亚洲欧洲国产欧美一区精品,激情五月亚洲色五月,最新精品国偷自产在线婷婷,欧美婷婷丁香五月天社区

IDS的技術(shù)手段其實(shí)并不很神秘，接下來本文會(huì)用一種“順藤摸瓜”的脈絡(luò)，給大家介紹一個(gè)較簡(jiǎn)單的IDS入門級(jí)構(gòu)架。從市場(chǎng)分布、入手難易的角度來看，選擇NIDS作為范例進(jìn)行部署，比較地恰當(dāng)。本文以完全的Windows平臺(tái)來貫穿整個(gè)入侵檢測(cè)流程，由于篇幅所限，以定性分析角度來陳述。

　　預(yù)備知識(shí)

　　IDS：Intrusion Detection System（入侵檢測(cè)系統(tǒng)），通過收集網(wǎng)絡(luò)系統(tǒng)信息來進(jìn)行入侵檢測(cè)分析的軟件與硬件的智能組合。

　　對(duì)IDS進(jìn)行標(biāo)準(zhǔn)化工作的兩個(gè)組織：作為國(guó)際互聯(lián)網(wǎng)標(biāo)準(zhǔn)的制定者IETF的Intrusion Detection working Group（IDWG，入侵檢測(cè)工作組）和Common Intrusion Detection Framework（CIDF，通用入侵檢測(cè)框架）。

　　IDS分類：Network IDS（基于網(wǎng)絡(luò)）、Host-based IDS（基于主機(jī)）、Hybrid IDS（混合式）、Consoles IDS（控制臺(tái)）、File Integrity Checkers（文件完整性檢查器）、Honeypots（蜜罐）。事件產(chǎn)生系統(tǒng)

　　根據(jù)CIDF闡述入侵檢測(cè)系統(tǒng)（IDS）的通用模型思想，具備所有要素、最簡(jiǎn)單的入侵檢測(cè)組件如圖所示。根據(jù)CIDF規(guī)范，將IDS需要分析的數(shù)據(jù)統(tǒng)稱為Event（事件），Event既可能是網(wǎng)絡(luò)中的Data Packets（數(shù)據(jù)包），也可能是從System Log等其他方式得到的Information（信息）。

　　沒有數(shù)據(jù)流進(jìn)（或數(shù)據(jù)被采集），IDS就是無根之木，完全無用武之地。

　　作為IDS的基層組織，事件產(chǎn)生系統(tǒng)大可施展拳腳，它收集被定義的所有事件，然后一股腦地傳到其它組件里。在Windows環(huán)境下，目前比較基本的做法是使用Winpcap和WinDump。

　　大家知道，對(duì)于事件產(chǎn)生和事件分析系統(tǒng)來說，眼下流行采用linux和Unix平臺(tái)的軟件和程序；其實(shí)在Windows平臺(tái)中，也有類似Libpcap（是Unix或Linux從內(nèi)核捕獲網(wǎng)絡(luò)數(shù)據(jù)包的必備軟件）的工具即Winpcap。

　　Winpcap是一套免費(fèi)的， 基于Windows的網(wǎng)絡(luò)接口API，把網(wǎng)卡設(shè)置為“混雜”模式，然后循環(huán)處理網(wǎng)絡(luò)捕獲的數(shù)據(jù)包。其技術(shù)實(shí)現(xiàn)簡(jiǎn)單，可移植性強(qiáng)，與網(wǎng)卡無關(guān)，但效率不高，適合在100 Mbps以下的網(wǎng)絡(luò)

　　相應(yīng)的基于Windows的網(wǎng)絡(luò)嗅探工具是WinDump（是Linux/Unix平臺(tái)的Tcpdump在Windows上的移植版），這個(gè)軟件必須基于Winpcap接口（這里有人形象地稱Winpcap為：數(shù)據(jù)嗅探驅(qū)動(dòng)程序）。使用WinDump，它能把匹配規(guī)則的數(shù)據(jù)包的包頭給顯示出來。你能使用這個(gè)工具去查找網(wǎng)絡(luò)問題或者去監(jiān)視網(wǎng)絡(luò)上的狀況，可以在一定程度上有效監(jiān)控來自網(wǎng)絡(luò)上的安全和不安全的行為。