1. 裝配軟件和硬件系統(tǒng)。根據(jù)網(wǎng)絡(luò)繁忙程度決定是否采用普通兼容機(jī)或性能較高的專用服務(wù)器;安裝NT核心的Windows操作系統(tǒng),推薦使用Windows Server 2003企業(yè)版,如果條件不滿足也可使用Windows 2000 Advanced Server。分區(qū)格式建議為NTFS格式。

2. 服務(wù)器的空間劃分要合理有效,執(zhí)行程序的安裝、數(shù)據(jù)日志的存儲(chǔ),兩者空間最好分別放置在不同分區(qū)。

3. Winpcap的簡(jiǎn)單實(shí)現(xiàn)。首先安裝它的驅(qū)動(dòng)程序,可以到它的主頁(yè)或鏡像站點(diǎn)下載WinPcap auto-installer (Driver+DLLs),直接安裝。
  
注:如果用Winpcap做開(kāi)發(fā),還需要下載 Developer's pack。

WinPcap 包括三個(gè)模塊:第一個(gè)模塊NPF(Netgroup Packet Filter),是一個(gè)VxD(虛擬設(shè)備驅(qū)動(dòng)程序)文件。其功能是過(guò)濾數(shù)據(jù)包,并把這些包完好無(wú)損地傳給用戶態(tài)模塊。第二個(gè)模塊packet.dll為Win32平臺(tái)提供了一個(gè)公共接口,架構(gòu)在packet.dll之上,提供了更方便、更直接的編程方法。第三個(gè)模塊 Wpcap.dll不依賴于任何操作系統(tǒng),是底層的動(dòng)態(tài)鏈接庫(kù),提供了高層、抽象的函數(shù)。具體使用說(shuō)明在各大網(wǎng)站上都有涉及,如何更好利用Winpcap需要較強(qiáng)的C環(huán)境編程能力。

4. WinDump的創(chuàng)建。安裝后,在Windows命令提示符模式下運(yùn)行,用戶自己可以查看網(wǎng)絡(luò)狀態(tài),恕不贅述。

如果沒(méi)有軟件兼容性問(wèn)題、安裝和配置正確的話,事件探測(cè)及采集已能實(shí)現(xiàn)。

事件分析系統(tǒng)

由于我們的網(wǎng)絡(luò)大都用交換式以太網(wǎng)交換機(jī)連接,所以建立事件分析系統(tǒng)的目的是實(shí)現(xiàn)對(duì)多種網(wǎng)絡(luò)防火墻設(shè)備的探測(cè),以及多種采集方式(如基于Snmp、Syslog數(shù)據(jù)信息的采集)日志的支持,并提供一定的事件日志處理,統(tǒng)計(jì)、分析和查詢功能。

事件分析系統(tǒng)是IDS的核心模塊,主要功能是對(duì)各種事件進(jìn)行分析,從中發(fā)現(xiàn)違反安全策略的行為,如何建立是重點(diǎn)也是難點(diǎn)。如果自己能或與人合作編寫(xiě)軟件系統(tǒng),就需要做好嚴(yán)謹(jǐn)?shù)那捌陂_(kāi)發(fā)準(zhǔn)備,如對(duì)網(wǎng)絡(luò)協(xié)議、黑客攻擊、系統(tǒng)漏洞有著比較清晰的認(rèn)識(shí),接著開(kāi)始制定規(guī)則和策略,它應(yīng)該基于標(biāo)準(zhǔn)的技術(shù)標(biāo)準(zhǔn)和規(guī)范,然后優(yōu)化算法以提高執(zhí)行效率,建立檢測(cè)模型,可以模擬進(jìn)行攻擊及分析過(guò)程。

事件分析系統(tǒng)把檢測(cè)引擎駐留在監(jiān)視網(wǎng)段中,一般通過(guò)三種技術(shù)手段進(jìn)行分析:模式匹配、協(xié)議分析和行為分析。當(dāng)檢測(cè)到某種誤用模式時(shí),產(chǎn)生對(duì)應(yīng)的警告信息并發(fā)送給響應(yīng)系統(tǒng)。目前來(lái)看,使用協(xié)議分析是實(shí)時(shí)檢測(cè)的最好方式。

這個(gè)系統(tǒng)一種可能的方式是由協(xié)議分析器作為主體,可以在現(xiàn)成的、開(kāi)放式的協(xié)議分析工具包基礎(chǔ)上來(lái)構(gòu)建;協(xié)議分析器可以顯示分組級(jí)網(wǎng)絡(luò)傳輸流,基于網(wǎng)絡(luò)協(xié)議規(guī)則的警告進(jìn)行自動(dòng)分析來(lái)快速探測(cè)攻擊的存在;由此,網(wǎng)絡(luò)程序員和管理員可監(jiān)控并分析網(wǎng)絡(luò)活動(dòng),從而主動(dòng)檢測(cè)并定位故障。用戶可以嘗試一下一個(gè)叫Ethereal的免費(fèi)網(wǎng)絡(luò)協(xié)議分析器,它支持Windows系統(tǒng)。用戶可以對(duì)由事件產(chǎn)生系統(tǒng)抓取后保存在硬盤(pán)上的數(shù)據(jù)進(jìn)行分析。你能交互式地瀏覽抓取到的數(shù)據(jù)包,查看每一個(gè)數(shù)據(jù)包的摘要和詳細(xì)信息。Ethereal有多種強(qiáng)大的特征,如支持幾乎所有的協(xié)議、豐富的過(guò)濾語(yǔ)言、易于查看TCP會(huì)話經(jīng)重構(gòu)后的數(shù)據(jù)流等。

響應(yīng)系統(tǒng)

響應(yīng)系統(tǒng)是面向人、物的交互系統(tǒng),可以說(shuō)是整個(gè)系統(tǒng)的中轉(zhuǎn)站和協(xié)調(diào)站。人即是系統(tǒng)管理員、物是其他所有組件。

詳細(xì)說(shuō)來(lái),響應(yīng)系統(tǒng)這個(gè)協(xié)調(diào)員要做的事很多:按照預(yù)置定義的方式,記錄安全事件、產(chǎn)生報(bào)警信息(如E-mail形式)、記錄附加日志、隔離入侵者、終止進(jìn)程、禁止受害者的端口和服務(wù)、甚至反戈一擊;可以采取人工響應(yīng)和自動(dòng)響應(yīng)(基于機(jī)器的響應(yīng)),兩者結(jié)合起來(lái)會(huì)比較好。

響應(yīng)系統(tǒng)的設(shè)計(jì)要素:

1. 接受自事件產(chǎn)生系統(tǒng)經(jīng)事件分析系統(tǒng)過(guò)濾、分析、重建后的事件警報(bào)信息,然后交互給用戶(管理員)查詢并做出規(guī)則判斷和采取管理行為。

2. 給管理員提供管理事件數(shù)據(jù)庫(kù)系統(tǒng)的一個(gè)接口,可以修改規(guī)則庫(kù)、根據(jù)不同網(wǎng)絡(luò)環(huán)境情況配置安全策略、讀寫(xiě)數(shù)據(jù)庫(kù)系統(tǒng)。

3. 作用于前端系統(tǒng)時(shí),可管理事件產(chǎn)生、分析系統(tǒng)(合稱事件探測(cè)器),對(duì)該系統(tǒng)采集、探測(cè)、分析的事件進(jìn)行分類、篩選,可針對(duì)不同安全狀況,重新對(duì)安全規(guī)則進(jìn)行洗牌。

響應(yīng)系統(tǒng)和事件探測(cè)器通常是以應(yīng)用程序的形式實(shí)現(xiàn)。

設(shè)計(jì)思路:響應(yīng)系統(tǒng)可分為兩個(gè)程序部分,監(jiān)聽(tīng)和控制。 監(jiān)聽(tīng)部分綁定某個(gè)空閑端口,接收從事件探測(cè)器發(fā)出的分析結(jié)果和其他信息,并轉(zhuǎn)化存儲(chǔ)文件到事件數(shù)據(jù)庫(kù)系統(tǒng)中,作為管理員可根據(jù)用戶權(quán)限調(diào)用來(lái)只讀、修改以及特別的操作。控制部分可用GTK+來(lái)編寫(xiě)GUI,開(kāi)發(fā)出較為直觀的圖形用戶界面,目的主要是給用戶一個(gè)更方便友好的界面來(lái)瀏覽警告信息。

事件數(shù)據(jù)庫(kù)系統(tǒng)M

在Windows平臺(tái)下,雖然Access更易掌握,但采用SQL Server 2000構(gòu)建會(huì)比Access有效,而且并不是很難入手,相關(guān)使用方法參見(jiàn)《Microsoft SQL Server 2000 聯(lián)機(jī)叢書(shū)中文版》(2004)。

此系統(tǒng)主要功能:記錄、存儲(chǔ)、重排事件信息,可供管理員調(diào)用查看和對(duì)攻擊審查取證使用。

此系統(tǒng)構(gòu)造相對(duì)簡(jiǎn)單,只需利用到數(shù)據(jù)庫(kù)軟件的一些基本功能。

要協(xié)調(diào)各組件之間的有目的通信,各組件就必須能正確理解相互之間傳遞的各種數(shù)據(jù)的語(yǔ)義??蓞⒖糃IDF的通信機(jī)制,構(gòu)建3層模型。注意各個(gè)組件之間的互操作性,保證安全、高效、順暢。

整合在后續(xù)的工作中會(huì)不斷進(jìn)行,各個(gè)組件的功能也會(huì)不斷完善。一個(gè)基本的、基于Windows平臺(tái)的IDS框架就構(gòu)建完畢。

分享到

多易

相關(guān)推薦