1. 裝配軟件和硬件系統(tǒng)�����。根據(jù)網(wǎng)絡繁忙程度決定是否采用普通兼容機或性能較高的專用服務器��;安裝NT核心的Windows操作系統(tǒng)����,推薦使用Windows Server 2003企業(yè)版,如果條件不滿足也可使用Windows 2000 Advanced Server�。分區(qū)格式建議為NTFS格式。
2. 服務器的空間劃分要合理有效�,執(zhí)行程序的安裝�����、數(shù)據(jù)日志的存儲���,兩者空間最好分別放置在不同分區(qū)。
3. Winpcap的簡單實現(xiàn)�。首先安裝它的驅動程序,可以到它的主頁或鏡像站點下載WinPcap auto-installer (Driver+DLLs)�,直接安裝。
注:如果用Winpcap做開發(fā)����,還需要下載 Developer's pack。
WinPcap 包括三個模塊:第一個模塊NPF(Netgroup Packet Filter)��,是一個VxD(虛擬設備驅動程序)文件�����。其功能是過濾數(shù)據(jù)包���,并把這些包完好無損地傳給用戶態(tài)模塊���。第二個模塊packet.dll為Win32平臺提供了一個公共接口,架構在packet.dll之上���,提供了更方便�、更直接的編程方法�。第三個模塊 Wpcap.dll不依賴于任何操作系統(tǒng),是底層的動態(tài)鏈接庫����,提供了高層、抽象的函數(shù)�����。具體使用說明在各大網(wǎng)站上都有涉及�,如何更好利用Winpcap需要較強的C環(huán)境編程能力。
4. WinDump的創(chuàng)建��。安裝后�,在Windows命令提示符模式下運行,用戶自己可以查看網(wǎng)絡狀態(tài)�����,恕不贅述。
如果沒有軟件兼容性問題��、安裝和配置正確的話�,事件探測及采集已能實現(xiàn)����。
事件分析系統(tǒng)
由于我們的網(wǎng)絡大都用交換式以太網(wǎng)交換機連接,所以建立事件分析系統(tǒng)的目的是實現(xiàn)對多種網(wǎng)絡防火墻設備的探測���,以及多種采集方式(如基于Snmp�、Syslog數(shù)據(jù)信息的采集)日志的支持���,并提供一定的事件日志處理���,統(tǒng)計、分析和查詢功能���。
事件分析系統(tǒng)是IDS的核心模塊�����,主要功能是對各種事件進行分析����,從中發(fā)現(xiàn)違反安全策略的行為,如何建立是重點也是難點��。如果自己能或與人合作編寫軟件系統(tǒng)���,就需要做好嚴謹?shù)那捌陂_發(fā)準備,如對網(wǎng)絡協(xié)議��、黑客攻擊���、系統(tǒng)漏洞有著比較清晰的認識�,接著開始制定規(guī)則和策略�,它應該基于標準的技術標準和規(guī)范,然后優(yōu)化算法以提高執(zhí)行效率�����,建立檢測模型��,可以模擬進行攻擊及分析過程��。
事件分析系統(tǒng)把檢測引擎駐留在監(jiān)視網(wǎng)段中�,一般通過三種技術手段進行分析:模式匹配�、協(xié)議分析和行為分析����。當檢測到某種誤用模式時,產(chǎn)生對應的警告信息并發(fā)送給響應系統(tǒng)�����。目前來看�,使用協(xié)議分析是實時檢測的最好方式。
這個系統(tǒng)一種可能的方式是由協(xié)議分析器作為主體�,可以在現(xiàn)成的、開放式的協(xié)議分析工具包基礎上來構建�����;協(xié)議分析器可以顯示分組級網(wǎng)絡傳輸流�����,基于網(wǎng)絡協(xié)議規(guī)則的警告進行自動分析來快速探測攻擊的存在����;由此,網(wǎng)絡程序員和管理員可監(jiān)控并分析網(wǎng)絡活動�,從而主動檢測并定位故障����。用戶可以嘗試一下一個叫Ethereal的免費網(wǎng)絡協(xié)議分析器�,它支持Windows系統(tǒng)。用戶可以對由事件產(chǎn)生系統(tǒng)抓取后保存在硬盤上的數(shù)據(jù)進行分析��。你能交互式地瀏覽抓取到的數(shù)據(jù)包���,查看每一個數(shù)據(jù)包的摘要和詳細信息。Ethereal有多種強大的特征��,如支持幾乎所有的協(xié)議�、豐富的過濾語言、易于查看TCP會話經(jīng)重構后的數(shù)據(jù)流等���。
響應系統(tǒng)
響應系統(tǒng)是面向人�、物的交互系統(tǒng)�,可以說是整個系統(tǒng)的中轉站和協(xié)調(diào)站。人即是系統(tǒng)管理員����、物是其他所有組件。
詳細說來��,響應系統(tǒng)這個協(xié)調(diào)員要做的事很多:按照預置定義的方式,記錄安全事件�����、產(chǎn)生報警信息(如E-mail形式)�、記錄附加日志、隔離入侵者�����、終止進程��、禁止受害者的端口和服務���、甚至反戈一擊��;可以采取人工響應和自動響應(基于機器的響應)����,兩者結合起來會比較好����。
響應系統(tǒng)的設計要素:
1. 接受自事件產(chǎn)生系統(tǒng)經(jīng)事件分析系統(tǒng)過濾、分析��、重建后的事件警報信息,然后交互給用戶(管理員)查詢并做出規(guī)則判斷和采取管理行為�。
2. 給管理員提供管理事件數(shù)據(jù)庫系統(tǒng)的一個接口,可以修改規(guī)則庫��、根據(jù)不同網(wǎng)絡環(huán)境情況配置安全策略�、讀寫數(shù)據(jù)庫系統(tǒng)。
3. 作用于前端系統(tǒng)時�����,可管理事件產(chǎn)生����、分析系統(tǒng)(合稱事件探測器)�����,對該系統(tǒng)采集���、探測��、分析的事件進行分類����、篩選,可針對不同安全狀況��,重新對安全規(guī)則進行洗牌����。
響應系統(tǒng)和事件探測器通常是以應用程序的形式實現(xiàn)。
設計思路:響應系統(tǒng)可分為兩個程序部分���,監(jiān)聽和控制��。 監(jiān)聽部分綁定某個空閑端口�,接收從事件探測器發(fā)出的分析結果和其他信息��,并轉化存儲文件到事件數(shù)據(jù)庫系統(tǒng)中����,作為管理員可根據(jù)用戶權限調(diào)用來只讀、修改以及特別的操作�����?��?刂撇糠挚捎肎TK+來編寫GUI�����,開發(fā)出較為直觀的圖形用戶界面����,目的主要是給用戶一個更方便友好的界面來瀏覽警告信息。
事件數(shù)據(jù)庫系統(tǒng)M
在Windows平臺下����,雖然Access更易掌握,但采用SQL Server 2000構建會比Access有效���,而且并不是很難入手��,相關使用方法參見《Microsoft SQL Server 2000 聯(lián)機叢書中文版》(2004)�。
此系統(tǒng)主要功能:記錄����、存儲�����、重排事件信息���,可供管理員調(diào)用查看和對攻擊審查取證使用���。
此系統(tǒng)構造相對簡單���,只需利用到數(shù)據(jù)庫軟件的一些基本功能。
要協(xié)調(diào)各組件之間的有目的通信�����,各組件就必須能正確理解相互之間傳遞的各種數(shù)據(jù)的語義���?����?蓞⒖糃IDF的通信機制��,構建3層模型��。注意各個組件之間的互操作性�����,保證安全��、高效�����、順暢���。
整合在后續(xù)的工作中會不斷進行�,各個組件的功能也會不斷完善����。一個基本的、基于Windows平臺的IDS框架就構建完畢����。
