IDS要有效地捕捉入侵行为，必须拥有一个强大的入侵特征数据库，这就如同公安部门必须拥有健全的罪犯信息库一样。但是，IDS一般所带的特征数据库都比较死板，遇到“变脸”的入侵行为往往相逢不相识。因此，管理员有必要学会如何创建满足实际需要的特征数据样板，做到万变应万变！本文将对入侵特征的概念、种类以及如何创建特征进行介绍，希望能帮助读者尽快掌握对付“变脸”的方法。

　　一、特征（signature）的基本概念

　　IDS中的特征就是指用于判别通讯信息种类的样板数据，通常分为多种，以下是一些典型情况及识别方法：

　　来自保留IP地址的连接企图：可通过检查IP报头（IP header）的来源地址轻易地识别。

　　带有非法TCP 标志联合物的数据包：可通过对比TCP报头中的标志集与已知正确和错误标记联合物的不同点来识别。

　　含有特殊病毒信息的Email：可通过对比每封Email的主题信息和病态Email的主题信息来识别，或者，通过搜索特定名字的附近来识别。

　　查询负载中的DNS缓冲区溢出企图：可通过解析DNS域及检查每个域的长度来识别利用DNS域的缓冲区溢出企图。还有另外一个识别方法是：在负载中搜索“壳代码利用”（exploit shellcode）的序列代码组合。

　　通过对POP3服务器发出上千次同一命令而导致的DoS攻击：通过跟踪记录某个命令连续发出的次数，看看是否超过了预设上限，而发出报警信息。　　

　　未登录情况下使用文件和目录命令对FTP服务器的文件访问攻击：通过创建具备状态跟踪的特征样板以监视成功登录的FTP对话、发现未经验证却发命令的入侵企图。

　　从以上分类可以看出特征的涵盖范围很广，有简单的报头域数值、有高度复杂的连接状态跟踪、有扩展的协议分析。一叶即可知秋，本文将从最简单的特征入手，详细讨论其功能及开发、定制方法。

　　另外请注意：不同的IDS产品具有的特征功能也有所差异。例如：有些网络IDS系统只允许很少地定制存在的特征数据或者编写需要的特征数据，另外一些则允许在很宽的范围内定制或编写特征数据，甚至可以是任意一个特征；一些IDS系统只能检查确定的报头或负载数值，另外一些则可以获取任何信息包的任何位置的数据。

　　二、特征有什么作用？

　　这似乎是一个答案很明显的问题：特征是检测数据包中的可疑内容是否真正“不可就要”的样板，也就是“坏分子克隆”。IDS系统本身就带有这个重要的部分，为什么还需要定制或编写特征呢？是这样：也许你经常看到一些熟悉的通讯信息流在网络上游荡，由于IDS系统的特征数据库过期或者这些通讯信息本身就不是攻击或探测数据，IDS系统并没有对它们进行关注，而这时你的好奇心升起，想在这些可疑数据再次经由时发出报警，想捕捉它们、仔细看看它们到底来自何方、有何贵干，因此，唯一的办法就是对现有特征数据库进行一些定制配置或者编写新的特征数据了。

　　特征的定制或编写程度可粗可细，完全取决于实际需求。或者是只判断是否发生了异常行为而不确定具体是什么攻击名号，从而节省资源和时间；或者是判断出具体的攻击手段或漏洞利用方式，从而获取更多的信息。我感觉，前者适用于领导同志，后者需要具体做事者使用，宏观加微观，敌人别想遛进来！