關于我們 我們的服務 在線報修 電腦維修技能培訓 技術支持 | 維修技巧 | 驅動下載 跳蚤市場、二手交換 維修論壇
 菜鳥入門
 應用技巧
 視頻講解
 電腦英語
 網絡案例
 病毒案例
 硬件案例
 軟件案例
 產品評測
 維修技巧
 數據恢復
 電腦商情
 網站建設
 網絡知識
 網絡安全
 通訊世界
 

 資料檢索:

如何構建一個入侵檢測系統(IDS)  [2004-05-28]
 通常來說,一個企業或機構準備進軍此領域時,往往選擇從基于網絡的IDS入手,因為網上有很多這方面的開放源代碼和資料,實現起來比較容易,并且,基于網絡的IDS適應能力強。有了簡單網絡IDS的開發經驗,再向基于主機的IDS、分布式IDS、智能IDS等方面邁進的難度就小了很多。在此,筆者將以基于網絡的IDS為例,介紹典型的IDS開發思路。

  根據CIDF規范,我們從功能上將入侵檢測系統劃分為四個基本部分:數據采集子系統、數據分析子系統、控制臺子系統、數據庫管理子系統,如附圖所示。

  具體實現起來,一般都將數據采集子系統(又稱探測器)和數據分析子系統在Linux或Unix平臺上實現,我們稱之為數據采集分析中心;將控制臺子系統在Windows NT或2000上實現,數據庫管理子系統基于Access或其他功能更強大的數據庫,多跟控制臺子系統結合在一起,我們稱之為控制管理中心。本文以Linux和Windows NT平臺為例介紹數據采集分析中心和控制管理中心的實現。

  可以按照如下步驟構建一個基本的入侵檢測系統。
 
  第一步 獲取libpcap和tcpdump
 
  審計蹤跡是IDS的數據來源,而數據采集機制是實現IDS的基礎,否則,巧婦難為無米之炊,入侵檢測就無從談起。

  數據采集子系統位于IDS的最底層,其主要目的是從網絡環境中獲取事件,并向其他部分提供事件。目前比較流行的做法是:使用libpcap和tcpdump,將網卡置于“混雜”模式,捕獲某個網段上所有的數據流。

  libpcap是Unix或Linux從內核捕獲網絡數據包的必備工具,它是獨立于系統的API接口,為底層網絡監控提供了一個可移植的框架,可用于網絡統計收集、安全監控、網絡調試等應用。

  tcpdump是用于網絡監控的工具,可能是Unix上最著名的sniffer了,它的實現基于libpcap接口,通過應用布爾表達式打印數據包首部,具體執行過濾轉換、包獲取和包顯示等功能。tcpdump可以幫助我們描述系統的正常行為,并最終識別出那些不正常的行為,當然,它只是有益于收集關于某網段上的數據流(網絡流類型、連接等)信息,至于分析網絡活動是否正常,那是程序員和管理員所要做的工作。

  libpcap和tcpdump在網上廣為流傳,開發者可以到相關網站下載。

3264次點擊.

━━━━━━━━━━ 相關資料 ━━━━━━━━━━


26选5福利彩票 1
  網站簡介  |  版權聲明  |  提供服務  |  設為首頁  |   加入收藏夾  |  聯系方式
 
Copyright© 2000 - 2013 SzFix.Com,Szserve.com, All Rights Reserved  [深圳電腦維修] 版權所有
  技術支持:深圳電腦維修互聯網絡安全部   粵ICP證08005522號-1
  違法和不良信息舉報中心  服務電話:0755-61315816
vti_encoding:SR|utf8-nl vti_timelastmodified:TR|20 Dec 2002 07:29:36 -0000 vti_extenderversion:SR|4.0.2.6513 vti_cacheddtm:TX|20 Dec 2002 07:29:36 -0000 vti_filesize:IR|8657 vti_cachedlinkinfo:VX| vti_cachedsvcrellinks:VX| vti_cachedtitle:SR|ASP鎺㈤拡V1.51 vti_title:SR|ASP鎺㈤拡V1.51 vti_cachedbodystyle:SR| vti_cachedhasbots:BR|false vti_cachedhastheme:BR|false vti_cachedhasborder:BR|false vti_metatags:VR|HTTP-EQUIV=Content-Type text/html;\\ charset=gb2312 vti_backlinkinfo:VX|