如何构建一个入门级入侵检测系统(2) | |||||||||
---|---|---|---|---|---|---|---|---|---|
http://www.sina.com.cn 2004年12月23日 10:16 天极yesky | |||||||||
文/佚名 第二步 构建并配置探测器,实现数据采集功能 1. 应根据自己网络的具体情况,选用合适的软件及硬件设备,如果你的网络数据流量很小,用一般的PC机安装Linux即可,如果所监控的网络流量非常大,则需要用一台性能较
2. 在Linux服务器上开出一个日志分区,用于采集数据的存储。 3. 创建libpcap库。从网上下载的通常都是libpcap.tar.z的压缩包,所以,应先将其解压缩、解包,然后执行配置脚本,创建适合于自己系统环境的Makefile,再用make命令创建libpcap库。libpcap安装完毕之后,将生成一个libpcap库、三个include文件和一个man页面(即用户手册)。 4. 创建tcpdump。与创建libpcap的过程一样,先将压缩包解压缩、解包到与libpcap相同的父目录下,然后配置、安装tcpdump。 如果配置、创建、安装等操作一切正常的话,到这里,系统已经能够收集到网络数据流了。至于如何使用libpcap和tcpdump,还需要参考相关的用户手册。 第三步 建立数据分析模块 网上有一些开放源代码的数据分析软件包,这给我们构建数据分析模块提供了一定的便利条件,但这些“免费的午餐”一般都有很大的局限性,要开发一个真正功能强大、实用的IDS,通常都需要开发者自己动手动脑设计数据分析模块,而这往往也是整个IDS的工作重点。 数据分析模块相当于IDS的大脑,它必须具备高度的“智慧”和“判断能力”。所以,在设计此模块之前,开发者需要对各种网络协议、系统漏洞、攻击手法、可疑行为等有一个很清晰、深入的研究,然后制订相应的安全规则库和安全策略,再分别建立滥用检测模型和异常检测模型,让机器模拟自己的分析过程,识别确知特征的攻击和异常行为,最后将分析结果形成报警消息,发送给控制管理中心。 设计数据分析模块的工作量浩大,并且,考虑到“道高一尺,魔高一丈”的黑客手法日益翻新,所以,这注定是一个没有终点的过程,需要不断地更新、升级、完善。在这里需要特别注意三个问题: ① 应优化检测模型和算法的设计,确保系统的执行效率; ② 安全规则的制订要充分考虑包容性和可扩展性,以提高系统的伸缩性; ③ 报警消息要遵循特定的标准格式,增强其共享与互操作能力,切忌随意制订消息格式的不规范做法。
[上一页]  [1]  [2]  [3]  [下一页]
|