[一种入侵检测模式算法新技术]日前，启明星辰公司在IDS/IPS产品中成功地研制和实现了一种高效的自适应模式匹配VAPM方法(Venus Adaptive Pattern Match)。该方法根据网络攻击指纹(模式)特征和协议变量特征...+阅读

第一步 获取Libpcap和Tcpdump

审计踪迹是IDS的数据来源，而数据采集机制是实现IDS的基础，否则，巧妇难为无米之炊，入侵检测就无从谈起。数据采集子系统位于IDS的最底层，其主要目的是从网络环境中获取事件，并向其他部分提供事件。目前比较流行的做法是：使用Libpcap和Tcpdump，将网卡置于“混杂”模式，捕获某个网段上所有的数据流。

Libpcap是Unix或Linux从内核捕获网络数据包的必备工具，它是独立于系统的API接口，为底层网络监控提供了一个可移植的框架，可用于网络统计收集、安全监控、网络调试等应用。

Tcpdump是用于网络监控的工具，可能是Unix上最著名的Sniffer了，它的实现基于Libpcap接口，通过应用布尔表达式打印数据包首部，具体执行过滤转换、包获取和包显示等功能。Tcpdump可以帮助我们描述系统的正常行为，并最终识别出那些不正常的行为，当然，它只是有益于收集关于某网段上的数据流（网络流类型、连接等）信息，至于分析网络活动是否正常，那是程序员和管理员所要做的工作。Libpcap和Tcpdump在网上广为流传，开发者可以到相关网站下载。

第二步 构建并配置探测器，实现数据采集功能

1. 应根据自己网络的具体情况，选用合适的软件及硬件设备，如果你的网络数据流量很小，用一般的PC机安装Linux即可，如果所监控的网络流量非常大，则需要用一台性能较高的机器。

2. 在Linux服务器上开出一个日志分区，用于采集数据的存储。

3. 创建Libpcap库。从网上下载的通常都是Libpcap.tar.z的压缩包，所以，应先将其解压缩、解包，然后执行配置脚本，创建适合于自己系统环境的Makefile，再用Make命令创建Libpcap库。Libpcap安装完毕之后，将生成一个Libpcap库、三个include文件和一个Man页面（即用户手册）。

4. 创建Tcpdump。与创建Libpcap的过程一样，先将压缩包解压缩、解包到与Libpcap相同的父目录下，然后配置、安装Tcpdump。

如果配置、创建、安装等操作一切正常的话，到这里，系统已经能够收集到网络数据流了。至于如何使用Libpcap和Tcpdump，还需要参考相关的用户手册。

第三步 建立数据分析模块

网上有一些开放源代码的数据分析软件包，这给我们构建数据分析模块提供了一定的便利条件，但这些“免费的午餐”一般都有很大的局限性，要开发一个真正功能强大、实用的IDS，通常都需要开发者自己动手动脑设计数据分析模块，而这往往也是整个IDS的工作重点。

数据分析模块相当于IDS的大脑，它必须具备高度的“智慧”和“判断能力”。所以，在设计此模块之前，开发者需要对各种网络协议、系统漏洞、攻击手法、可疑行为等有一个很清晰、深入的研究，然后制订相应的安全规则库和安全策略，再分别建立滥用检测模型和异常检测模型，让机器模拟自己的分析过程，识别确知特征的攻击和异常行为，最后将分析结果形成报警消息，发送给控制管理中心。 设计数据分析模块的工作量浩大，并且，考虑到“道高一尺，魔高一丈”的黑客手法日益翻新，所以，这注定是一个没有终点的过程，需要不断地更新、升级、完善。在这里需要特别注意三个问题：

① 应优化检测模型和算法的设计，确保系统的执行效率；

② 安全规则的制订要充分考虑包容性和可扩展性，以提高系统的伸缩性；

③ 报警消息要遵循特定的标准格式，增强其共享与互操作能力，切忌随意制订消息格式的不规范做法。

以下为关联文档：

入侵监测系统的功能与作用入侵检测技术IDS是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计...

怎么入侵一台电脑下面介绍一种win9x下的入侵方法： 1.取得对方ip地址如xx.xx.xx.xx，方法太多不细讲了。 2.判断对方上网的地点，开个dos窗口键入 tracert xx.xx.xx.xx 第4和第5行反映的信息既是对...

教你知道了别人IP如何入侵别人的电脑黑客已经成为一种文化，很多人想成为黑客，他们偶尔学到了几种小花招，总喜欢拿别人开玩笑，搞些恶作剧。其实黑客的最高境界在于防守，不在于进攻。所谓明枪易躲暗箭难防，要防住他人所...

怎么样入侵另外一台电脑下面介绍一种WIN9X下的入侵方法： 1.取得对方IP地址如XX.XX.XX.XX，方法太多不细讲了。 2.判断对方上网的地点，开个DOS窗口键入 TRACERT XX.XX.XX.XX 第4和第5行反映的信息既是对...

具体的入侵电脑的方法IPC入侵攻略！其实针对IPC漏洞入侵的方法目前已经有很多的教程，但是其中很多教程并不完整，所以还是有很多网友来信问我关于IPC漏洞入侵的有关问题，这就是我写这篇文章的原因了。...

怎样通过对方的ip入侵对方的电脑1.取得对方IP地址如XX.XX.XX.XX，方法太多不细讲了。 2.判断对方上网的地点，开个DOS窗口键入 TRACERT XX.XX.XX.XX 第4和第5行反映的信息既是对方的上网地点。 3.得到对方电脑...

关于电脑病毒入侵的 SPI是什么意思是硬件接口吧，怎么会这样？[：355:]SPI：高速同步串行口 SPI：高速同步串行口。是一种标准的四线同步双向串行总线。 SPI，是英语Serial Peripheral interface的缩写，顾名思义就是串行外...

怎样防止物种入侵外来生物入侵 一、生物入侵的概念 对于一个特定的生态系统与栖息环境来说，任何非本地的生物都叫外来生物，它指的是出现在其自然分布范围（过去或现在）和分布位置以外（即在原分布范...

入侵他人住宅罪的构成要件有哪些非法侵入他人住宅罪构成要件 1， 犯罪主体 非法侵入他人住宅罪的犯罪主体为一般主体，即年满16周岁、具备刑事责任能力的公民。 2， 犯罪客体 对非法侵入住宅罪的犯罪客体，学理上存...