浅谈怎样构建一个简单的入侵检测系统.pdfVIP

科学之友 FnendofScienceAmateurs 2008年11月(32)囝 浅谈怎样构建一个简单的入侵检测系统 刘俊杰 (太原理工大学阳泉学院，山西 阳泉 045000) 摘 要：文章简单介绍了什么是入侵检测系统，并从理论上比较系统地阐述了怎样构建一 个基本的入侵检测系统。 关键词：入侵检测；防火墙；CIDF；libpcap；tcpdump 中图分类号：TP393 文献标识码：A 文章编号：1000—8136(2008)32—0144-03 近年来，随着信息和网络技术的高速发展以及政治、经济或 Intrusiondetectionobjcets，通用入侵检测对象)和 CISL(common 军事利益的驱动，计算机和网络基础设施，特别是各种官方机构 intrusionspecificationlanguage，通用人侵规范语言)。 的网站，成为黑客攻击的热门目标。近年来对电子商务的热切需 入侵检测系统基本分为两种；主机入侵检测系统(HIDs)网 求 ，更加激化了这种入侵事件的增长趋势。由于防火墙只防外不 络入侵检测系统(NIDS)。前者分析对象为主机审计 日志，所以需 防内，并且很容易被绕过 ，所以仅仅依赖防火墙的计算机系统已 要在主机上安装软件。针对不同的系统、不同的版本，需要安装不 经不能对付 日益猖獗的入侵行为，对付人侵行为的第二道防 同的主机引擎，安装配置较为复杂。同时对系统的运行和稳定性 线——入侵检测系统就被启用了。 会造成一定的影响，但因为内在结构没有任何束缚 ，同时可以利 入侵检测(IntrusionDetection)就是指通过对行为、安全 日志 用操作系统本身提供的功能并结合异常分析，可以更准确地报告 或审计数据或其他网络上可以获得的信息进行操作。检测到对系 攻击行为，只是 目前在国内应用较少 ；而后者分析对象为网络数 统的闯入或闯入的企图的发觉。它通过对计算机网络或计算机 据流，只需安装在网络的监听端口上，对系统的运行无任何影响， 系统中的若干关键点收集信息并对其进行分析，从中发现网络或 它更适合阻止扫描和拒绝网络服务攻击，它对处理升级非法账 系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测 号、破坏策略和篡改日志并不特别有效，但其使用便捷，一个网段 技术是为保证计算机系统的安全而设计与配置的一种能够及时 上只需安装一个或几个这样的系统，便可以监测整个网段的情 发现并报告系统中未授权或异常现象的技术，是一种用于检测计 况，所以目前在国内使用较为广泛。 算机网络中违反安全策略行为的技术。进行入侵检测的软件与 1 获取 libpcap和tcpdump 硬件的组合便构成了入侵检测系统 (IntrusionDetection，简称 IDS)。通用结构模型见图1。 审计踪迹是IDS的数据来源，而数据采集机制是实现IDS的 基础，否则，“巧妇难为无米之炊”。入侵检测就无从谈起。数据采 事件产生器 事件分析器 集子系统位于IDS的最底层，其主要 目的是从网络环境中获取事 件，并向其他部分提供事件。目前，比较流行的做法是使用libp— cap和tclxtump，将网卡置于 “混杂”模式 ，捕获某个网段上所有的