Windows2003SP2入門IDS構(gòu)建過程

IDS的技術(shù)手段其實(shí)并不很神秘，接下來本文會(huì)用一種“順藤摸瓜”的脈絡(luò)，給大家介紹一個(gè)較簡單的IDS入門級構(gòu)架。從市場分布、入手難易的角度來看，選擇NIDS作為范例進(jìn)行部署，比較地恰當(dāng)。本文以完全的Windows平臺(tái)來貫穿整個(gè)入侵檢測流程，由于篇幅所限，以定性分析角度來陳述。
    預(yù)備知識(shí)
    IDS：Intrusion Detection System（入侵檢測系統(tǒng)），通過收集網(wǎng)絡(luò)系統(tǒng)信息來進(jìn)行入侵檢測分析的軟件與硬件的智能組合。
    對IDS進(jìn)行標(biāo)準(zhǔn)化工作的兩個(gè)組織：作為國際互聯(lián)網(wǎng)標(biāo)準(zhǔn)的制定者IETF的Intrusion Detection working Group（IDWG，入侵檢測工作組）和Common Intrusion Detection Framework（CIDF，通用入侵檢測框架）。
    IDS分類：Network IDS（基于網(wǎng)絡(luò)）、Host-based IDS（基于主機(jī)）、Hybrid IDS（混合式）、Consoles IDS（控制臺(tái)）、File Integrity Checkers（文件完整性檢查器）、Honeypots（蜜罐）。事件產(chǎn)生系統(tǒng)
    根據(jù)CIDF闡述入侵檢測系統(tǒng)（IDS）的通用模型思想，具備所有要素、最簡單的入侵檢測組件如圖所示。根據(jù)CIDF規(guī)范，將IDS需要分析的數(shù)據(jù)統(tǒng)稱為Event（事件），Event既可能是網(wǎng)絡(luò)中的Data Packets（數(shù)據(jù)包），也可能是從System Log等其他方式得到的Information（信息）。
    沒有數(shù)據(jù)流進(jìn)（或數(shù)據(jù)被采集），IDS就是無根之木，完全無用武之地。
    作為IDS的基層組織，事件產(chǎn)生系統(tǒng)大可施展拳腳，它收集被定義的所有事件，然后一股腦地傳到其它組件里。在Windows環(huán)境下，目前比較基本的做法是使用Winpcap和WinDump.
    大家知道，對于事件產(chǎn)生和事件分析系統(tǒng)來說，眼下流行采用Linux和Unix平臺(tái)的軟件和程序；其實(shí)在Windows平臺(tái)中，也有類似Libpcap（是Unix或Linux從內(nèi)核捕獲網(wǎng)絡(luò)數(shù)據(jù)包的必備軟件）的工具即Winpcap.
    Winpcap是一套免費(fèi)的， 基于Windows的網(wǎng)絡(luò)接口API，把網(wǎng)卡設(shè)置為“混雜”模式，然后循環(huán)處理網(wǎng)絡(luò)捕獲的數(shù)據(jù)包。其技術(shù)實(shí)現(xiàn)簡單，可移植性強(qiáng)，與網(wǎng)卡無關(guān)，但效率不高，適合在100 Mbps以下的網(wǎng)絡(luò)
    相應(yīng)的基于Windows的網(wǎng)絡(luò)嗅探工具是WinDump（是Linux/Unix平臺(tái)的Tcpdump在Windows上的移植版），這個(gè)軟件必須基于Winpcap接口（這里有人形象地稱Winpcap為：數(shù)據(jù)嗅探驅(qū)動(dòng)程序）。使用WinDump，它能把匹配規(guī)則的數(shù)據(jù)包的包頭給顯示出來。你能使用這個(gè)工具去查找網(wǎng)絡(luò)問題或者去監(jiān)視網(wǎng)絡(luò)上的狀況，可以在一定程度上有效監(jiān)控來自網(wǎng)絡(luò)上的安全和不安全的行為。
    這兩個(gè)軟件在網(wǎng)上都可以免費(fèi)地找到，讀者還可以查看相關(guān)軟件使用教程。
    下面大略介紹一下建立事件探測及采集的步驟
    1、裝配軟件和硬件系統(tǒng)。根據(jù)網(wǎng)絡(luò)繁忙程度決定是否采用普通兼容機(jī)或性能較高的專用服務(wù)器；安裝NT核心的Windows操作系統(tǒng)，推薦使用Windows Server 2003企業(yè)版，如果條件不滿足也可使用Windows 2000 Advanced Server.分區(qū)格式建議為NTFS格式。
    2、服務(wù)器的空間劃分要合理有效，執(zhí)行程序的安裝、數(shù)據(jù)日志的存儲(chǔ)，兩者空間分別放置在不同分區(qū)。
    3、Winpcap的簡單實(shí)現(xiàn)。首先安裝它的驅(qū)動(dòng)程序，可以到它的主頁或鏡像站點(diǎn)下載WinPcap auto-installer （Driver+DLLs），直接安裝。
    注：如果用Winpcap做開發(fā)，還需要下載 Developer's pack.
    WinPcap 包括三個(gè)模塊：第一個(gè)模塊NPF（Netgroup Packet Filter），是一個(gè)VxD（虛擬設(shè)備驅(qū)動(dòng)程序）文件。其功能是過濾數(shù)據(jù)包，并把這些包完好無損地傳給用戶態(tài)模塊。第二個(gè)模塊packet.dll為Win32平臺(tái)提供了一個(gè)公共接口，架構(gòu)在packet.dll之上，提供了更方便、更直接的編程方法。第三個(gè)模塊 Wpcap.dll不依賴于任何操作系統(tǒng)，是底層的動(dòng)態(tài)鏈接庫，提供了高層、抽象的函數(shù)。具體使用說明在各大網(wǎng)站上都有涉及，如何更好利用Winpcap需要較強(qiáng)的C環(huán)境編程能力。
    4、WinDump的創(chuàng)建。安裝后，在Windows命令提示符模式下運(yùn)行，用戶自己可以查看網(wǎng)絡(luò)狀態(tài)，恕不贅述。
    如果沒有軟件兼容性問題、安裝和配置正確的話，事件探測及采集已能實(shí)現(xiàn)。