当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > Windows入门级IDS构建过程详述

安全基础
总结一些防止网站域名被劫持的技巧
如何给IFRAME框架挂马以及如何防范
服务器安全管理都有哪些漏洞
RSA总裁认为企业要以安全为先
强悍的几种黑客安全工具
微软有史以来最严重漏洞如何搞定?
qq邮箱欺诈多多,如何防?
软件安全性能测试中常见的问题
漏洞防护是确保Linux系统安全的前提条件
BMCPowerTrix系列交换机如何预防ARP攻击
日异月新的技术同步带来的全新安全隐患
企业VoIP网络安全超过传统电话系统的方法
谷歌强调要全面提高Gmail的安全性
Linux系统的IP伪装抵御一切黑客攻击
让垃圾邮件不再骚扰小秘诀
好的习惯来避免网络的不安全因素
如何降低网络流量节约费用
电子邮件POP3/SMTP的SSL加密设置
“端点安全”和“网关安全”哪个更重要
揭秘木马的伪装欺骗真面目

安全基础 中的 Windows入门级IDS构建过程详述


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 112 ::
收藏到网摘: n/a

从现实来看,市场上所大行其道的IDS产品价格从数十万到数百万不等,这种相对昂贵的奶酪被广为诟病,所导致的结果就是:一般中小企业并不具备实施IDS产品的能力,它们的精力会放在路由器、防火墙以及3层以上交换机的加固上;大中型企业虽然很多已经上了IDS产品,但IDS天然的缺陷导致其似乎无所作为。但我们还不能就此喜新厌旧,因为IDS是必需的一个过程,具有IDS功能的IPS很可能在几年后彻底取代单一性IDS的市场主导地位,从被动应战到主动防御是大势所趋。

  其实IDS的技术手段并不很神秘,接下来本文会用一种“顺藤摸瓜”的脉络,给大家介绍一个较简单的IDS入门级构架。从市场分布、入手难易的角度来看,选择NIDS作为范例进行部署,比较地恰当。本文以完全的Windows平台来贯穿整个入侵检测流程,由于篇幅所限,以定性分析角度来陈述。

  预备知识

  IDS:Intrusion Detection System(入侵检测系统),通过收集网络系统信息来进行入侵检测分析的软件与硬件的智能组合。

  对IDS进行标准化工作的两个组织:作为国际互联网标准的制定者IETF的Intrusion Detection Working Group(IDWG,入侵检测工作组)和Common Intrusion Detection Framework(CIDF,通用入侵检测框架)。

  IDS分类:Network IDS(基于网络)、Host-based IDS(基于主机)、Hybrid IDS(混合式)、Consoles IDS(控制台)、File Integrity Checkers(文件完整性检查器)、Honeypots(蜜罐)。

  事件产生系统

  根据CIDF阐述入侵检测系统(IDS)的通用模型思想,具备所有要素、最简单的入侵检测组件如图所示。

  根据CIDF规范,将IDS需要分析的数据统称为Event(事件),Event既可能是网络中的Data Packets(数据包),也可能是从System Log等其他方式得到的Information(信息)。

  没有数据流进(或数据被采集),IDS就是无根之木,完全无用武之地。

  作为IDS的基层组织,事件产生系统大可施展拳脚,它收集被定义的所有事件,然后一股脑地传到其它组件里。在Windows环境下,目前比较基本的做法是使用Winpcap和WinDump。

  大家知道,对于事件产生和事件分析系统来说,眼下流行采用Linux和Unix平台的软件和程序;其实在Windows平台中,也有类似Libpcap(是Unix或Linux从内核捕获网络数据包的必备软件)的工具即Winpcap。