2. 服務(wù)器的空間劃分要合理有效，執(zhí)行程序的安裝、數(shù)據(jù)日志的存儲(chǔ)，兩者空間最好分別放置在不同分區(qū)。

3. Winpcap的簡(jiǎn)單實(shí)現(xiàn)。首先安裝它的驅(qū)動(dòng)程序，可以到它的主頁(yè)或鏡像站點(diǎn)下載WinPcap auto-installer (Driver+DLLs)，直接安裝。
　　
注：如果用Winpcap做開(kāi)發(fā)，還需要下載 Developer＇s pack。

WinPcap 包括三個(gè)模塊：第一個(gè)模塊NPF（Netgroup Packet Filter），是一個(gè)VxD（虛擬設(shè)備驅(qū)動(dòng)程序）文件。其功能是過(guò)濾數(shù)據(jù)包，并把這些包完好無(wú)損地傳給用戶態(tài)模塊。第二個(gè)模塊packet.dll為Win32平臺(tái)提供了一個(gè)公共接口，架構(gòu)在packet.dll之上，提供了更方便、更直接的編程方法。第三個(gè)模塊 Wpcap.dll不依賴于任何操作系統(tǒng)，是底層的動(dòng)態(tài)鏈接庫(kù)，提供了高層、抽象的函數(shù)。具體使用說(shuō)明在各大網(wǎng)站上都有涉及，如何更好利用Winpcap需要較強(qiáng)的C環(huán)境編程能力。

4. WinDump的創(chuàng)建。安裝后，在Windows命令提示符模式下運(yùn)行，用戶自己可以查看網(wǎng)絡(luò)狀態(tài)，恕不贅述。

如果沒(méi)有軟件兼容性問(wèn)題、安裝和配置正確的話，事件探測(cè)及采集已能實(shí)現(xiàn)。

事件分析系統(tǒng)

由于我們的網(wǎng)絡(luò)大都用交換式以太網(wǎng)交換機(jī)連接，所以建立事件分析系統(tǒng)的目的是實(shí)現(xiàn)對(duì)多種網(wǎng)絡(luò)防火墻設(shè)備的探測(cè)，以及多種采集方式（如基于Snmp、Syslog數(shù)據(jù)信息的采集）日志的支持，并提供一定的事件日志處理，統(tǒng)計(jì)、分析和查詢功能。

事件分析系統(tǒng)是IDS的核心模塊，主要功能是對(duì)各種事件進(jìn)行分析，從中發(fā)現(xiàn)違反安全策略的行為，如何建立是重點(diǎn)也是難點(diǎn)。如果自己能或與人合作編寫(xiě)軟件系統(tǒng)，就需要做好嚴(yán)謹(jǐn)?shù)那捌陂_(kāi)發(fā)準(zhǔn)備，如對(duì)網(wǎng)絡(luò)協(xié)議、黑客攻擊、系統(tǒng)漏洞有著比較清晰的認(rèn)識(shí)，接著開(kāi)始制定規(guī)則和策略，它應(yīng)該基于標(biāo)準(zhǔn)的技術(shù)標(biāo)準(zhǔn)和規(guī)范，然后優(yōu)化算法以提高執(zhí)行效率，建立檢測(cè)模型，可以模擬進(jìn)行攻擊及分析過(guò)程。

事件分析系統(tǒng)把檢測(cè)引擎駐留在監(jiān)視網(wǎng)段中，一般通過(guò)三種技術(shù)手段進(jìn)行分析：模式匹配、協(xié)議分析和行為分析。當(dāng)檢測(cè)到某種誤用模式時(shí)，產(chǎn)生對(duì)應(yīng)的警告信息并發(fā)送給響應(yīng)系統(tǒng)。目前來(lái)看，使用協(xié)議分析是實(shí)時(shí)檢測(cè)的最好方式。

這個(gè)系統(tǒng)一種可能的方式是由協(xié)議分析器作為主體，可以在現(xiàn)成的、開(kāi)放式的協(xié)議分析工具包基礎(chǔ)上來(lái)構(gòu)建；協(xié)議分析器可以顯示分組級(jí)網(wǎng)絡(luò)傳輸流，基于網(wǎng)絡(luò)協(xié)議規(guī)則的警告進(jìn)行自動(dòng)分析來(lái)快速探測(cè)攻擊的存在；由此，網(wǎng)絡(luò)程序員和管理員可監(jiān)控并分析網(wǎng)絡(luò)活動(dòng)，從而主動(dòng)檢測(cè)并定位故障。用戶可以嘗試一下一個(gè)叫Ethereal的免費(fèi)網(wǎng)絡(luò)協(xié)議分析器，它支持Windows系統(tǒng)。用戶可以對(duì)由事件產(chǎn)生系統(tǒng)抓取后保存在硬盤(pán)上的數(shù)據(jù)進(jìn)行分析。你能交互式地瀏覽抓取到的數(shù)據(jù)包，查看每一個(gè)數(shù)據(jù)包的摘要和詳細(xì)信息。Ethereal有多種強(qiáng)大的特征，如支持幾乎所有的協(xié)議、豐富的過(guò)濾語(yǔ)言、易于查看TCP會(huì)話經(jīng)重構(gòu)后的數(shù)據(jù)流等。

響應(yīng)系統(tǒng)

響應(yīng)系統(tǒng)是面向人、物的交互系統(tǒng)，可以說(shuō)是整個(gè)系統(tǒng)的中轉(zhuǎn)站和協(xié)調(diào)站。人即是系統(tǒng)管理員、物是其他所有組件。

詳細(xì)說(shuō)來(lái)，響應(yīng)系統(tǒng)這個(gè)協(xié)調(diào)員要做的事很多：按照預(yù)置定義的方式，記錄安全事件、產(chǎn)生報(bào)警信息（如E-mail形式）、記錄附加日志、隔離入侵者、終止進(jìn)程、禁止受害者的端口和服務(wù)、甚至反戈一擊；可以采取人工響應(yīng)和自動(dòng)響應(yīng)（基于機(jī)器的響應(yīng)），兩者結(jié)合起來(lái)會(huì)比較好。

響應(yīng)系統(tǒng)的設(shè)計(jì)要素：

1. 接受自事件產(chǎn)生系統(tǒng)經(jīng)事件分析系統(tǒng)過(guò)濾、分析、重建后的事件警報(bào)信息，然后交互給用戶（管理員）查詢并做出規(guī)則判斷和采取管理行為。

2. 給管理員提供管理事件數(shù)據(jù)庫(kù)系統(tǒng)的一個(gè)接口，可以修改規(guī)則庫(kù)、根據(jù)不同網(wǎng)絡(luò)環(huán)境情況配置安全策略、讀寫(xiě)數(shù)據(jù)庫(kù)系統(tǒng)。

3. 作用于前端系統(tǒng)時(shí)，可管理事件產(chǎn)生、分析系統(tǒng)（合稱事件探測(cè)器），對(duì)該系統(tǒng)采集、探測(cè)、分析的事件進(jìn)行分類、篩選，可針對(duì)不同安全狀況，重新對(duì)安全規(guī)則進(jìn)行洗牌。

響應(yīng)系統(tǒng)和事件探測(cè)器通常是以應(yīng)用程序的形式實(shí)現(xiàn)。

設(shè)計(jì)思路：響應(yīng)系統(tǒng)可分為兩個(gè)程序部分，監(jiān)聽(tīng)和控制。 監(jiān)聽(tīng)部分綁定某個(gè)空閑端口，接收從事件探測(cè)器發(fā)出的分析結(jié)果和其他信息，并轉(zhuǎn)化存儲(chǔ)文件到事件數(shù)據(jù)庫(kù)系統(tǒng)中，作為管理員可根據(jù)用戶權(quán)限調(diào)用來(lái)只讀、修改以及特別的操作。控制部分可用GTK＋來(lái)編寫(xiě)GUI，開(kāi)發(fā)出較為直觀的圖形用戶界面，目的主要是給用戶一個(gè)更方便友好的界面來(lái)瀏覽警告信息。

事件數(shù)據(jù)庫(kù)系統(tǒng)M

在Windows平臺(tái)下，雖然Access更易掌握，但采用SQL Server 2000構(gòu)建會(huì)比Access有效，而且并不是很難入手，相關(guān)使用方法參見(jiàn)《Microsoft SQL Server 2000 聯(lián)機(jī)叢書(shū)中文版》（2004）。

此系統(tǒng)主要功能：記錄、存儲(chǔ)、重排事件信息，可供管理員調(diào)用查看和對(duì)攻擊審查取證使用。

此系統(tǒng)構(gòu)造相對(duì)簡(jiǎn)單，只需利用到數(shù)據(jù)庫(kù)軟件的一些基本功能。

要協(xié)調(diào)各組件之間的有目的通信，各組件就必須能正確理解相互之間傳遞的各種數(shù)據(jù)的語(yǔ)義?？蓞⒖糃IDF的通信機(jī)制，構(gòu)建3層模型。注意各個(gè)組件之間的互操作性，保證安全、高效、順暢。

整合在后續(xù)的工作中會(huì)不斷進(jìn)行，各個(gè)組件的功能也會(huì)不斷完善。一個(gè)基本的、基于Windows平臺(tái)的IDS框架就構(gòu)建完畢。

多易