偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

新手如何構(gòu)建一個(gè)入門(mén)級(jí)入侵檢測(cè)系統(tǒng)

安全 黑客攻防
通常來(lái)說(shuō),一個(gè)企業(yè)或機(jī)構(gòu)準(zhǔn)備進(jìn)軍此領(lǐng)域時(shí),往往選擇從基于網(wǎng)絡(luò)的IDS入手,因?yàn)榫W(wǎng)上有很多這方面的開(kāi)放源代碼和資料,實(shí)現(xiàn)起來(lái)比較容易,并且,基于網(wǎng)絡(luò)的IDS適應(yīng)能力強(qiáng)。

通常來(lái)說(shuō),一個(gè)企業(yè)或機(jī)構(gòu)準(zhǔn)備進(jìn)軍此領(lǐng)域時(shí),往往選擇從基于網(wǎng)絡(luò)的IDS入手,因?yàn)榫W(wǎng)上有很多這方面的開(kāi)放源代碼和資料,實(shí)現(xiàn)起來(lái)比較容易,并且,基于網(wǎng)絡(luò)的IDS適應(yīng)能力強(qiáng)。有了簡(jiǎn)單網(wǎng)絡(luò)IDS的開(kāi)發(fā)經(jīng)驗(yàn),再向基于主機(jī)的IDS、分布式IDS、智能IDS等方面邁進(jìn)的難度就小了很多。在此,筆者將以基于網(wǎng)絡(luò)的IDS為例,介紹典型的IDS開(kāi)發(fā)思路。

根據(jù)CIDF規(guī)范,我們從功能上將入侵檢測(cè)系統(tǒng)劃分為四個(gè)基本部分:數(shù)據(jù)采集子系統(tǒng)、數(shù)據(jù)分析子系統(tǒng)、控制臺(tái)子系統(tǒng)、數(shù)據(jù)庫(kù)管理子系統(tǒng)。

具體實(shí)現(xiàn)起來(lái),一般都將數(shù)據(jù)采集子系統(tǒng)(又稱(chēng)探測(cè)器)和數(shù)據(jù)分析子系統(tǒng)在Linux或Unix平臺(tái)上實(shí)現(xiàn),我們稱(chēng)之為數(shù)據(jù)采集分析中心;將控制臺(tái)子系統(tǒng)在Windows NT或2000上實(shí)現(xiàn),數(shù)據(jù)庫(kù)管理子系統(tǒng)基于Access或其他功能更強(qiáng)大的數(shù)據(jù)庫(kù),多跟控制臺(tái)子系統(tǒng)結(jié)合在一起,我們稱(chēng)之為控制管理中心。本文以Linux和Windows NT平臺(tái)為例介紹數(shù)據(jù)采集分析中心和控制管理中心的實(shí)現(xiàn)。

可以按照如下步驟構(gòu)建一個(gè)基本的入侵檢測(cè)系統(tǒng)。

第一步 獲取Libpcap和Tcpdump

審計(jì)蹤跡是IDS的數(shù)據(jù)來(lái)源,而數(shù)據(jù)采集機(jī)制是實(shí)現(xiàn)IDS的基礎(chǔ),否則,巧婦難為無(wú)米之炊,入侵檢測(cè)就無(wú)從談起。數(shù)據(jù)采集子系統(tǒng)位于IDS的最底層,其主要目的是從網(wǎng)絡(luò)環(huán)境中獲取事件,并向其他部分提供事件。目前比較流行的做法是:使用Libpcap和Tcpdump,將網(wǎng)卡置于“混雜”模式,捕獲某個(gè)網(wǎng)段上所有的數(shù)據(jù)流。

Libpcap是Unix或Linux從內(nèi)核捕獲網(wǎng)絡(luò)數(shù)據(jù)包的必備工具,它是獨(dú)立于系統(tǒng)的API接口,為底層網(wǎng)絡(luò)監(jiān)控提供了一個(gè)可移植的框架,可用于網(wǎng)絡(luò)統(tǒng)計(jì)收集、安全監(jiān)控、網(wǎng)絡(luò)調(diào)試等應(yīng)用。

Tcpdump是用于網(wǎng)絡(luò)監(jiān)控的工具,可能是Unix上最著名的Sniffer了,它的實(shí)現(xiàn)基于Libpcap接口,通過(guò)應(yīng)用布爾表達(dá)式打印數(shù)據(jù)包首部,具體執(zhí)行過(guò)濾轉(zhuǎn)換、包獲取和包顯示等功能。Tcpdump可以幫助我們描述系統(tǒng)的正常行為,并最終識(shí)別出那些不正常的行為,當(dāng)然,它只是有益于收集關(guān)于某網(wǎng)段上的數(shù)據(jù)流(網(wǎng)絡(luò)流類(lèi)型、連接等)信息,至于分析網(wǎng)絡(luò)活動(dòng)是否正常,那是程序員和管理員所要做的工作。Libpcap和Tcpdump在網(wǎng)上廣為流傳,開(kāi)發(fā)者可以到相關(guān)網(wǎng)站下載。

第二步 構(gòu)建并配置探測(cè)器,實(shí)現(xiàn)數(shù)據(jù)采集功能

1. 應(yīng)根據(jù)自己網(wǎng)絡(luò)的具體情況,選用合適的軟件及硬件設(shè)備,如果你的網(wǎng)絡(luò)數(shù)據(jù)流量很小,用一般的PC機(jī)安裝Linux即可,如果所監(jiān)控的網(wǎng)絡(luò)流量非常大,則需要用一臺(tái)性能較高的機(jī)器。

2. 在Linux服務(wù)器上開(kāi)出一個(gè)日志分區(qū),用于采集數(shù)據(jù)的存儲(chǔ)。

3. 創(chuàng)建Libpcap庫(kù)。從網(wǎng)上下載的通常都是Libpcap.tar.z的壓縮包,所以,應(yīng)先將其解壓縮、解包,然后執(zhí)行配置腳本,創(chuàng)建適合于自己系統(tǒng)環(huán)境的Makefile,再用Make命令創(chuàng)建Libpcap庫(kù)。Libpcap安裝完畢之后,將生成一個(gè)Libpcap庫(kù)、三個(gè)include文件和一個(gè)Man頁(yè)面(即用戶(hù)手冊(cè))。

4. 創(chuàng)建Tcpdump。與創(chuàng)建Libpcap的過(guò)程一樣,先將壓縮包解壓縮、解包到與Libpcap相同的父目錄下,然后配置、安裝Tcpdump。

如果配置、創(chuàng)建、安裝等操作一切正常的話(huà),到這里,系統(tǒng)已經(jīng)能夠收集到網(wǎng)絡(luò)數(shù)據(jù)流了。至于如何使用Libpcap和Tcpdump,還需要參考相關(guān)的用戶(hù)手冊(cè)。

第三步 建立數(shù)據(jù)分析模塊

網(wǎng)上有一些開(kāi)放源代碼的數(shù)據(jù)分析軟件包,這給我們構(gòu)建數(shù)據(jù)分析模塊提供了一定的便利條件,但這些“免費(fèi)的午餐”一般都有很大的局限性,要開(kāi)發(fā)一個(gè)真正功能強(qiáng)大、實(shí)用的IDS,通常都需要開(kāi)發(fā)者自己動(dòng)手動(dòng)腦設(shè)計(jì)數(shù)據(jù)分析模塊,而這往往也是整個(gè)IDS的工作重點(diǎn)。

數(shù)據(jù)分析模塊相當(dāng)于IDS的大腦,它必須具備高度的“智慧”和“判斷能力”。所以,在設(shè)計(jì)此模塊之前,開(kāi)發(fā)者需要對(duì)各種網(wǎng)絡(luò)協(xié)議、系統(tǒng)漏洞、攻擊手法、可疑行為等有一個(gè)很清晰、深入的研究,然后制訂相應(yīng)的安全規(guī)則庫(kù)和安全策略,再分別建立濫用檢測(cè)模型和異常檢測(cè)模型,讓機(jī)器模擬自己的分析過(guò)程,識(shí)別確知特征的攻擊和異常行為,最后將分析結(jié)果形成報(bào)警消息,發(fā)送給控制管理中心。 設(shè)計(jì)數(shù)據(jù)分析模塊的工作量浩大,并且,考慮到“道高一尺,魔高一丈”的黑客手法日益翻新,所以,這注定是一個(gè)沒(méi)有終點(diǎn)的過(guò)程,需要不斷地更新、升級(jí)、完善。在這里需要特別注意三個(gè)問(wèn)題:

① 應(yīng)優(yōu)化檢測(cè)模型和算法的設(shè)計(jì),確保系統(tǒng)的執(zhí)行效率;

② 安全規(guī)則的制訂要充分考慮包容性和可擴(kuò)展性,以提高系統(tǒng)的伸縮性;

③ 報(bào)警消息要遵循特定的標(biāo)準(zhǔn)格式,增強(qiáng)其共享與互操作能力,切忌隨意制訂消息格式的不規(guī)范做法。

第四步 構(gòu)建控制臺(tái)子系統(tǒng)

控制臺(tái)子系統(tǒng)負(fù)責(zé)向網(wǎng)絡(luò)管理員匯報(bào)各種網(wǎng)絡(luò)違規(guī)行為,并由管理員對(duì)一些惡意行為采取行動(dòng)(如阻斷、跟蹤等)。由于Linux或Unix平臺(tái)在支持界面操作方面遠(yuǎn)不如常用的Windows產(chǎn)品流行,所以,為了把IDS做成一個(gè)通用、易用的系統(tǒng),筆者建議將控制臺(tái)子系統(tǒng)在Windows系列平臺(tái)上實(shí)現(xiàn)。

控制臺(tái)子系統(tǒng)的主要任務(wù)有兩個(gè):

① 管理數(shù)據(jù)采集分析中心,以友好、便于查詢(xún)的方式顯示數(shù)據(jù)采集分析中心發(fā)送過(guò)來(lái)的警報(bào)消息;

② 根據(jù)安全策略進(jìn)行一系列的響應(yīng)動(dòng)作,以阻止非法行為,確保網(wǎng)絡(luò)的安全。

控制臺(tái)子系統(tǒng)的設(shè)計(jì)重點(diǎn)是:警報(bào)信息查詢(xún)、探測(cè)器管理、規(guī)則管理及用戶(hù)管理。

1.警報(bào)信息查詢(xún):網(wǎng)絡(luò)管理員可以使用單一條件或復(fù)合條件進(jìn)行查詢(xún),當(dāng)警報(bào)信息數(shù)量龐大、來(lái)源廣泛的時(shí)候,系統(tǒng)需要對(duì)警報(bào)信息按照危險(xiǎn)等級(jí)進(jìn)行分類(lèi),從而突出顯示網(wǎng)絡(luò)管理員需要的最重要信息。

2.探測(cè)器管理:控制臺(tái)可以一次管理多個(gè)探測(cè)器(包括啟動(dòng)、停止、配置、查看運(yùn)行狀態(tài)等),查詢(xún)各個(gè)網(wǎng)段的安全狀況,針對(duì)不同情況制訂相應(yīng)的安全規(guī)則。

3.規(guī)則庫(kù)管理功能:為用戶(hù)提供一個(gè)根據(jù)不同網(wǎng)段具體情況靈活配置安全策略的工具,如一次定制可應(yīng)用于多個(gè)探測(cè)器、默認(rèn)安全規(guī)則等。

4.用戶(hù)管理:對(duì)用戶(hù)權(quán)限進(jìn)行嚴(yán)格的定義,提供口令修改、添加用戶(hù)、刪除用戶(hù)、用戶(hù)權(quán)限配置等功能,有效保護(hù)系統(tǒng)使用的安全性。

第五步 構(gòu)建數(shù)據(jù)庫(kù)管理子系統(tǒng)

一個(gè)好的入侵檢測(cè)系統(tǒng)不僅僅應(yīng)當(dāng)為管理員提供實(shí)時(shí)、豐富的警報(bào)信息,還應(yīng)詳細(xì)地記錄現(xiàn)場(chǎng)數(shù)據(jù),以便于日后需要取證時(shí)重建某些網(wǎng)絡(luò)事件。

數(shù)據(jù)庫(kù)管理子系統(tǒng)的前端程序通常與控制臺(tái)子系統(tǒng)集成在一起,用Access或其他數(shù)據(jù)庫(kù)存儲(chǔ)警報(bào)信息和其他數(shù)據(jù)。該模塊的數(shù)據(jù)來(lái)源有兩個(gè):

① 數(shù)據(jù)分析子系統(tǒng)發(fā)來(lái)的報(bào)警信息及其他重要信息;

② 管理員經(jīng)過(guò)條件查詢(xún)后對(duì)查詢(xún)結(jié)果處理所得的數(shù)據(jù),如生成的本地文件、格式報(bào)表等。

第六步 聯(lián)調(diào),一個(gè)基本的IDS搭建完畢

以上幾步完成之后,一個(gè)IDS的最基本框架已被實(shí)現(xiàn)。但要使這個(gè)IDS順利地運(yùn)轉(zhuǎn)起來(lái),還需要保持各個(gè)部分之間安全、順暢地通信和交互,這就是聯(lián)調(diào)工作所要解決的問(wèn)題。

首先,要實(shí)現(xiàn)數(shù)據(jù)采集分析中心和控制管理中心之間的通信,二者之間是雙向的通信。控制管理中心顯示、整理數(shù)據(jù)采集分析中心發(fā)送過(guò)來(lái)的分析結(jié)果及其他信息,數(shù)據(jù)采集分析中心接收控制管理中心發(fā)來(lái)的配置、管理等命令。注意確保這二者之間通信的安全性,最好對(duì)通信數(shù)據(jù)流進(jìn)行加密操作,以防止被竊聽(tīng)或篡改。同時(shí),控制管理中心的控制臺(tái)子系統(tǒng)和數(shù)據(jù)庫(kù)子系統(tǒng)之間也有大量的交互操作,如警報(bào)信息查詢(xún)、網(wǎng)絡(luò)事件重建等。

聯(lián)調(diào)通過(guò)之后,一個(gè)基本的IDS就搭建完畢。后面要做的就是不斷完善各部分功能,尤其是提高系統(tǒng)的檢測(cè)能力。

【編輯推薦】

  1. 撥開(kāi)迷霧,詳解入侵檢測(cè)、入侵防御和UTM
  2. 無(wú)線(xiàn)局域網(wǎng)中的入侵檢測(cè)系統(tǒng)介紹
  3. 分析入侵檢測(cè)系統(tǒng)漏洞 認(rèn)識(shí)黑客入侵手
責(zé)任編輯:趙寧寧 來(lái)源: 黑客風(fēng)云
相關(guān)推薦

2010-09-08 12:45:16

2023-09-05 09:00:00

工具Python抄襲檢測(cè)系統(tǒng)

2020-03-02 19:47:08

戴爾

2011-11-21 09:57:47

2012-10-10 11:36:02

2011-03-25 09:09:29

算法數(shù)據(jù)庫(kù)

2016-09-21 12:54:10

CAAS系統(tǒng)鏡像

2021-02-08 12:59:12

Git 控制系統(tǒng)

2016-03-28 09:54:27

ios開(kāi)發(fā)入門(mén)

2010-06-23 10:55:10

FreeBSD入門(mén)級(jí)命

2010-09-13 13:58:17

HTML DOM

2010-08-26 10:36:44

2011-10-28 16:03:06

2014-02-26 10:14:51

OpenStack測(cè)試系統(tǒng)

2010-09-08 17:24:53

2016-05-16 11:00:49

IBM大型機(jī)LinuxONE

2010-08-25 14:58:37

2010-08-26 09:12:01

2010-03-08 16:36:53

攻略備案域名注冊(cè)淘寶網(wǎng)

2012-12-31 10:58:12

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)