通過與已知攻擊特徵相匹配或與正常網路行為原型相比較來識別攻擊事件。

此類檢測系統不依賴操作系統作為檢測資源，可應用於不同的操作系統平台；配置簡單，不需要任何特殊的審計和登錄機制；可檢測協議攻擊、特定環境的攻擊等多種攻擊。

但它只能監視經過本網段的活動，無法得到主機系統的實時狀態，精確度較差。大部分入侵檢測工具都是基於網路的入侵檢測系統。

3、分布式

這種入侵檢測系統一般為分布式結構，由多個部件組成，在關鍵主機上採用主機入侵檢測，在網路關鍵節點上採用網路入侵檢測，同時分析來自主機系統的審計日誌和來自網路的數據流，判斷被保護系統是否受到攻擊。

㈥ 什麼是入侵檢測，以及入侵檢測的系統結構組成

入侵檢測是防火牆的合理補充。

入侵檢測的系統結構組成：

1、事件產生器：它的目的是從整個計算環境中獲得事件，並向系統的其他部分提供此事件。

2、事件分析器：它經過分析得到數據，並產生分析結果。

3、響應單元：它是對分析結果作出反應的功能單元，它可以作出切斷連接、改變文件屬性等強烈反應，也可以只是簡單的報警。

4、事件資料庫：事件資料庫是存放各種中間和最終數據的地方的統稱，它可以是復雜的資料庫，也可以是簡單的文本文件。

(6)入侵檢查安全設備如何配置擴展閱讀：

入侵檢測系統根據入侵檢測的行為分為兩種模式：異常檢測和誤用檢測。前者先要建立一個系統訪問正常行為的模型，凡是訪問者不符合這個模型的行為將被斷定為入侵。

後者則相反，先要將所有可能發生的不利的不可接受的行為歸納建立一個模型，凡是訪問者符合這個模型的行為將被斷定為入侵。

這兩種模式的安全策略是完全不同的，而且，它們各有長處和短處：異常檢測的漏報率很低，但是不符合正常行為模式的行為並不見得就是惡意攻擊，因此這種策略誤報率較高。

誤用檢測由於直接匹配比對異常的不可接受的行為模式，因此誤報率較低。但惡意行為千變萬化，可能沒有被收集在行為模式庫中，因此漏報率就很高。

這就要求用戶必須根據本系統的特點和安全要求來制定策略，選擇行為檢測模式。現在用戶都採取兩種模式相結合的策略。

㈦ 入侵檢測系統如何搭建

可以這樣做：給網站加一個防護產品，比如這個：WAF類的，然扣模擬入侵，可以用工具也可以手動。然後，從這個產品的後台查看防護記錄，就可以看到入侵記錄

㈧ 如何在CentOS上配置基於主機的入侵檢測系統(IDS)的教程

所有系統管理員想要在他們生產伺服器上首先要部署的安全手段之一，就是檢測文件篡改的機制——不僅僅是文件內容，而且也包括它們的屬性。

AIDE （「高級入侵檢測環境」的簡稱）是一個開源的基於主機的入侵檢測系統。AIDE通過檢查大量文件屬性的不一致性來檢查系統二進制文件和基本配置文件的完整性，這些文件屬性包括許可權、文件類型、索引節點、鏈接數、鏈接名、用戶、組、文件大小、塊計數、修改時間、添加時間、創建時間、acl、SELinux安全上下文、xattrs，以及md5/sha校驗值在內的各種特徵。

AIDE通過掃描一台（未被篡改）的Linux伺服器的文件系統來構建文件屬性資料庫，以後將伺服器文件屬性與資料庫中的進行校對，然後在伺服器運行時對被修改的索引了的文件發出警告。出於這個原因，AIDE必須在系統更新後或其配置文件進行合法修改後重新對受保護的文件做索引。

對於某些客戶，他們可能會根據他們的安全策略在他們的伺服器上強制安裝某種入侵檢測系統。但是，不管客戶是否要求，系統管理員都應該部署一個入侵檢測系統，這通常是一個很好的做法。

在 CentOS或RHEL 上安裝AIDE

AIDE的初始安裝（同時是首次運行）最好是在系統剛安裝完後，並且沒有任何服務暴露在互聯網甚至區域網時。在這個早期階段，我們可以將來自外部的一切闖入和破壞風險降到最低限度。事實上，這也是確保系統在AIDE構建其初始資料庫時保持干凈的唯一途徑。（LCTT 譯註：當然，如果你的安裝源本身就存在安全隱患，則無法建立可信的數據記錄）

出於上面的原因，在安裝完系統後，我們可以執行下面的命令安裝AIDE：

# yum install aide

我們需要將我們的機器從網路斷開，並實施下面所述的一些基本配置任務。

配置AIDE

默認配置文件是/etc/aide.conf，該文件介紹了幾個示例保護規則（如FIPSR，NORMAL，DIR，DATAONLY），各個規則後面跟著一個等號以及要檢查的文件屬性列表，或者某些預定義的規則（由+分隔）。你也可以使用此種格式自定義規則。

FIPSR = p+i+n+u+g+s+m+c+acl+selinux+xattrs+sha256NORMAL = FIPSR+sha512

例如，上面的例子說明，NORMAL規則將檢查下列屬性的不一致性：許可權（p）、索引節點（i）、鏈接數（n）、用戶（u）、組（g）、大小（s）、修改時間（m）、創建時間（c）、ACL（acl）、SELinux（selinux）、xattrs（xattr）、SHA256/SHA512校驗和（sha256和sha512）。

定義的規則可靈活地用於不同的目錄和文件（用正則表達式表示）。

條目之前的感嘆號（！）告訴AIDE忽略子目錄（或目錄中的文件），對於這些可以另外定義規則。

在上面的例子中，PERMS是用於/etc機器子目錄和文件的默認規則。然而，對於/etc中的備份文件（如/etc/.*~）則不應用任何規則，也沒有規則用於/etc/mtab文件。對於/etc中的其它一些選定的子目錄或文件，使用NORMAL規則替代默認規則PERMS。

定義並應用正確的規則到系統中正確的位置，是使用AIDE最難的一部分，但作一個好的判斷是一個良好的開始。作為首要的一條規則，不要檢查不必要的屬性。例如，檢查/var/log或/var/spool里頭的文件的修改時間將導致大量誤報，因為許多的應用程序和守護進程經常會寫入內容到該位置，而這些內容都沒有問題。此外，檢查多個校驗值可能會加強安全性，但隨之而來的是AIDE的運行時間的增加。

可選的，如果你使用MAILTO變數指定電子郵件地址，就可以將檢查結果發送到你的郵箱。將下面這一行放到/etc/aide.conf中的任何位置即可。

MAILTO=root@localhost

首次運行AIDE

運行以下命令來初始化AIDE資料庫：

# aide --init

根據/etc/aide.conf生成的/var/lib/aide/aide.db.new.gz文件需要被重命名為/var/lib/aide/aide.db.gz，以便AIDE能讀取它：

# mv /var/lib/aide/aide.db.new.gz /var/lib/aide.db.gz

現在，是時候來將我們的系統與資料庫進行第一次校對了。任務很簡單，只需運行：

# aide

在沒有選項時，AIDE假定使用了--check選項。

如果在資料庫創建後沒有對系統做過任何修改，AIDE將會以OK信息來結束本次校對。

生產環境中管理AIDE

在構建了一個初始AIDE資料庫後，作為不斷進行的系統管理活動，你常常需要因為某些合法的理由更新受保護的伺服器。每次伺服器更新後，你必須重新構建AIDE資料庫，以更新資料庫內容。要完成該任務，請執行以下命令：

# aide --update

要使用AIDE保護生產系統，可能最好通過任務計劃調用AIDE來周期性檢查不一致性。例如，要讓AIDE每天運行一次，並將結果發送到郵箱：

# crontab -e

0 0 * * * /usr/sbin/aide --check | /usr/bin/mail -s "AIDE run for $HOSTNAME" [email protected]

測試AIDE檢查文件篡改

下面的測試環境將演示AIDE是如何來檢查文件的完整性的。

測試環境 1

讓我們添加一個新文件（如/etc/fake）。

# cat /dev/null > /etc/fake

測試環境 2

讓我們修改文件許可權，然後看看它是否被檢測到。

# chmod 644 /etc/aide.conf

測試環境 3

最後，讓我們修改文件內容（如，添加一個注釋行到/etc/aide.conf）。

echo "#This is a comment" >> /etc/aide.conf

上面的截圖中，第一欄顯示了文件的屬性，第二欄是AIDE資料庫中的值，而第三欄是更新後的值。第三欄中空白部分表示該屬性沒有改動（如本例中的ACL）。

結尾

如果你曾經發現你自己有很好的理由確信系統被入侵了，但是第一眼又不能確定到底哪些東西被改動了，那麼像AIDE這樣一個基於主機的入侵檢測系統就會很有幫助了，因為它可以幫助你很快識別出哪些東西被改動過，而不是通過猜測來浪費寶貴的時間。謝謝閱讀，希望能幫到大家，請繼續關注，我們會努力分享更多優秀的文章。

㈨ 如何在CentOS上配置基於主機的入侵檢測系統

為ISSRealSecure的部署圖，RealSecure是一種混合型的入侵檢測系統，提供基於網路和基於主機的實時入侵檢測。
其控制台運行在Windows2000上。
RealSecure的感測器是自治的，能被許多控制台控制。
各部分的功能如下：（1）ReaISecure控制台：對多台網路感測器和伺服器代理進行管理；
對被管理感測器進行遠程的配置和控制；
各個監控器發現的安全事件實時地報告控制台。
（2）NetworkSensor（網路引擎）：對網路進行監聽並自動對可疑行為進行響應，最大程度保護網路安全；
運行在特定的主機上，監聽並解析所有的網路信息，及時發現具有攻擊特徵的信息包；
檢測本地網段，查找每一數據包內隱藏的惡意入侵，對發現的入侵做出及時的響應。
當檢測到攻擊時，網路引擎能即刻做出響應，進行告警/通知（向控制台告警、向安全管理員發E-mail、SNMPtrap、查看實時會話和通報其他控制台），記錄現場（記錄事件日誌及整個會話），採取安全響應行動（終止入侵連接、調整網路設備配置，如防火牆、執行特定的用戶響應程序）。
（3）ServerSensor（伺服器代理，安裝在各個伺服器上）：對主機的核心級事件、系統日誌以及網路活動實現實時入侵檢測；
具有包攔截、智能報警以及阻塞通信的能力，能夠在入侵到達操作系統或應用之前主動阻止入侵；
自動重新配置網路引擎和選擇防火牆阻止黑客的進一步攻擊。