cs.Phontol.com IDS的技术手段其实并不很神秘,接下来本文会用一种“顺藤摸瓜”的脉络,给大家介绍一个较简单的IDS入门级构架。cs.Phontol.com从市场分布、入手难易的角度来看,选择NIDS作为范例进行部署,比较地恰当。cs.Phontol.com本文以完全的Windows平台来贯穿整个入侵检测流程,由于篇幅所限,以定性分析角度来陈述。cs.Phontol.com
cs.Phontol.com 预备知识
cs.Phontol.com IDS:Intrusion Detection System(入侵检测系统),通过收集网络系统信息来进行入侵检测分析的软件与硬件的智能组合。cs.Phontol.com
cs.Phontol.com 对IDS进行标准化工作的两个组织:作为国际互联网标准的制定者IETF的Intrusion Detection working Group(IDWG,入侵检测工作组)和Common Intrusion Detection Framework(CIDF,通用入侵检测框架)。cs.Phontol.com
cs.Phontol.com IDS分类:Network IDS(基于网络)、Host-based IDS(基于主机)、Hybrid IDS(混合式)、Consoles IDS(控制台)、File Integrity Checkers(文件完整性检查器)、Honeypots(蜜罐)。cs.Phontol.com事件产生系统
cs.Phontol.com 根据CIDF阐述入侵检测系统(IDS)的通用模型思想,具备所有要素、最简单的入侵检测组件如图所示。cs.Phontol.com根据CIDF规范,将IDS需要分析的数据统称为Event(事件),Event既可能是网络中的Data Packets(数据包),也可能是从System Log等其他方式得到的Information(信息)。cs.Phontol.com
cs.Phontol.com 没有数据流进(或数据被采集),IDS就是无根之木,完全无用武之地。cs.Phontol.com
cs.Phontol.com 作为IDS的基层组织,事件产生系统大可施展拳脚,它收集被定义的所有事件,然后一股脑地传到其它组件里。cs.Phontol.com在Windows环境下,目前比较基本的做法是使用Winpcap和WinDump。cs.Phontol.com
cs.Phontol.com 大家知道,对于事件产生和事件分析系统来说,眼下流行采用Linux和Unix平台的软件和程序;其实在Windows平台中,也有类似Libpcap(是Unix或Linux从内核捕获网络数据包的必备软件)的工具即Winpcap。cs.Phontol.com
cs.Phontol.com Winpcap是一套免费的, 基于Windows的网络接口API,把网卡设置为“混杂”模式,然后循环处理网络捕获的数据包。cs.Phontol.com其技术实现简单,可移植性强,与网卡无关,但效率不高,适合在100 Mbps以下的网络
Phontol.com
Phontol.com
Phontol.com
[1] [2] [3] [4] [下一页]prog.Phontol.com
温馨提示:
声明:非本站原创内容和本站转载内容,其版权所有权属于原版权持有人所有。