小说阅读网免费小说,绝色狂妃仙魅小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案

如何構(gòu)建入門(mén)級(jí)IDS

IDS作為網(wǎng)絡(luò)安全產(chǎn)品受到各大企業(yè)的關(guān)注，但是因?yàn)镮DS產(chǎn)品價(jià)格居高致使許多中小型企業(yè)沒(méi)有能力購(gòu)進(jìn)如此昂貴的系統(tǒng)，它們的精力會(huì)放在路由器、防火墻以及3層以上交換機(jī)的加固上；大中型企業(yè)雖然很多已經(jīng)上了IDS產(chǎn)品，但I(xiàn)DS天然的缺陷導(dǎo)致其似乎無(wú)所作為。但I(xiàn)DS作為企業(yè)來(lái)說(shuō)是一個(gè)必需的過(guò)程，那么我們?nèi)绾尾拍芾蒙倭康馁Y金來(lái)達(dá)到自己的安全防護(hù)效果呢？本文簡(jiǎn)單講述了如何構(gòu)建入門(mén)級(jí)IDS系統(tǒng)。

站在用戶的角度思考問(wèn)題，與客戶深入溝通，找到商河網(wǎng)站設(shè)計(jì)與商河網(wǎng)站推廣的解決方案，憑借多年的經(jīng)驗(yàn)，讓設(shè)計(jì)與互聯(lián)網(wǎng)技術(shù)結(jié)合，創(chuàng)造個(gè)性化、用戶體驗(yàn)好的作品，建站類(lèi)型包括：做網(wǎng)站、成都網(wǎng)站設(shè)計(jì)、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣、空間域名、雅安服務(wù)器托管、企業(yè)郵箱。業(yè)務(wù)覆蓋商河地區(qū)。

其實(shí)IDS的技術(shù)手段并不很神秘，接下來(lái)我們用一種“順藤摸瓜”的脈絡(luò)，看看構(gòu)建入門(mén)級(jí)IDS需要哪些步驟。從市場(chǎng)分布、入手難易的角度來(lái)看，選擇NIDS作為范例進(jìn)行部署，比較地恰當(dāng)。本文以完全的Windows平臺(tái)來(lái)貫穿整個(gè)入侵檢測(cè)流程，由于篇幅所限，以定性分析角度來(lái)陳述。

預(yù)備知識(shí)

IDS：Intrusion Detection System（入侵檢測(cè)系統(tǒng)），通過(guò)收集網(wǎng)絡(luò)系統(tǒng)信息來(lái)進(jìn)行入侵檢測(cè)分析的軟件與硬件的智能組合。

對(duì)IDS進(jìn)行標(biāo)準(zhǔn)化工作的兩個(gè)組織：作為國(guó)際互聯(lián)網(wǎng)標(biāo)準(zhǔn)的制定者IETF的Intrusion Detection Working Group（IDWG，入侵檢測(cè)工作組）和Common Intrusion Detection Framework（CIDF，通用入侵檢測(cè)框架）。

IDS分類(lèi)：Network IDS（基于網(wǎng)絡(luò)）、Host-Based IDS（基于主機(jī)）、Hybrid IDS（混合式）、Consoles IDS（控制臺(tái)）、File Integrity Checkers（文件完整性檢查器）、Honeypots（蜜罐）。事件產(chǎn)生系統(tǒng)

根據(jù)CIDF闡述入侵檢測(cè)系統(tǒng)（IDS）的通用模型思想，具備所有要素、最簡(jiǎn)單的入侵檢測(cè)組件。根據(jù)CIDF規(guī)范，將IDS需要分析的數(shù)據(jù)統(tǒng)稱為Event（事件），Event既可能是網(wǎng)絡(luò)中的Data Packets（數(shù)據(jù)包），也可能是從System Log等其他方式得到的Information（信息）。

沒(méi)有數(shù)據(jù)流進(jìn)（或數(shù)據(jù)被采集），IDS就是無(wú)根之木，完全無(wú)用武之地。

作為IDS的基層組織，事件產(chǎn)生系統(tǒng)大可施展拳腳，它收集被定義的所有事件，然后一股腦地傳到其它組件里。在Windows環(huán)境下，目前比較基本的做法是使用Winpcap和Windump。

大家知道，對(duì)于事件產(chǎn)生和事件分析系統(tǒng)來(lái)說(shuō)，眼下流行采用Linux和Unix平臺(tái)的軟件和程序；其實(shí)在Windows平臺(tái)中，也有類(lèi)似Libpcap（是Unix或Linux從內(nèi)核捕獲網(wǎng)絡(luò)數(shù)據(jù)包的必備軟件）的工具即Winpcap。

Winpcap是一套免費(fèi)的，基于Windows的網(wǎng)絡(luò)接口API，把網(wǎng)卡設(shè)置為“混雜”模式，然后循環(huán)處理網(wǎng)絡(luò)捕獲的數(shù)據(jù)包。其技術(shù)實(shí)現(xiàn)簡(jiǎn)單，可移植性強(qiáng)，與網(wǎng)卡無(wú)關(guān)，但效率不高，適合在100 mbps以下的網(wǎng)絡(luò)

相應(yīng)的基于Windows的網(wǎng)絡(luò)嗅探工具是Windump（是Linux/Unix平臺(tái)的Tcpdump在Windows上的移植版），這個(gè)軟件必須基于Winpcap接口（這里有人形象地稱Winpcap為：數(shù)據(jù)嗅探驅(qū)動(dòng)程序）。使用Windump，它能把匹配規(guī)則的數(shù)據(jù)包的包頭給顯示出來(lái)。你能使用這個(gè)工具去查找網(wǎng)絡(luò)問(wèn)題或者去監(jiān)視網(wǎng)絡(luò)上的狀況，可以在一定程度上有效監(jiān)控來(lái)自網(wǎng)絡(luò)上的安全和不安全的行為。

這兩個(gè)軟件在網(wǎng)上都可以免費(fèi)地找到，讀者還可以查看相關(guān)軟件使用教程。

下面大略介紹一下建立事件探測(cè)及采集的步驟

1、裝配軟件和硬件系統(tǒng)。根據(jù)網(wǎng)絡(luò)繁忙程度決定是否采用普通兼容機(jī)或性能較高的專(zhuān)用服務(wù)器；安裝nt核心的Windows操作系統(tǒng)，推薦使用Windows Server 2003企業(yè)版，如果條件不滿足也可使用Windows 2000 advanced Server。分區(qū)格式建議為ntfs格式。

2、服務(wù)器的空間劃分要合理有效，執(zhí)行程序的安裝、數(shù)據(jù)日志的存儲(chǔ)，兩者空間最好分別放置在不同分區(qū)。

3、Winpcap的簡(jiǎn)單實(shí)現(xiàn)。首先安裝它的驅(qū)動(dòng)程序，可以到它的主頁(yè)或鏡像站點(diǎn)下載Winpcap auto-installer (driver+dlls)，直接安裝。

注：如果用Winpcap做開(kāi)發(fā)，還需要下載 developer's pack。

Winpcap 包括三個(gè)模塊：第一個(gè)模塊NPF（netgroup packet filter），是一個(gè)VXD（虛擬設(shè)備驅(qū)動(dòng)程序）文件。其功能是過(guò)濾數(shù)據(jù)包，并把這些包完好無(wú)損地傳給用戶態(tài)模塊。第二個(gè)模塊packet.dll為win32平臺(tái)提供了一個(gè)公共接口，架構(gòu)在packet.dll之上，提供了更方便、更直接的編程方法。第三個(gè)模塊 wpcap.dll不依賴于任何操作系統(tǒng)，是底層的動(dòng)態(tài)鏈接庫(kù)，提供了高層、抽象的函數(shù)。具體使用說(shuō)明在各大網(wǎng)站上都有涉及，如何更好利用Winpcap需要較強(qiáng)的C環(huán)境編程能力。

4、Windump的創(chuàng)建。安裝后，在Windows命令提示符模式下運(yùn)行，用戶自己可以查看網(wǎng)絡(luò)狀態(tài)，恕不贅述。

如果沒(méi)有軟件兼容性問(wèn)題、安裝和配置正確的話，構(gòu)建入門(mén)級(jí)IDS中的第一步，事件探測(cè)及采集已能實(shí)現(xiàn)。

事件分析系統(tǒng)

由于我們的網(wǎng)絡(luò)大都用交換式以太網(wǎng)交換機(jī)連接，所以建立事件分析系統(tǒng)的目的是實(shí)現(xiàn)對(duì)多種網(wǎng)絡(luò)防火墻設(shè)備的探測(cè)，以及多種采集方式（如基于Snmp、Syslog數(shù)據(jù)信息的采集）日志的支持，并提供一定的事件日志處理，統(tǒng)計(jì)、分析和查詢功能。

事件分析系統(tǒng)是IDS的核心模塊，主要功能是對(duì)各種事件進(jìn)行分析，從中發(fā)現(xiàn)違反安全策略的行為，如何建立是重點(diǎn)也是難點(diǎn)。如果自己能或與人合作編寫(xiě)軟件系統(tǒng)，就需要做好嚴(yán)謹(jǐn)?shù)那捌陂_(kāi)發(fā)準(zhǔn)備，如對(duì)網(wǎng)絡(luò)協(xié)議、黑客攻擊、系統(tǒng)漏洞有著比較清晰的認(rèn)識(shí)，接著開(kāi)始制定規(guī)則和策略，它應(yīng)該基于標(biāo)準(zhǔn)的技術(shù)標(biāo)準(zhǔn)和規(guī)范，然后優(yōu)化算法以提高執(zhí)行效率，建立檢測(cè)模型，可以模擬進(jìn)行攻擊及分析過(guò)程。

事件分析系統(tǒng)把檢測(cè)引擎駐留在監(jiān)視網(wǎng)段中，一般通過(guò)三種技術(shù)手段進(jìn)行分析：模式匹配、協(xié)議分析和行為分析。當(dāng)檢測(cè)到某種誤用模式時(shí)，產(chǎn)生對(duì)應(yīng)的警告信息并發(fā)送給響應(yīng)系統(tǒng)。目前來(lái)看，使用協(xié)議分析是實(shí)時(shí)檢測(cè)的最好方式。

這個(gè)系統(tǒng)一種可能的方式是由協(xié)議分析器作為主體，可以在現(xiàn)成的、開(kāi)放式的協(xié)議分析工具包基礎(chǔ)上來(lái)構(gòu)建；協(xié)議分析器可以顯示分組級(jí)網(wǎng)絡(luò)傳輸流，基于網(wǎng)絡(luò)協(xié)議規(guī)則的警告進(jìn)行自動(dòng)分析來(lái)快速探測(cè)攻擊的存在；由此，網(wǎng)絡(luò)程序員和管理員可監(jiān)控并分析網(wǎng)絡(luò)活動(dòng)，從而主動(dòng)檢測(cè)并定位故障。用戶可以嘗試一下一個(gè)叫ethereal的免費(fèi)網(wǎng)絡(luò)協(xié)議分析器，它支持Windows系統(tǒng)。用戶可以對(duì)由事件產(chǎn)生系統(tǒng)抓取后保存在硬盤(pán)上的數(shù)據(jù)進(jìn)行分析。你能交互式地瀏覽抓取到的數(shù)據(jù)包，查看每一個(gè)數(shù)據(jù)包的摘要和詳細(xì)信息。Ethereal有多種強(qiáng)大的特征，如支持幾乎所有的協(xié)議、豐富的過(guò)濾語(yǔ)言、易于查看TCP會(huì)話經(jīng)重構(gòu)后的數(shù)據(jù)流等。

響應(yīng)系統(tǒng)

響應(yīng)系統(tǒng)是面向人、物的交互系統(tǒng)，可以說(shuō)是整個(gè)系統(tǒng)的中轉(zhuǎn)站和協(xié)調(diào)站。人即是系統(tǒng)管理員、物是其他所有組件。詳細(xì)說(shuō)來(lái)，響應(yīng)系統(tǒng)這個(gè)協(xié)調(diào)員要做的事很多：按照預(yù)置定義的方式，記錄安全事件、產(chǎn)生報(bào)警信息（如E-mail形式）、記錄附加日志、隔離入侵者、終止進(jìn)程、禁止受害者的端口和服務(wù)、甚至反戈一擊；可以采取人工響應(yīng)和自動(dòng)響應(yīng)（基于機(jī)器的響應(yīng)），兩者結(jié)合起來(lái)會(huì)比較好。

響應(yīng)系統(tǒng)的設(shè)計(jì)要素

(1) 接受自事件產(chǎn)生系統(tǒng)經(jīng)事件分析系統(tǒng)過(guò)濾、分析、重建后的事件警報(bào)信息，然后交互給用戶（管理員）查詢并做出規(guī)則判斷和采取管理行為。

(2) 給管理員提供管理事件數(shù)據(jù)庫(kù)系統(tǒng)的一個(gè)接口，可以修改規(guī)則庫(kù)、根據(jù)不同網(wǎng)絡(luò)環(huán)境情況配置安全策略、讀寫(xiě)數(shù)據(jù)庫(kù)系統(tǒng)。

(3)作用于前端系統(tǒng)時(shí)，可管理事件產(chǎn)生、分析系統(tǒng)（合稱事件探測(cè)器），對(duì)該系統(tǒng)采集、探測(cè)、分析的事件進(jìn)行分類(lèi)、篩選，可針對(duì)不同安全狀況，重新對(duì)安全規(guī)則進(jìn)行洗牌。

響應(yīng)系統(tǒng)和事件探測(cè)器通常是以應(yīng)用程序的形式實(shí)現(xiàn)。

設(shè)計(jì)思路：響應(yīng)系統(tǒng)可分為兩個(gè)程序部分，監(jiān)聽(tīng)和控制。監(jiān)聽(tīng)部分綁定某個(gè)空閑端口，接收從事件探測(cè)器發(fā)出的分析結(jié)果和其他信息，并轉(zhuǎn)化存儲(chǔ)文件到事件數(shù)據(jù)庫(kù)系統(tǒng)中，作為管理員可根據(jù)用戶權(quán)限調(diào)用來(lái)只讀、修改以及特別的操作?？刂撇糠挚捎胓tk＋來(lái)編寫(xiě)gui，開(kāi)發(fā)出較為直觀的圖形用戶界面，目的主要是給用戶一個(gè)更方便友好的界面來(lái)瀏覽警告信息。

事件數(shù)據(jù)庫(kù)系統(tǒng)

在Windows平臺(tái)下，雖然Access更易掌握，但采用SQL Server 2000構(gòu)建會(huì)比Access有效，而且并不是很難入手，此系統(tǒng)主要功能：記錄、存儲(chǔ)、重排事件信息，可供管理員調(diào)用查看和對(duì)攻擊審查取證使用。

此系統(tǒng)構(gòu)造相對(duì)簡(jiǎn)單，只需利用到數(shù)據(jù)庫(kù)軟件的一些基本功能。

要協(xié)調(diào)各組件之間的有目的通信，各組件就必須能正確理解相互之間傳遞的各種數(shù)據(jù)的語(yǔ)義。可參考CIDF的通信機(jī)制，構(gòu)建3層模型。注意各個(gè)組件之間的互操作性，保證安全、高效、順暢。

整合在后續(xù)的工作中會(huì)不斷進(jìn)行，各個(gè)組件的功能也會(huì)不斷完善。我們已經(jīng)成功構(gòu)建入門(mén)級(jí)IDS系統(tǒng)。滿足網(wǎng)絡(luò)條件的話，試試親手做做自己的奶酪吧，有一種不可名狀的勞作后的甜蜜。

【編輯推薦】

通過(guò)網(wǎng)絡(luò)監(jiān)控檢測(cè)內(nèi)核入侵攻擊
交換機(jī)的無(wú)線與有線入侵檢測(cè)
如何在Linux下實(shí)現(xiàn)入侵檢測(cè)IDS
假想案例談?wù)揑PS系統(tǒng)部署
如何實(shí)現(xiàn)IPS系統(tǒng)深度檢測(cè)

本文題目：如何構(gòu)建入門(mén)級(jí)IDS
當(dāng)前網(wǎng)址：http://fisionsoft.com.cn/article/dphhoes.html

新聞中心

其他資訊