【正文】 　　入侵檢測的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。由放置在不同網(wǎng)段的傳感器或不同主機的代理來收集信息，包括系統(tǒng)和網(wǎng)絡(luò)日志文件、網(wǎng)絡(luò)流量、非正常的目錄和文件改變、非正常的程序執(zhí)行。 　　第二步是信息分析，收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息，被送到檢測引擎，檢測引擎駐留在傳感器中，一般通過三種技術(shù)手段進行分析：模式匹配、統(tǒng)計分析和完整性分析。當(dāng)檢測到某種誤用模式時，產(chǎn)生一個告警并發(fā)送給控制臺。 　　第三步是結(jié)果處理，控制臺按照告警產(chǎn)生預(yù)先定義的響應(yīng)采取相應(yīng)措施，可以是重新配置路由器或防火墻、終止進程、切斷連接、改變文件屬性，也可以只是簡單的告警。 　　局域網(wǎng)入侵檢測系統(tǒng)的構(gòu)建方法 　　根據(jù)CIDF規(guī)范，從功能上將IDS劃分為四個基本部分：數(shù)據(jù)采集子系統(tǒng)、數(shù)據(jù)分析子系統(tǒng)、控制臺子系統(tǒng)、數(shù)據(jù)庫管理子系統(tǒng)。具體實現(xiàn)起來，一般都將數(shù)據(jù)采集子系統(tǒng)和數(shù)據(jù)分析子系統(tǒng)在Linux或Unix平臺上實現(xiàn)，稱之為數(shù)據(jù)采集分析中心；將控制臺子系統(tǒng)在WindowsNT或2000上實現(xiàn)，數(shù)據(jù)庫管理子系統(tǒng)基于Access或其他功能更強大的數(shù)據(jù)庫如SQL等，多跟控制臺子系統(tǒng)結(jié)合在一起，稱之為控制管理中心。構(gòu)建一個基本的IDS,具體需考慮以下幾個方面的內(nèi)容。 　　首先，數(shù)據(jù)采集機制是實現(xiàn)IDS的基礎(chǔ)，數(shù)據(jù)采集子系統(tǒng)位于IDS的最底層，其主要目的是從網(wǎng)絡(luò)環(huán)境中獲取事件，并向其他部分提供事件。這就需要使用網(wǎng)絡(luò)監(jiān)聽來實現(xiàn)審計數(shù)據(jù)的獲取，可以通過對網(wǎng)卡工作模式的設(shè)置為“混雜”模式實現(xiàn)對某一段網(wǎng)絡(luò)上所有數(shù)據(jù)包的捕獲。然后，需要構(gòu)建并配置探測器，實現(xiàn)數(shù)據(jù)采集功能。應(yīng)根據(jù)自己網(wǎng)絡(luò)的具體情況，選用合適的軟件及硬件設(shè)備，如果網(wǎng)絡(luò)數(shù)據(jù)流量很小，用一般的PC機安裝Linux即可，如果所監(jiān)控的網(wǎng)絡(luò)流量非常大，則需要用一臺性能較高的機器；在服務(wù)器上開出一個日志分區(qū)，用于采集數(shù)據(jù)的存儲；接著應(yīng)進行有關(guān)軟件的安裝與配置，至此系統(tǒng)已經(jīng)能夠收集到網(wǎng)絡(luò)數(shù)據(jù)流了。 　　其次，應(yīng)建立數(shù)據(jù)分析模塊。數(shù)據(jù)分析模塊相當(dāng)于IDS的大腦，它必須具備高度的“智慧”和“判斷能力”,所以，在設(shè)計此模塊之前，需要對各種網(wǎng)絡(luò)協(xié)議、系統(tǒng)漏洞、攻擊手法、可疑行為等有一個很清晰、深入地研究，然后制訂相應(yīng)的安全規(guī)則庫和安全策略，再分別建立濫用檢測模型和異常檢測模型，讓機器模擬自己的分析過程，識別確知特征的攻擊和異常行為，最后將分析結(jié)果形成報警消息，發(fā)送給控制管理中心。設(shè)計數(shù)據(jù)分析模塊的工作量浩大，需要不斷地更新、升級、完善。在這里需要特別注意3個問題。應(yīng)優(yōu)化檢測模型和算法的設(shè)計，確保系統(tǒng)的執(zhí)行效率；安全規(guī)則的制訂要充分考慮包容性和可擴展性，以提高系統(tǒng)的伸縮性；報警消息要遵循特定的標(biāo)準(zhǔn)格式，增強其共享與互操作能力，切忌隨意制訂消息格式的不規(guī)范做法。 　　第三，需要構(gòu)建控制臺子系統(tǒng)?？刂婆_子系統(tǒng)負(fù)責(zé)向網(wǎng)絡(luò)管理員匯報各種網(wǎng)絡(luò)違規(guī)行為，并由管理員對一些惡意行為采取行動（如阻斷、跟蹤等）?？刂婆_子系統(tǒng)的主要任務(wù)有：管理數(shù)據(jù)采集分析中心，以友好、便于查詢的方式顯示數(shù)據(jù)采集分析中心發(fā)送過來的警報消息；根據(jù)安全策略進行一系列的響應(yīng)動作，以阻止非法行為，確保網(wǎng)絡(luò)的安全?？刂婆_子系統(tǒng)的設(shè)計重點是：警報信息查詢、探測器管理、規(guī)則管理及用戶管理。 　　第四，需要構(gòu)建數(shù)據(jù)庫管理子系統(tǒng)。一個好的入侵檢測系統(tǒng)不僅僅應(yīng)當(dāng)為管理員提供實時、豐富的警報信息，還應(yīng)詳細(xì)地記錄現(xiàn)場數(shù)據(jù)，以便于日后需要取證時重建某些網(wǎng)絡(luò)事件。數(shù)據(jù)庫管理子系統(tǒng)的前端程序通常與控制臺子系統(tǒng)集成在一起，用Access或其他數(shù)據(jù)庫存儲警報信息和其他數(shù)據(jù)。 　　第五，完成綜合調(diào)試。以上幾步完成之后，一個IDS的最基本框架已被實現(xiàn)。但要使這個IDS順利地運轉(zhuǎn)起來，還需要保持各個部分之間安全、順暢地通信和交互，這就是綜合調(diào)試工作所要解決的問題，主要包括要實現(xiàn)數(shù)據(jù)采集分析中心和控制管理中心之間的雙向通信及保證通信的安全性，最好對通信數(shù)據(jù)流進行加密操作，以防止被竊聽或篡改。同時，控制管理中心的控制臺子系統(tǒng)和數(shù)據(jù)庫子系統(tǒng)之間也有大量的交互操作，如警報信息查詢、網(wǎng)絡(luò)事件重建等。經(jīng)過綜合調(diào)試后，一個基本的IDS就構(gòu)建完成了，但是此時還不能放松警惕，因為在以后的應(yīng)用中要不斷地對它進行維護，特別是其檢測能力的提高；同時還要注意與防火墻等其它系統(tǒng)安全方面的軟件相配合，以期從整體性能上提高局域網(wǎng)的安全能力。 　　 　　一個網(wǎng)絡(luò)的防病毒體系是建立在每個局域網(wǎng)的防病毒系統(tǒng)上的，應(yīng)該根據(jù)每個局域網(wǎng)的防病毒要求，建立局域網(wǎng)防病毒控制系統(tǒng)，分別設(shè)置有針對性的防病毒策略。 　　劃分VLAN防止網(wǎng)絡(luò)偵聽 　　運用VLAN（虛擬局域網(wǎng)）技術(shù)，將以太網(wǎng)通信變?yōu)辄c到點通信，防止大部分基于網(wǎng)絡(luò)偵聽的入侵。目前的VLAN技術(shù)主要有三種：基于交換機端口的VLAN、基于節(jié)點MAC地址的VLAN和基于應(yīng)用協(xié)議的VLAN?；诙丝诘腣LAN雖然稍欠靈活，但卻比較成熟，在實際應(yīng)用中效果顯著，廣受歡迎。基于MAC地址的VLAN為移動計算提供了可能性，但同時也潛藏著遭受MAC欺詐攻擊的隱患。 　　網(wǎng)絡(luò)分段 　　局域網(wǎng)大多采用以廣播為基礎(chǔ)的以太網(wǎng)，任何兩個節(jié)點之間的通信數(shù)據(jù)包，不僅為這兩個節(jié)點的網(wǎng)卡所接收，也同時為處在同一以太網(wǎng)上的任何一個節(jié)點的網(wǎng)卡所截取。因此，黑客只要接入以太網(wǎng)上的任一節(jié)點進行偵聽，就可以捕獲發(fā)生在這個以太網(wǎng)上的所有數(shù)據(jù)包，對其進行解包分析，從而竊取關(guān)鍵信息，這就是以太網(wǎng)所固有的安全隱患。網(wǎng)絡(luò)分段就是將非法用戶與網(wǎng)絡(luò)資源相互隔離，從而達到限制用戶非法訪問的目的。所以網(wǎng)絡(luò)分段是保證局域網(wǎng)安全的一項重要措施。 　　以交換式集線器代替共享式集線器 　　對局域網(wǎng)的中心交換機進行網(wǎng)絡(luò)分段后，以太網(wǎng)偵聽的危險仍然存在。這是因為網(wǎng)絡(luò)最終用戶的接入往往是通過分支集線器而不是中心交換機，而使用最廣泛的分支集線器通常是共享式集線器。這樣，當(dāng)用戶與主機進行數(shù)據(jù)通信時，兩臺機器之間的數(shù)據(jù)包（稱為單播包UnicastPacket）還是會被同一臺集線器上的其他用戶所偵聽。一種很危險的情況是:用戶TELNET到一臺主機上，由于TELNET程序本身缺乏加密功能，用戶所鍵入的每一個字符（包括用戶名、密碼等重要信息），都將被明文發(fā)送，這就給黑客提供了機會。因此，應(yīng)該以交換式集線器代替共享式集線器，使單播包僅在兩個節(jié)點之間傳送，從而防止非法偵聽。當(dāng)然，交換式集線器只能控制單播包而無法控制廣播包（BroadcastPacket）和多播包（MulticastPacket）。所幸的是，廣播包和多播包內(nèi)的關(guān)鍵信息，要遠(yuǎn)遠(yuǎn)少于單播包。 　　實施IP/MAC綁定 　　很多網(wǎng)關(guān)軟件實施流量過濾時都是基于IP或MAC地址，對控制普通用戶起到了很好的效果，但對于高級用戶就顯得無能為力了，因為不管是IP或是MAC地址都可以隨意修改。要實施基于IP或MAC地址過濾的訪問控制，就必須進行IP/MAC地址的綁定，禁止用戶對IP或MAC的修改。首先通過交換機實施用戶與交換機端口的MAC綁定，再通過服務(wù)器網(wǎng)絡(luò)管理實施IP/MAC綁定，這樣用戶既不能改網(wǎng)卡的MAC地址，也不能改IP地址。通過IP/MAC綁定后，再實施流量過濾就顯得有效多了。 　　 　　網(wǎng)絡(luò)安全技術(shù)和病毒防護是一個涉及多方面的系統(tǒng)工程，在實際工作中既需要綜合運用以上方法，還要將安全策略、硬件及軟件等方法結(jié)合起來，構(gòu)成一個統(tǒng)一的防御系統(tǒng)，又需要規(guī)范和創(chuàng)建必要的安全管理模式、規(guī)章制度來約束人們的行為。因此，局域網(wǎng)安全不是一個單純的技術(shù)問題，它涉及整個網(wǎng)絡(luò)安全系統(tǒng)，包括防范技術(shù)、規(guī)范管理等多方面因素。只要我們正視網(wǎng)絡(luò)的脆弱性和潛在威脅，不斷健全網(wǎng)絡(luò)的相關(guān)法規(guī)，提高網(wǎng)絡(luò)安全防范的技術(shù)是否被授權(quán)，從而阻止對信息資源的非法用戶使用網(wǎng)絡(luò)系統(tǒng)時所進行的所有活動的水平，才能有力地保障網(wǎng)絡(luò)安全。 　　[①].高傳善，[M].高等教育出版社,2001:89 　　[②].鄧亞平.計算機網(wǎng)絡(luò)安全[M].人民郵電出版社,2004:110. 　　[③].李成大,[M].人民郵電出版社，2004:72117寧可累死在路上，也不能閑死在家里！寧可去碰壁，也不能面壁。是狼就要練好牙，是羊就要練好腿。什么是奮斗？奮斗就是每天很難，可一年一年卻越來越容易。不奮斗就是每天都很容易，可一年一年越來越難。能干的人，不在情緒上計較，只在做事上認(rèn)真；無能的人！不在做事上認(rèn)真，只在情緒上計較。拼一個春夏秋冬！贏一個無悔人生！早安！—————獻給所有努力的人.學(xué)習(xí)