凯创 Dragon （主机传感器）

可伸缩、灵活的基于主机的入侵检测

　　Dragon 主机传感器是一个基于主机的入侵检测工具，可以监控某个系统、应用程序，包括当前最常用的操作系统，可以实时反馈恶意攻击、非正常行为，监控关键系统的日志文件，保存这些攻击记录。

　　Dragon 主机传感器可以直接部署在一台受保护的主机上（ on-host ）也可以部署在一台分析系统上，在这台机器上，可以通过 SNMP 或 syslog 从路由器、交换机或其它 IDS 中获取日志文件，然后进行分析。

　　Dragon 主机传感器利用不同的技术在一个受保护的系统当中分析外界攻击或误用，包括分析安全事件日期，检查重要配置文件的完整性，检查核心层安全，这些功能结合在一起确保没有误用能够逃过检测。

　　Dragon 主机传感器能够从大多数商业防火墙、路由器、交换机或其它入侵检测设备检查分析输出，分析这些设备、 Dragon 网络与主机传感器产生的事件之间的关系，并识别出哪些事件是最严重的，获知这些事件的来源和影响。此外， Dragon 主机传感器监控最容易被攻击的应用――例如： DNS 服务器、邮件服务器、 Web 服务器，包括微软的 IIS 和 Apache 。 Dragon 主机传感器，也能监控本地系统的新服务，用以监控由蠕虫或带外（ out-of-band ）安装的系统后门或者是非认证的程序。

　　利用一些特殊技术来识别潜在的攻击或经常出现的误用，主机传感器可以安装在专用的系统上，通过模拟一个假的 Web 服务器、 Telnet 服务器、邮件服务器，产生一个虚假的攻击警告。

　　此外， Dragon 主机传感器通过其内核监控模块等先进技术，来识别超户工具或者是缓冲溢出攻击。这个模块分析所有对内核的调用，识别出所有具有超户权限的内核工具――无论是已知的还是未知的，在攻击者全部清除其攻击路线之前，就可以识别出系统本身存在的危险。它也可以从成功的缓冲溢出中识别出异常权限状态。 Dragon 内核监控能力的本质是基于主机的入侵保护，避免这些主机向攻击者开放，而其它入侵保护系统并没有这种功能。