入侵检测系统分析及其在Linux下的实现

　　二、Linux下的实现

　　在对入侵检测技术研究的基础上，我们在Linux系统下设计并实现了一个基于网络的入侵检测系统。

　　2.1 系统的组成结构

　　该系统的组成结构如图1所示。数据采集模块负责从网络上收集原始的网络数据流，在经过一定的预处理后，这些数据被送到数据分析模块，由数据分析模块进行分析，以便判断是否有违反安全策略的入侵行为发生。并及时将分析结果送到告警模块，由告警模块向控制台产生告警信息。用户可以通过用户界面与控制台交互，通过控制台，一方面可以对各个模块进行配置，另一方面也可以接收告警信息。

　　图1 系统的组成结构

　　2.2 系统的功能描述

　　该系统实现了入侵检测的主要功能，包括数据采集、数据预处理、入侵分析以及告警。具体来说，可以完成以下功能：

　　● 捕获符合指定条件的网络数据包。

　　● 进行IP重组，提供IP包数据。

　　● 重组TCP流，提供TCP流数据。

　　● 重组应用层数据流，提供HTTP数据流。

　　● 实现基于规则的入侵检测方法。

　　● 向控制台提交分析结果。

　　● 接受控制台的配置和管理。

　　由于该系统功能的实现主要体现在数据采集模块和数据分析模块中，所以下面将对这两个模块加以详细说明。

　　2.3 数据采集模块

　　数据采集是入侵检测的基础，入侵检测的效率在很大程度上依赖于所采集信息的可靠性和正确性。在基于网络的入侵检测系统中，数据采集模块需要监听所保护网络的某个网段或某几台主机的网络流量，经过预处理后得到网络、系统、用户以及应用活动的状态和行为信息。数据采集需要在网络中的若干关键点进行。

　　具体来说，数据采集模块需要监听网络数据包，进行IP重组，进行TCP/UDP协议分析，同时也要进行应用层协议数据流分析。采集到的数据要经过预处理才能提交给数据分析模块。由于不同的分析方法所需要的数据源是不同的，所以预处理也会有很大的不同。但是，一般来说，分析模块所分析的数据都是基于某个网络协议层的数据信息，或是直接采用这些数据的某些部分。因此在该系统的设计中，数据采集模块除了采集数据外，还要对这些信息进行协议分析。协议分析是指将网络上采集到的基于IP的数据进行处理，以便得到基于某种协议的数据。在本系统中主要是针对TCP/IP协议族的分析。