VC279基于改進的BM算法在IDS中的实现.doc

VC279基于改进的BM算法在IDS中的实现 P2.2 入侵检测系统的组成及部署BR2.2.1 入侵检测系统的组成BRIETF(The Internet Engineering Task Force，互联网工程任务组)阐述了一个入侵检测系统的通用模型，将一个入侵检测系统分为四个组件：BR事件产生器(Event generators)BR事件分析器(Event analyzers)BR响应单元(Response units)BR事件数据库(Event databases)BR事件产生器也称为探测器或传感器，它的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。事件分析器又可称为检测引擎，它分析得到数据，并产生分析结果。响应单元则是对分析结果做出反应的功能单元，它可以做出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。事件数据库是存放各种中间和最终数据地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。BR在实际的产品中，入侵检测系统通常是由传感器、分析系统、存储系统和控制台等四部分组成，其中存储系统一般用来存储系统运行的数据和入侵攻击过程，而控制台起其集中管理的作用。图2-1给出了通用入侵检测系统结构。/P P数据nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp; 数据nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp; 数据nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp; 结果/P Pnbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp; 提取nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp; 分析nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp; 处理BR图2-1 通用入侵检测系统结构BR2.2.2 入侵检测系统的部署BR在大型网络中，分析系统工作负载大，存储系统工作量也大，所以在不同的计算机上。网络入侵检测系统的传感器位置非常重要，如果放置位置不正确，入侵检测系统的工作就可能不在最佳状态。BR(1)放在防火墙外BR传感器通常放置在防火墙的DMZ中(Demilitarized Zone，非军事区)。DMZ是介于ISP和最外端防火墙之间的区域，这种安排使入侵检测系统可以看见所有来自Internet的攻击。nbsp;nbsp; BR(2)放在防火墙内BR把传感器放在防火墙内部，这种做法有几个充分理由。传感器放在防火墙外部，攻击者就能够发现传感器，就可能对传感器进行攻击，从而减小攻击者的行动被审计的机会。防火墙内的系统会比外面的系统脆弱性少一些，如果传感器放在防火墙内就会少一些干扰，从而有可能减少误报警。如果本应该被防火墙封锁的攻击渗透进来，传感器在防火墙内就能发现防火墙的设置失误。将传感器放在防火墙内部的最大理由就是设置良好的防火墙能够阻止大部分简单的攻击，使传感器不用将大部分的注意力分散在这类攻击上。BR(3)放在防火墙外和内BR如果不考虑成本，在防火墙外和防火墙内都放置传感器是最佳的选择。这样做有以下优点：无须猜测是否有攻击渗透过防火墙；可以检测来自内部和外部的攻击；可以帮助系统管理员检测到由于设置有问题而无法通过防火墙的内部系统。BR2.3 网络入侵检测系统SnortBR2.3.1 Snort系统概述BRSnort系统是一个以开放源代码形式发行的网络入侵检测系统，由Martin Roesch编写，并由遍布世界各地的众多程序员共同维护和升级。Snort运行在BR2.3.3 Snort系统部分源码简介BR这里使用snort-1.6-beta7进行讲解。展开snort的压缩包，有约50个c程序和头文件，另有约30个其它文件(工程、