賽門鐵克去年7月宣布併購Recourse Technologies、Riptech及SecurityFocus等3家資訊安全廠商。Recourse Technologies提供電信等級的NIDS（網路型入侵偵測）產品ManHunt，以及HIDS（主機型入侵偵測）產品IntruderAlert，Riptech提供資訊安全委外服務，而SecurityFocus則有弱點管理資料庫及弱點管理系統。配合大家所熟知的防毒技術及應變系統，賽門鐵克將提供企業更完善的安全防護。

網路型入侵偵測系統ManHunt是一個威脅管理解決方案，會監控網路上的連線狀態及傳輸封包的內容，偵測是否有攻擊行為正在進行，讓企業持續控制與回應網路入侵和攻擊，並根據所收集的資訊採取適當的行動。

初始攻擊偵測，消除安全空窗期

大部分的IDS都是採用特徵（signatures）比對模式來辨識出進行中的攻擊，原理就像防毒軟體會依據病毒碼檢查已知的病毒，IDS會根據儲存在資料庫中的資訊檢查特殊的攻擊特徵。但檢測規則的更新總是落後於攻擊手段，一般而言，新的漏洞在網路上公布後，幾乎第二天就能找到攻擊方法和程式碼，但相對應的檢測規則卻需要好幾天才出來，存在一定的時間差，讓入侵者有足夠的時間進行入侵。

越來越多的駭客和安全專家傾向不公布他們發現的漏洞，更加難以整理出攻擊特徵。而且公布檢測規則後，也方便了入侵者，他們可以先檢查所有的規則，然後採用不會被檢測的手法進行入侵。事實上，只要稍微修改相似攻擊，駭客就可以輕易的迴避特徵型IDS攻擊偵測。

面臨新型攻擊的不斷威脅，IDS必須在攻擊前就採取行動，避免傳統IDS產品的弱點空窗期，讓企業網路不會暴露在威脅之中。賽門鐵克稱這項功能為「初始攻擊偵測」（zero-day detection），ManHunt能針對周遭環境自訂偵測器的偵測功能，利用一系列的偵測方法來強化攻擊識別，透過通訊行為監控、通訊協定狀態追蹤及IP封包重組等方式來收集惡意活動的證據。

ManHunt的攻擊偵測器可以識別出修改過的攻擊，因為偵測器並不注重資料的特定細節，只知道資料不應該是那樣，所有的可疑事件都會轉遞到ManHunt的分散式分析架構，根據脈絡進行評估，再判斷是否採取行動，將誤報和安全假象都降到最低。

系統使用通訊協定異常偵測（Protocol Anomaly Detection）分析網路流量，也是系統的核心偵測方法，它會檢查預期的通訊協定中是否有異常狀況，辨識出新型與未知的攻擊，在攻擊造成網路損害前就予以制止。

因為駭客攻擊常利用不完善的程式，或是Telnet、HTTP、RPC（Remote Procedure Call）及SMTP等通訊協定的漏洞，所以通訊協定異常偵測會注意通訊的結構與內容，檢查出可能是攻擊發動徵兆的無效字元、非預期資料與額外字元，例如CodeRed使用GET指令要求伺服器執行惡意的程式碼，系統會判定它違反HTTP通訊協定，而將CodeRed視為一種攻擊行為。

DoS攻擊（拒絕服務攻擊）是將真實的攻擊隱藏在大量的封包內，導致偵測器漏掉實質攻擊的封包，造成IDS引擎無法識別出攻擊；另一種狀況是，大量的封包讓真實攻擊的封包間有足夠的間隔，導致IDS引擎的資料顯示為正常，而沒有偵測出攻擊。ManHunt利用IP流量監控和2Gbps的網路設備監控能力，可以區分出不同類型的攻擊，抵擋DoS攻擊。

IP碎片是另一種常用的攻擊手法，假如NIDS不能對IP碎片進行重組，或者數量超過可以處理的能力（DoS攻擊），攻擊就可以繞過NIDS進行。ManHunt具備IP碎裂封包重組引擎（IP Fragmentation Reassembly Engine），當系統接收到一個IP碎片時，便會啟動重組引擎，執行從第3層（Layer 3）到第7層（Layer 7）的重組，偵測器會根據該IP堆疊執行碎裂IP封包重組。如果沒有採取這些重組步驟，偵測器就無法偵測到封包重組型的攻擊。

除此之外，ManHunt能夠自訂定義攻擊（Custom Attack Definition），使用Snort 格式匯入自訂的攻擊特徵，延伸現有的ManHunt通訊協定異常偵測，讓偵測器與最新的攻擊同步。

忽略個別事件，監控資安事端
降低管理人員負擔，自動化回應

在大型網路中，除了可能有多種不同的IDS，甚至還有防火牆、漏洞掃描等其他類別的安全設備，這些系統如何交換資訊，共同協作來發現攻擊，並作出正確回應以阻止攻擊是系統安全的重要因素。例如，漏洞掃描程式例行的試探攻擊就不應該觸發IDS的警報。

ManHunt可從其他網路安全廠商如Cisco、ISS的IDS產品與ManTrap誘捕主機收集事件，將威脅管理的範圍擴大到整個企業。交叉分析引擎可以即時分析網路事件，並與先前發生的事件對照比較，在事件發生時就加以辨識，使安全管理人員有更多時間執行更複雜的入侵調查及政策，而不是浪費時間在檢查不相干的事件。

賽門鐵克認為改善入侵偵測的第一步就是改善資訊，並且清楚網路上正在進行什麼活動。ManHunt不會根據個別的評估，就認定這個網路事件是壞或好，產生誤報和安全假象，而是在「分析架構」（Analysis Framework）中處理這些問題，並與其他ManHunt主機和網路裝置產生動態互動，提升所有活動（偵測、分析、回應及管理）的效率和效用，成為真正的分散式資訊安全解決方案。

為了評估某個「脈絡」（in context）事件，分析架構會將相關的事件分類為資安事端（incident），如果網路事件有某些相同的特性（類型、來源或目的地）就會被認為是相關事件，這時分析架構會將事件歸類到這個資安事端；如果不是，就會建立一個新的資安事端。所有的分析都是根據現有的資安事端，而不是根據個別事件。

在判斷惡意活動上，資安事端比個別事件更具有價值，因為個別事件本身不一定重要，必須有其他相關事件發生，活動才會逐漸明朗。例如，掃描通訊埠的嚴重性不高，不必在凌晨三點鐘發送通報給管理者，但是資安事端不會忽略這項資訊，而會繼續的觀察，監看是否有進一步的後續活動。如果之後產生特定次數的無效登入，系統就會將這個資安事端的優先順序提高到必須採取行動。

傳統的攻擊回應方式是手動檢查路由器，並追蹤相關的資料流，不但費時又費力，即使專業的網路工程師也要花上幾個小時，甚至幾天的時間。誤報和惡意活動也都必須有人介入，採取適當的行動，所以系統管理員必須參與大量的資訊安全程序，然而卻都不是他們願意的。

理想的資訊安全產品除了保證網路資產的安全，最好也不加重系統管理員的負擔。ManHunt提供自動化回應系統，使用追蹤技術（TrackBack）自動的追蹤攻擊進入點，不但快速做出反應，有效攔截DoS攻擊，也保護系統安全，節省管理人員的時間。此外，政策型回應、攻擊行為檢查及支援CVE（Common Vulnerabilitiesand Exposures）等功能，都提供安全管理人員足夠的資訊，以發現最狡詐的攻擊。

ManHunt對於入侵的處理有下列幾種回應方式，包括通報（Notification）、連線終止（Session Termination）、事件過濾器與目標通訊記錄（Event Filters and Targeted Traffic Recording）、QoS過濾器建議（QoS Filter Recommendations）、流量追蹤（FlowChaser）、反向追蹤（TrackBack）及遞交（Handoff）。

「通報」是IDS產品的標準元件之一，當系統管理員沒有坐在IDS主控臺之前，就需要靠它來知道發生什麼狀況。許多 IDS 產品的偵測和通報使用相同的介面，因此在DoS攻擊時根本無法產生作用。ManHunt的通報使用完全獨立的介面，在傳送時會比較順利。由於IDS會先執行許多用來保護系統的自動化回應，所以通報可能被排在之後的順位，系統可能會傳送該威脅已被處理的通報給系統管理員。系統也有提供客製化回應選項，可以手機簡訊通知管理員。

當攻擊類別屬於試圖入侵的時候，ManHunt 可選擇「連線終止」，藉由傳送 TCP Reset 指令來完成，停止惡意的連線。

記錄完整的問題封包是快速判斷與有效分析攻擊特性的關鍵。ManHunt在偵測到異常或具備攻擊特徵的事件時，便能擷取整個封包。在偵測到特定事件時，系統會啟動流量記錄，包括來源與目的通訊埠、IP位址、通訊協定類型（TCP、UDP、ICMP）、封包大小及時間周期等資料，讓資訊安全專家可以擷取到所有資料。

流量追蹤的資訊會傳送到主控臺進行分析，確認DDoS攻擊（Distributed Denial of Service Attacks，分散式阻斷服務攻擊）的來源，而「QoS過濾器」則整合主控臺的回應政策，建議適合的動作，例如手動修改路由器的存取控制清單（ACL）來控制攻擊流量。

要高速監控網路並判斷是否有DDoS攻擊存在，這是相當複雜的功能。為了追蹤攻擊來源，ManHunt使用「流量追蹤」的元件擷取Cisco路由器所提供的NetFlow資料，達到流量偵測和流量分析。NetFlow的資料也為「反向追蹤」提供額外的通訊狀況資訊，經過分析後可快速判斷DoS攻擊的進入點。

若裝置沒有內建NetFlow功能，ManHunt也可以利用「反向追蹤」繼續追蹤來源。反向追蹤是一種流量追蹤機制，可用來判斷網路流量的來源，即使來源位址是偽造的，也能提供真正通訊來源的相關資訊，讓系統管理員更有效地限制攻擊來源。

ManHunt設計成可以跨越系統管理界限，用以傳送和接收追蹤資訊，這些資訊會直接「遞交」給上游 ManHunt 主機，並使用經過驗證的安全訊息。上游的ManHunt會為這個攻擊事件產生一個資安事端，並透過網路啟動自己的流量追蹤處理程序。

強調管理能力，自訂註解和標記事件
支援4張Gigabit或12張10/100 Mbps網路卡
單靠NIDS不夠力，共同防範才安全

就像防火牆一樣，我們也必須為IDS建立規則。但不同的廠商可能使用不同的術語，例如eTrust Intrusion Detection用規則（rules），而ManHunt則使用政策（policies）。大多數的IDS程式都有內建的規則，但管理者最好編輯現有的規則，並且增加新的規則來保護企業網路環境。

政策式回應（自動回應）可將處理威脅所需的時間減到最低，提升資安事端的管理效率。常見的攻擊類型可以直接從IDS執行政策，停止潛在的已知威脅，不需系統管理員介入。企業級的IDS通常有上百條的政策，並可概分為網路異常和網路誤用兩大類。

資安事端的管理是安全解決方案的一部分，必須能協助組織管理威脅資訊流、發現計畫性攻擊，並提供較高層次的防護能力。利用自動化管理才能有效管理所有資安事端。ManHunt能夠「標記」及整理資安事端，讓管理者輕鬆檢視已經解決的資安事端，或者自訂註解，也可以直接將它移除，對於「待辦事項」的資安事端，也會清楚指出有哪些需要特別注意。

報表是安全團隊成員共享整體資料，提升整體安全專業技能的一種方式。ManHunt的報表有很多種形式，包括活動記錄、攻擊趨勢及交叉比對等分析資料，並有21種格式。透過報表功能，安全管理員可以將資安事端類型分組，將這類攻擊導向同一組資源，也可以讓系統管理員找出相關主題的專家，讓全體資訊安全團隊分配資訊安全責任，建立團隊內的資訊安全協定。

NIDS本身應該具有相當高的安全性，但與NIDS相關的系統都有可能會受到攻擊。如果感測器與控制臺間的通訊採用明碼或簡單的加密，則可能遭受IP欺騙攻擊（IP、TCP、ARP Spoofing），影響系統正常使用。相同叢集中的ManHunt節點會透過AES-256安全加密通訊協定傳遞資料。

ManHunt主機之間的所有通訊，會由連接到主機硬體的實體安全符記進行驗證。如果需要ManHunt主機之間能夠通訊，也可以讓各主機彼此登錄驗證，主機只會回應已登錄的ManHunt。

我們可以採用iButton token來進行安全通訊。iButton是連接到主機的選用性硬體元件，符合FIPS 140-1標準，可用做數位憑證，防範日誌記錄遭到竄改。iButton儲存憑證的私密金鑰部分，公開金鑰則使用磁片。

網路安全設備的處理速度是影響網路性能的一大瓶頸，如果NIDS的檢測速度跟不上網路資料的傳輸速度，就會漏掉其中的封包，進而導致漏報，影響系統的準確性和有效性。IDS中不僅要擷取網路的每一個封包，並分析其中是否具有特定的攻擊特徵，這都需要花費大量的時間和系統資源。

在企業網路中，多個ManHunt節點可以結合成為一個ManHunt叢集，彼此共同運作並共用事件資料，一個叢集最多可以包含100個ManHunt節點，這些節點可以遍布在多個網路區段中。即使是在Gigabit乙太網路，ManHunt可以2Gbps的流量監控網路設備，最多支援4張Gigabit或12張10/100 Mbps網路卡，相信可以符合企業組織內各層級的建置需求。

現在高階的交換器都提供監聽埠，NIDS可以連接到監聽埠上。但全雙工的交換器受到攻擊時，網路流量會大增，使得被監聽埠流量總和超過監聽埠上限，導致封包丟失。ManHunt透過copy ports收集來自交換器的偵測資料，減少需要管理和維護的偵測器數量。copy port會將拓樸中定義的交換器介面流量映射至ManHunt節點定義的介面，內定每8分鐘會動態更換到下一個埠，以便偵測器監聽上面的流量。

當偵測器偵測到攻擊，或是有關可疑攻擊的另一個ManHunt遞交資訊，這些資訊會傳遞到流量追?上，並採用最佳化的方式儲存資料，以加速追蹤程序，並提供攻擊者與受害者主機的流量資訊。

NIDS很容易建置與執行，適合阻止掃描和拒絕服務攻擊，但是也有不足的地方，例如NIDS不能處理加密後的資料，如果傳輸的資料被加密，採用SSH、HTTPS或加密的壓縮檔（ZIP、RAR）都可以防止NIDS檢測。

而且NIDS對處理升級非法帳號、破壞策略和篡改日誌的效果不大，掃描大型網路時更會使主機性能驟降，對於大型、複雜的網路，還需要其他的IDS配合。例如HIDS除了可以補足NIDS某些先天上的不足，也可以用來加強網路安全防護機制的縱深。