当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > Windows入门级IDS构建过程详述

安全基础
用net start 可以启动肉鸡的命令(2)
用net start 可以启动肉鸡的命令(3)
用net start 可以启动肉鸡的命令(4)
DDOS攻击 如何判断是否遭到流量攻击
网络防“虫”手段和全局安全网络的应用
个人网络安全防卫手册(1)
个人网络安全防卫手册(2)
个人网络安全防卫手册(3)
个人网络安全防卫手册(4)
个人网络安全防卫手册(5)
个人网络安全防卫手册(6)
一位高手整理的IIS FAQ
使用Exchange 2003防御地址欺骗(1)
使用Exchange 2003防御地址欺骗(2)
RAdmin 服务端高级配置(1)
只防病毒不安全 网络还需防什么(1)
只防病毒不安全 网络还需防什么(2)
主动防御电脑病毒并非天方夜谭
用XPSP2防火墙打造最强护身甲(1)
用XPSP2防火墙打造最强护身甲(2)

安全基础 中的 Windows入门级IDS构建过程详述


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 79 ::
收藏到网摘: n/a

从现实来看,市场上所大行其道的IDS产品价格从数十万到数百万不等,这种相对昂贵的奶酪被广为诟病,所导致的结果就是:一般中小企业并不具备实施IDS产品的能力,它们的精力会放在路由器、防火墙以及3层以上交换机的加固上;大中型企业虽然很多已经上了IDS产品,但IDS天然的缺陷导致其似乎无所作为。但我们还不能就此喜新厌旧,因为IDS是必需的一个过程,具有IDS功能的IPS很可能在几年后彻底取代单一性IDS的市场主导地位,从被动应战到主动防御是大势所趋。

  其实IDS的技术手段并不很神秘,接下来本文会用一种“顺藤摸瓜”的脉络,给大家介绍一个较简单的IDS入门级构架。从市场分布、入手难易的角度来看,选择NIDS作为范例进行部署,比较地恰当。本文以完全的Windows平台来贯穿整个入侵检测流程,由于篇幅所限,以定性分析角度来陈述。

  预备知识

  IDS:Intrusion Detection System(入侵检测系统),通过收集网络系统信息来进行入侵检测分析的软件与硬件的智能组合。

  对IDS进行标准化工作的两个组织:作为国际互联网标准的制定者IETF的Intrusion Detection Working Group(IDWG,入侵检测工作组)和Common Intrusion Detection Framework(CIDF,通用入侵检测框架)。

  IDS分类:Network IDS(基于网络)、Host-based IDS(基于主机)、Hybrid IDS(混合式)、Consoles IDS(控制台)、File Integrity Checkers(文件完整性检查器)、Honeypots(蜜罐)。

  事件产生系统

  根据CIDF阐述入侵检测系统(IDS)的通用模型思想,具备所有要素、最简单的入侵检测组件如图所示。

  根据CIDF规范,将IDS需要分析的数据统称为Event(事件),Event既可能是网络中的Data Packets(数据包),也可能是从System Log等其他方式得到的Information(信息)。

  没有数据流进(或数据被采集),IDS就是无根之木,完全无用武之地。

  作为IDS的基层组织,事件产生系统大可施展拳脚,它收集被定义的所有事件,然后一股脑地传到其它组件里。在Windows环境下,目前比较基本的做法是使用Winpcap和WinDump。

  大家知道,对于事件产生和事件分析系统来说,眼下流行采用Linux和Unix平台的软件和程序;其实在Windows平台中,也有类似Libpcap(是Unix或Linux从内核捕获网络数据包的必备软件)的工具即Winpcap。