没有合适的资源?快使用搜索试试~ 我知道了~
资源推荐
资源详情
资源评论
1 入侵检测系统基本架构
1.1 示例 1:如何搭建入门级 IDS
在功能上可以将入侵检测系统划分为四个模块:数据包捕获模块,解码模
块,数据分析模块,控制台模块。如果更简化的话,只需要数据采集模块和数
据分析模块即可。一般在实现上,数据采集模块和数据分析模块在 Linux 和
Unix 平台上实现,控制台和数据库管理在各平台都可以。
数据捕获模块
数据采集机制是实现 IDS 的基础,数据采集子系统位于 IDS 的最底层,其
主要目的是从网络环境中获取数据,并向其上层模块提供数据。比较流行的做
法是使用 libpcap 或 tcpdump,将网卡设置为混杂模式,捕获某个网段上所有
的数据流。
数据包捕获函数库是一个独立的软件工具,数据包捕获库函数能直接从网
卡获取数据包。Snort 就是通过调用该库函数从网络设备上捕获数据包。它工
作在 OSI 模型的数据链路层。在不同的平台上使用 Snort 系统,需要安装不同
版本的 Libpcap,比如在 Linux 和 Unix 系统下需要安装 Libpcap,而在
Windows 系列系统下,就需要安装 Winpcap。
解码模块:
如果采用 libpcap 进行数据包捕获,需调用解码引擎对数据链路层的原始
数据包进行解码。Snort 能够识别以太网、802.11(无线局域网协议)、令牌环
以及诸如 IP、TCP 和 UDP 等高层协议。Snort 将捕获的数据包解析后,存储在
内存中指针指向的数据结构中。
数据分析模块:
数据分析模块相当于 IDS 的大脑,它必须具备高度的“智慧”和“判断能力”。
所以,在设计此模块之前,开发者需要对各种网络协议、系统漏洞、攻击手
法、可疑行为等有一个很清晰、深入的研究,然后制订相应的安全规则库和安
全策略,再分别建立滥用检测模型和异常检测模型,让机器模拟自己的分析过
程,识别确知特征的攻击和异常行为,最后将分析结果形成报警消息,发送给
控制管理中心。
注意三个问题:
① 应优化检测模型和算法的设计,确保系统的执行效率;
② 安全规则的制订要充分考虑包容性和可扩展性,以提高系统的伸缩性;
③ 报警消息要遵循特定的标准格式,增强其共享与互操作能力,切忌随意
制订消息格式的不规范做法。
控制台子系统的设计重点是:警报信息查询、探测器管理、规则管理及用
户管理。
1.2 示例 2:入侵检测系统基本结构
2 NIDS 原理(网络入侵检测系统)
2.1 Snort 原理
2.2 OSSEC
2.3 PRO
从此图上来看我们可以看到 BRO 被划分成两大组件,其一是核心事件引
擎,他会减少进入的数据包流,成为一系列高层事件。
其二是脚本解释器,他会根据 BRO 的脚本语言编写的程序执行一系列事件
处理。该脚本会表达站点安全规则。
特性:
剩余10页未读,继续阅读
资源评论
随风浪仔
- 粉丝: 679
- 资源: 2082
下载权益
C知道特权
VIP文章
课程特权
开通VIP
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功