ids的技術(shù)手段其實(shí)并不很神秘，接下來本文會(huì)用一種“順藤摸瓜”的脈絡(luò)，給大家介紹一個(gè)較簡單的ids入門級(jí)構(gòu)架。從市場分布、入手難易的角度來看，選擇nids作為范例進(jìn)行部署，比較地恰當(dāng)。本文以完全的windows平臺(tái)來貫穿整個(gè)入侵檢測(cè)流程，由于篇幅所限，以定性分析角度來陳述。

　　預(yù)備知識(shí)

　　ids：intrusion detection system（入侵檢測(cè)系統(tǒng)），通過收集網(wǎng)絡(luò)系統(tǒng)信息來進(jìn)行入侵檢測(cè)分析的軟件與硬件的智能組合。

　　對(duì)ids進(jìn)行標(biāo)準(zhǔn)化工作的兩個(gè)組織：作為國際互聯(lián)網(wǎng)標(biāo)準(zhǔn)的制定者ietf的intrusion detection working group（idwg，入侵檢測(cè)工作組）和common intrusion detection framework（cidf，通用入侵檢測(cè)框架）。

　　ids分類：network ids（基于網(wǎng)絡(luò)）、host-based ids（基于主機(jī)）、hybrid ids（混合式）、consoles ids（控制臺(tái)）、file integrity checkers（文件完整性檢查器）、honeypots（蜜罐）。事件產(chǎn)生系統(tǒng)

　　根據(jù)cidf闡述入侵檢測(cè)系統(tǒng)（ids）的通用模型思想，具備所有要素、最簡單的入侵檢測(cè)組件如圖所示。根據(jù)cidf規(guī)范，將ids需要分析的數(shù)據(jù)統(tǒng)稱為event（事件），event既可能是網(wǎng)絡(luò)中的data packets（數(shù)據(jù)包），也可能是從system log等其他方式得到的information（信息）。

　　沒有數(shù)據(jù)流進(jìn)（或數(shù)據(jù)被采集），ids就是無根之木，完全無用武之地。

　　作為ids的基層組織，事件產(chǎn)生系統(tǒng)大可施展拳腳，它收集被定義的所有事件，然后一股腦地傳到其它組件里。在windows環(huán)境下，目前比較基本的做法是使用winpcap和windump。

　　大家知道，對(duì)于事件產(chǎn)生和事件分析系統(tǒng)來說，眼下流行采用linux和unix平臺(tái)的軟件和程序；其實(shí)在windows平臺(tái)中，也有類似libpcap（是unix或linux從內(nèi)核捕獲網(wǎng)絡(luò)數(shù)據(jù)包的必備軟件）的工具即winpcap。

　　winpcap是一套免費(fèi)的， 基于windows的網(wǎng)絡(luò)接口api，把網(wǎng)卡設(shè)置為“混雜”模式，然后循環(huán)處理網(wǎng)絡(luò)捕獲的數(shù)據(jù)包。其技術(shù)實(shí)現(xiàn)簡單，可移植性強(qiáng)，與網(wǎng)卡無關(guān)，但效率不高，適合在100 mbps以下的網(wǎng)絡(luò)

　　相應(yīng)的基于windows的網(wǎng)絡(luò)嗅探工具是windump（是linux/unix平臺(tái)的tcpdump在windows上的移植版），這個(gè)軟件必須基于winpcap接口（這里有人形象地稱winpcap為：數(shù)據(jù)嗅探驅(qū)動(dòng)程序）。使用windump，它能把匹配規(guī)則的數(shù)據(jù)包的包頭給顯示出來。你能使用這個(gè)工具去查找網(wǎng)絡(luò)問題或者去監(jiān)視網(wǎng)絡(luò)上的狀況，可以在一定程度上有效監(jiān)控來自網(wǎng)絡(luò)上的安全和不安全的行為。

　　這兩個(gè)軟件在網(wǎng)上都可以免費(fèi)地找到，讀者還可以查看相關(guān)軟件使用教程。

　　下面大略介紹一下建立事件探測(cè)及采集的步驟

　　1、裝配軟件和硬件系統(tǒng)。根據(jù)網(wǎng)絡(luò)繁忙程度決定是否采用普通兼容機(jī)或性能較高的專用服務(wù)器；安裝nt核心的windows操作系統(tǒng)，推薦使用windows server 2003企業(yè)版，如果條件不滿足也可使用windows 2000 advanced server。分區(qū)格式建議為ntfs格式。

　　2、服務(wù)器的空間劃分要合理有效，執(zhí)行程序的安裝、數(shù)據(jù)日志的存儲(chǔ)，兩者空間最好分別放置在不同分區(qū)。

　　3、winpcap的簡單實(shí)現(xiàn)。首先安裝它的驅(qū)動(dòng)程序，可以到它的主頁或鏡像站點(diǎn)下載winpcap auto-installer (driver+dlls)，直接安裝。

　　注：如果用winpcap做開發(fā)，還需要下載 developer＇s pack。

　　winpcap 包括三個(gè)模塊：第一個(gè)模塊npf（netgroup packet filter），是一個(gè)vxd（虛擬設(shè)備驅(qū)動(dòng)程序）文件。其功能是過濾數(shù)據(jù)包，并把這些包完好無損地傳給用戶態(tài)模塊。第二個(gè)模塊packet.dll為win32平臺(tái)提供了一個(gè)公共接口，架構(gòu)在packet.dll之上，提供了更方便、更直接的編程方法。第三個(gè)模塊 wpcap.dll不依賴于任何操作系統(tǒng)，是底層的動(dòng)態(tài)鏈接庫，提供了高層、抽象的函數(shù)。具體使用說明在各大網(wǎng)站上都有涉及，如何更好利用winpcap需要較強(qiáng)的c環(huán)境編程能力。

　　4、windump的創(chuàng)建。安裝后，在windows命令提示符模式下運(yùn)行，用戶自己可以查看網(wǎng)絡(luò)狀態(tài)，恕不贅述。

　　如果沒有軟件兼容性問題、安裝和配置正確的話，事件探測(cè)及采集已能實(shí)現(xiàn)。

　　事件分析系統(tǒng)

　　由于我們的網(wǎng)絡(luò)大都用交換式以太網(wǎng)交換機(jī)連接，所以建立事件分析系統(tǒng)的目的是實(shí)現(xiàn)對(duì)多種網(wǎng)絡(luò)防火墻設(shè)備的探測(cè)，以及多種采集方式（如基于snmp、syslog數(shù)據(jù)信息的采集）日志的支持，并提供一定的事件日志處理，統(tǒng)計(jì)、分析和查詢功能。

　　事件分析系統(tǒng)是ids的核心模塊，主要功能是對(duì)各種事件進(jìn)行分析，從中發(fā)現(xiàn)違反安全策略的行為，如何建立是重點(diǎn)也是難點(diǎn)。如果自己能或與人合作編寫軟件系統(tǒng)，就需要做好嚴(yán)謹(jǐn)?shù)那捌陂_發(fā)準(zhǔn)備，如對(duì)網(wǎng)絡(luò)協(xié)議、黑客攻擊、系統(tǒng)漏洞有著比較清晰的認(rèn)識(shí)，接著開始制定規(guī)則和策略，它應(yīng)該基于標(biāo)準(zhǔn)的技術(shù)標(biāo)準(zhǔn)和規(guī)范，然后優(yōu)化算法以提高執(zhí)行效率，建立檢測(cè)