国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

如何構(gòu)建一個入門級入侵檢測系統(tǒng)分類：電腦技巧 |被2人轉(zhuǎn)藏 | 2009-12-15 17:35:57來“口袋推推”看有多少人在關(guān)注你！可以按照如下步驟構(gòu)建一個基本的入侵檢測系統(tǒng)。第一步 獲取Libpcap和Tcpdump審計蹤跡是IDS的數(shù)據(jù)來源，而數(shù)據(jù)采集機(jī)制是實現(xiàn)IDS的基礎(chǔ)，否則，巧婦難為無米之炊，入侵檢測就無從談起。數(shù)據(jù)采集子系統(tǒng)位于IDS的最底層，其主要目的是從網(wǎng)絡(luò)環(huán)境中獲取事件，并向其他部分提供事件。目前比較流行的做法是：使用Libpcap和Tcpdump，將網(wǎng)卡置于“混雜”模式，捕獲某個網(wǎng)段上所有的數(shù)據(jù)流。Libpcap是Unix或Linux從內(nèi)核捕獲網(wǎng)絡(luò)數(shù)據(jù)包的必備工具，它是獨(dú)立于系統(tǒng)的API接口，為底層網(wǎng)絡(luò)監(jiān)控提供了一個可移植的框架，可用于網(wǎng)絡(luò)統(tǒng)計收集、安全監(jiān)控、網(wǎng)絡(luò)調(diào)試等應(yīng)用。Tcpdump是用于網(wǎng)絡(luò)監(jiān)控的工具，可能是Unix上最著名的Sniffer了，它的實現(xiàn)基于Libpcap接口，通過應(yīng)用布爾表達(dá)式打印數(shù)據(jù)包首部，具體執(zhí)行過濾轉(zhuǎn)換、包獲取和包顯示等功能。Tcpdump可以幫助我們描述系統(tǒng)的正常行為，并最終識別出那些不正常的行為，當(dāng)然，它只是有益于收集關(guān)于某網(wǎng)段上的數(shù)據(jù)流（網(wǎng)絡(luò)流類型、連接等）信息，至于分析網(wǎng)絡(luò)活動是否正常，那是程序員和管理員所要做的工作。Libpcap和Tcpdump在網(wǎng)上廣為流傳，開發(fā)者可以到相關(guān)網(wǎng)站下載。第二步 構(gòu)建并配置探測器，實現(xiàn)數(shù)據(jù)采集功能1. 應(yīng)根據(jù)自己網(wǎng)絡(luò)的具體情況，選用合適的軟件及硬件設(shè)備，如果你的網(wǎng)絡(luò)數(shù)據(jù)流量很小，用一般的PC機(jī)安裝Linux即可，如果所監(jiān)控的網(wǎng)絡(luò)流量非常大，則需要用一臺性能較高的機(jī)器。2. 在Linux服務(wù)器上開出一個日志分區(qū)，用于采集數(shù)據(jù)的存儲。3. 創(chuàng)建Libpcap庫。從網(wǎng)上下載的通常都是Libpcap.tar.z的壓縮包，所以，應(yīng)先將其解壓縮、解包，然后執(zhí)行配置腳本，創(chuàng)建適合于自己系統(tǒng)環(huán)境的Makefile，再用Make命令創(chuàng)建Libpcap庫。Libpcap安裝完畢之后，將生成一個Libpcap庫、三個include文件和一個Man頁面（即用戶手冊）。4. 創(chuàng)建Tcpdump。與創(chuàng)建Libpcap的過程一樣，先將壓縮包解壓縮、解包到與Libpcap相同的父目錄下，然后配置、安裝Tcpdump。如果配置、創(chuàng)建、安裝等操作一切正常的話，到這里，系統(tǒng)已經(jīng)能夠收集到網(wǎng)絡(luò)數(shù)據(jù)流了。至于如何使用Libpcap和Tcpdump，還需要參考相關(guān)的用戶手冊。第三步 建立數(shù)據(jù)分析模塊網(wǎng)上有一些開放源代碼的數(shù)據(jù)分析軟件包，這給我們構(gòu)建數(shù)據(jù)分析模塊提供了一定的便利條件，但這些“免費(fèi)的午餐”一般都有很大的局限性，要開發(fā)一個真正功能強(qiáng)大、實用的IDS，通常都需要開發(fā)者自己動手動腦設(shè)計數(shù)據(jù)分析模塊，而這往往也是整個IDS的工作重點(diǎn)。數(shù)據(jù)分析模塊相當(dāng)于IDS的大腦，它必須具備高度的“智慧”和“判斷能力”。所以，在設(shè)計此模塊之前，開發(fā)者需要對各種網(wǎng)絡(luò)協(xié)議、系統(tǒng)漏洞、攻擊手法、可疑行為等有一個很清晰、深入的研究，然后制訂相應(yīng)的安全規(guī)則庫和安全策略，再分別建立濫用檢測模型和異常檢測模型，讓機(jī)器模擬自己的分析過程，識別確知特征的攻擊和異常行為，最后將分析結(jié)果形成報警消息，發(fā)送給控制管理中心。 設(shè)計數(shù)據(jù)分析模塊的工作量浩大，并且，考慮到“道高一尺，魔高一丈”的黑客手法日益翻新，所以，這注定是一個沒有終點(diǎn)的過程，需要不斷地更新、升級、完善。在這里需要特別注意三個問題：① 應(yīng)優(yōu)化檢測模型和算法的設(shè)計，確保系統(tǒng)的執(zhí)行效率；② 安全規(guī)則的制訂要充分考慮包容性和可擴(kuò)展性，以提高系統(tǒng)的伸縮性；③ 報警消息要遵循特定的標(biāo)準(zhǔn)格式，增強(qiáng)其共享與互操作能力，切忌隨意制訂消息格式的不規(guī)范做法。第四步 構(gòu)建控制臺子系統(tǒng)控制臺子系統(tǒng)負(fù)責(zé)向網(wǎng)絡(luò)管理員匯報各種網(wǎng)絡(luò)違規(guī)行為，并由管理員對一些惡意行為采取行動（如阻斷、跟蹤等）。由于Linux或Unix平臺在支持界面操作方面遠(yuǎn)不如常用的Windows產(chǎn)品流行，所以，為了把IDS做成一個通用、易用的系統(tǒng)，筆者建議將控制臺子系統(tǒng)在Windows系列平臺上實現(xiàn)。控制臺子系統(tǒng)的主要任務(wù)有兩個：① 管理數(shù)據(jù)采集分析中心，以友好、便于查詢的方式顯示數(shù)據(jù)采集分析中心發(fā)送過來的警報消息；② 根據(jù)安全策略進(jìn)行一系列的響應(yīng)動作，以阻止非法行為，確保網(wǎng)絡(luò)的安全。控制臺子系統(tǒng)的設(shè)計重點(diǎn)是：警報信息查詢、探測器管理、規(guī)則管理及用戶管理。1．警報信息查詢：網(wǎng)絡(luò)管理員可以使用單一條件或復(fù)合條件進(jìn)行查詢，當(dāng)警報信息數(shù)量龐大、來源廣泛的時候，系統(tǒng)需要對警報信息按照危險等級進(jìn)行分類，從而突出顯示網(wǎng)絡(luò)管理員需要的最重要信息。2．探測器管理：控制臺可以一次管理多個探測器（包括啟動、停止、配置、查看運(yùn)行狀態(tài)等），查詢各個網(wǎng)段的安全狀況，針對不同情況制訂相應(yīng)的安全規(guī)則。3．規(guī)則庫管理功能：為用戶提供一個根據(jù)不同網(wǎng)段具體情況靈活配置安全策略的工具，如一次定制可應(yīng)用于多個探測器、默認(rèn)安全規(guī)則等。4．用戶管理：對用戶權(quán)限進(jìn)行嚴(yán)格的定義，提供口令修改、添加用戶、刪除用戶、用戶權(quán)限配置等功能，有效保護(hù)系統(tǒng)使用的安全性。第五步 構(gòu)建數(shù)據(jù)庫管理子系統(tǒng)一個好的入侵檢測系統(tǒng)不僅僅應(yīng)當(dāng)為管理員提供實時、豐富的警報信息，還應(yīng)詳細(xì)地記錄現(xiàn)場數(shù)據(jù)，以便于日后需要取證時重建某些網(wǎng)絡(luò)事件。數(shù)據(jù)庫管理子系統(tǒng)的前端程序通常與控制臺子系統(tǒng)集成在一起，用Access或其他數(shù)據(jù)庫存儲警報信息和其他數(shù)據(jù)。該模塊的數(shù)據(jù)來源有兩個：① 數(shù)據(jù)分析子系統(tǒng)發(fā)來的報警信息及其他重要信息；② 管理員經(jīng)過條件查詢后對查詢結(jié)果處理所得的數(shù)據(jù)，如生成的本地文件、格式報表等。第六步 聯(lián)調(diào)，一個基本的IDS搭建完畢以上幾步完成之后，一個IDS的最基本框架已被實現(xiàn)。但要使這個IDS順利地運(yùn)轉(zhuǎn)起來，還需要保持各個部分之間安全、順暢地通信和交互，這就是聯(lián)調(diào)工作所要解決的問題。首先，要實現(xiàn)數(shù)據(jù)采集分析中心和控制管理中心之間的通信，二者之間是雙向的通信?？刂乒芾碇行娘@示、整理數(shù)據(jù)采集分析中心發(fā)送過來的分析結(jié)果及其他信息，數(shù)據(jù)采集分析中心接收控制管理中心發(fā)來的配置、管理等命令。注意確保這二者之間通信的安全性，最好對通信數(shù)據(jù)流進(jìn)行加密操作，以防止被竊聽或篡改。同時，控制管理中心的控制臺子系統(tǒng)和數(shù)據(jù)庫子系統(tǒng)之間也有大量的交互操作，如警報信息查詢、網(wǎng)絡(luò)事件重建等。聯(lián)調(diào)通過之后，一個基本的IDS就搭建完畢。后面要做的就是不斷完善各部分功能，尤其是提高系統(tǒng)的檢測能力。