入門級入侵檢測系統構架詳解

　從現實來看,市場上所大行其道的IDS產品價格從數十萬到數百萬不等,這種相對昂貴的奶酪被廣為詬病,所導致的結果就是:一般中小企業并不具備實施IDS產品的能力,它們的精力會放在路由器、防火墻以及3層以上交換機的加固上;大中型企業雖然很多已經上了IDS產品,但IDS天然的缺陷導致其似乎無所作為.但我們還不能就此喜新厭舊,因為IDS是必需的一個過程,具有IDS功能的IPS很可能在幾年后徹底取代單一性IDS的市場主導地位,從被動應戰到主動防御是大勢所趨.

　　其實IDS的技術手段并不很神秘,接下來本文會用一種"順藤摸瓜"的脈絡,給大家介紹一個較簡單的IDS入門級構架.從市場分布、入手難易的角度來看,選擇NIDS作為范例進行部署,比較地恰當.本文以完全的Windows平臺來貫穿整個入侵檢測流程,由于篇幅所限,以定性分析角度來陳述.

　　預備知識

　　IDS:Intrusion Detection System(入侵檢測系統),通過收集網絡系統信息來進行入侵檢測分析的軟件與硬件的智能組合.

　　對IDS進行標準化工作的兩個組織:作為國際互聯網標準的制定者IETF的Intrusion Detection working Group(IDWG,入侵檢測工作組)和Common Intrusion Detection Framework(CIDF,通用入侵檢測框架).

　　IDS分類:Network IDS(基于網絡)、Host-based IDS(基于主機)、Hybrid IDS(混合式)、Consoles IDS(控制臺)、File Integrity Checkers(文件完整性檢查器)、Honeypots(蜜罐).事件產生系統

　　根據CIDF闡述入侵檢測系統(IDS)的通用模型思想,具備所有要素、最簡單的入侵檢測組件如圖所示.根據CIDF規范,將IDS需要分析的數據統稱為Event(事件),Event既可能是網絡中的Data Packets(數據包),也可能是從System Log等其他方式得到的Information(信息).

　　沒有數據流進(或數據被采集),IDS就是無根之木,完全無用武之地.

　　作為IDS的基層組織,事件產生系統大可施展拳腳,它收集被定義的所有事件,然后一股腦地傳到其它組件里.在Windows環境下,目前比較基本的做法是使用Winpcap和WinDump.

　　大家知道,對于事件產生和事件分析系統來說,眼下流行采用Linux和Unix平臺的軟件和程序;其實在Windows平臺中,也有類似Libpcap(是Unix或Linux從內核捕獲網絡數據包的必備軟件)的工具即Winpcap.

　　Winpcap是一套免費的, 基于Windows的網絡接口API,把網卡設置為"混雜"模式,然后循環處理網絡捕獲的數據包.其技術實現簡單,可移植性強,與網卡無關,但效率不高,適合在100 Mbps以下的網絡。

　相應的基于Windows的網絡嗅探工具是WinDump(是Linux/Unix平臺的Tcpdump在Windows上的移植版),這個軟件必須基于Winpcap接口(這里有人形象地稱Winpcap為:數據嗅探驅動程序).使用WinDump,它能把匹配規則的數據包的包頭給顯示出來.你能使用這個工具去查找網絡問題或者去監視網絡上的狀況,可以在一定程度上有效監控來自網絡上的安全和不安全的行為.

　　這兩個軟件在網上都可以免費地找到,讀者還可以查看相關軟件使用教程.

　　

文章來源于領測軟件測試網 http://www.kjueaiud.com/

TAG: 構架 入門 詳解 入侵檢測系統