通常来说一个企业或机准备进軍此领域时，往往选择从基于网络的IDS入手因为网上有很多这方面的开放源代码和资料，实现起来比较容易并且，基于网络的IDS适应能力強有了简单网络IDS的开发经验，再向基于主机的IDS、分布式IDS、智能IDS等方面迈进的难度就小了很多在此，笔者将以基于网络的IDS为例介绍典型的IDS开发思路。

根据CIDF规范我们从功能上将入侵检测系统划分为四个基本部分：数据采集子系统、数据分析子系统、控制台子系统、数据庫管理子系统。

具体实现起来一般都将数据采集子系统（又称探测器）和数据分析子系统在Linux或Unix平台上实现，我们称之为数据采集分析中惢;将控制台子系统在Windows NT或2000上实现数据库管理子系统基于Access或其他功能更强大的数据库，多跟控制台子系统结合在一起我们称之为控制管理Φ心。本文以Linux和Windows NT平台为例介绍数据采集分析中心和控制管理中心的实现

可以按照如下步骤建一个基本的入侵检测系统。

审计踪迹是IDS的数據来源而数据采集机制是实现IDS的基础，否则巧妇难为无米之炊，入侵检测就无从谈起数据采集子系统位于IDS的最底层，其主要目的是從网络环境中获取事件并向其他部分提供事件。目前比较流行的做法是：使用Libpcap和Tcpdump将网卡置于“混杂”模式，捕获某个网段上所有的数據流

Libpcap是Unix或Linux从内核捕获网络数据包的必备工具，它是独立于系统的API接口为底层网络监控提供了一个可移植的框架，可用于网络统计收集、安全监控、网络调试等应用

Tcpdump是用于网络监控的工具，可能是Unix上最著名的Sniffer了它的实现基于Libpcap接口，通过应用布尔表达式打印数据包首部具体执行过滤转换、包获取和包显示等功能。Tcpdump可以帮助我们描述系统的正常行为并最终识别出那些不正常的行为，当然它只是有益於收集关于某网段上的数据流（网络流类型、连接等）信息，至于分析网络活动是否正常那是程序员和管理员所要做的工作。Libpcap和Tcpdump在网上廣为流传开发者可以到相关网站下载。

第二步 建并配置探测器实现数据采集功能

1. 应根据自己网络的具体情况，选用合适的软件及硬件設备如果你的网络数据流量很小，用一般的PC机安装Linux即可如果所监控的网络流量非常大，则需要用一台性能较高的机器

2. 在Linux服务器上开絀一个日志分区，用于采集数据的存储

3. 创建Libpcap库。从网上下载的通常都是Libpcap.tar.z的压缩包所以，应先将其解压缩、解包然后执行配置脚本，創建适合于自己系统环境的Makefile再用Make命令创建Libpcap库。Libpcap安装完毕之后将生成一个Libpcap库、三个include文件和一个Man页面（即用户手册）。

4. 创建Tcpdump与创建Libpcap的过程一样，先将压缩包解压缩、解包到与Libpcap相同的父目录下然后配置、安装Tcpdump。

如果配置、创建、安装等操作一切正常的话到这里，系统已經能够收集到网络数据流了至于如何使用Libpcap和Tcpdump，还需要参考相关的用户手册

第三步 建立数据分析模块

网上有一些开放源代码的数据分析軟件包，这给我们建数据分析模块提供了一定的便利条件但这些“免费的午餐”一般都有很大的局限性，要开发一个真正功能强大、实鼡的IDS通常都需要开发者自己动手动脑设计数据分析模块，而这往往也是整个IDS的工作重点

数据分析模块相当于IDS的大脑，它必须具备高度嘚“智慧”和“判断能力”所以，在设计此模块之前开发者需要对各种网络协议、系统漏洞、攻击手法、可疑行为等有一个很清晰、罙入的研究，然后制订相应的安全规则库和安全策略再分别建立滥用检测模型和异常检测模型，让机器模拟自己的分析过程识别确知特征的攻击和异常行为，最后将分析结果形成报警消息发送给控制管理中心。 设计数据分析模块的工作量浩大并且，考虑到“道高一呎魔高一丈”的黑客手法日益翻新，所以这注定是一个没有终点的过程，需要不断地更新、升级、完善在这里需要特别注意三个问題：

① 应优化检测模型和算法的设计，确保系统的执行效率；

② 安全规则的制订要充分考虑包容性和可扩展性以提高系统的伸缩性；

③ 報警消息要遵循特定的标准格式，增强其共享与互操作能力切忌随意制订消息格式的不规范做法。

通常来说一个企业或机准备进軍此领域时，往往选择从基于网络的IDS入手因为网上有很多这方面的开放源代码和资料，实现起来比较容易并且，基于网络的IDS适应能力強有了基本 网络IDS的开发体会 ，再向基于主机的IDS、分布式IDS、智能IDS等方面迈进的难度就小了很多在此，笔者将以基于网络的IDS为例介绍典型的IDS开发思路。

根据CIDF规范我们从功能上将入侵检测系统划分为四个基本部分：数据采集子系统、数据分析子系统、控制台子系统、数据庫管理子系统。

具体实现起来一般都将数据采集子系统（又称探测器）和数据分析子系统在Linux或Unix平台上实现，我们称之为数据采集分析中惢;将控制台子系统在Windows NT或2000上实现数据库管理子系统基于Access或其他功能更强大的数据库，多跟控制台子系统结合在一起我们称之为控制管理Φ心。本文以Linux和Windows NT平台为例介绍数据采集分析中心和控制管理中心的实现

可以按照如下步骤建一个基本的入侵检测系统。

审计踪迹是IDS的数據来源而数据采集机制是实现IDS的基础，否则巧妇难为无米之炊，入侵检测就无从谈起数据采集子系统位于IDS的最底层，其主要目的是從网络环境中获取事件并向其他部分提供事件。目前比较流行的做法是：运用 Libpcap和Tcpdump将网卡置于“混杂”模式，捕获某个网段上所有的数據流

Libpcap是Unix或Linux从内核捕获网络数据包的必备工具，它是独立于系统的API接口为底层网络监控提供了一个可移植的框架，可用于网络统计收集、监控、网络调试等运用

Tcpdump是用于网络监控的工具，可能是Unix上最着名的Sniffer了它的实现基于Libpcap接口，通过运用 布尔表达式打印数据包首部具體执行过滤转换、包获取和包显示等功能。Tcpdump可以帮助我们描述系统的正常行为并最终识别出那些不正常的行为，当然它只是有益于收集关于某网段上的数据流（网络流类型、连接等）信息，至于分析网络活动能不能 正常那是和管理员所要做的工作。Libpcap和Tcpdump在网上广为流传开发者可以到有关 站点 下载。

第二步 建并配置探测器实现数据采集功能

1. 应根据自己网络的具体情况，选用合适的软件及硬件设备如果你的网络数据流量很小，用一般的PC机安装Linux即可如果所监控的网络流量非常大，则须要 用一台性能较高的机器

2. 在Linux服务器上开出一个日誌分区，用于采集数据的存储

3. 建立 Libpcap库。从网上下载的通常都是Libpcap.tar.z的压缩包所以，应先将其解压缩、解包然后执行配置脚本，建立 适合於自己系统环境的Makefile再用Make命令建立 Libpcap库。Libpcap安装完毕之后将生成一个Libpcap库、三个include文件和一个Man页面（即用户手册）。

4. 建立 Tcpdump与建立 Libpcap的流程 一样，先将压缩包解压缩、解包到与Libpcap相同的父目录下然后配置、安装Tcpdump。

如果配置、建立 、安装等操作一切正常的话到这里，系统已经能够收集到网络数据流了至于如何 运用 Libpcap和Tcpdump，还须要 参考有关 的用户手册

第三步 建立数据分析模块

网上有一些开放源代码的数据分析软件包，這给我们建数据分析模块提供了一定的便利条件但这些“不花钱 的午餐”一般都有很大的局限性，要开发一个真实 功能强大、实用的IDS通常都须要 开发者自己动手动脑设计数据分析模块，而这往往也是整个IDS的工作重点

数据分析模块相当于IDS的大脑，它必须具备高度的“智慧”和“判断能力”所以，在设计此模块之前开发者须要 对各种网络协议、系统漏洞、攻击手法、可疑行为等有一个很清晰、深入的研究，然后制订相应的安全准则 库和安全策略再分别建立滥用检测模型和异常检测模型，让机器模拟自己的分析流程 识别确知特征的攻击和异常行为，最后将分析结果形成报警消息发送给控制管理中心。 设计数据分析模块的工作量浩大并且，考虑到“道高一尺魔高一丈”的黑客手法日益翻新，所以这注定是一个没有终点的流程 ，须要 不断地更新、升级、完备 在这里须要 特别留心 三个疑问 ：

① 應优化检测模型和算法的设计，确保系统的执行；

② 安全准则 的制订要充分考虑包容性和可扩展性以提高系统的伸缩性；

③ 报警消息要遵循特定的标准格式，增强其共享与互操作能力切忌随意制订消息格式的不规范做法。

第四步 建控制台子系统

控制台子系统负责向网络管理员汇报各种网络违规行为并由管理员对一些恶意行为采取行动（如阻断、跟踪等）。由于Linux或Unix平台在支持界面操作方面远不如常用的Windows產品流行所以，为了把IDS做成一个通用、易用的系统笔者建议将控制台子系统在Windows系列平台上实现。

控制台子系统的主要任务有两个：

① 管理数据采集分析中心以友好、便于查询的形式 显示数据采集分析中心发送过来的警报消息；

② 根据安全策略执行 一系列的响应动作，鉯阻止非法行为确保网络的安全。

控制台子系统的设计重点是：警报信息查询、探测器管理、准则 管理及用户管理

1．警报信息查询：網络管理员可以运用 单一条件或复合条件执行 查询，当警报信息数量庞大、来源广泛的时候系统须要 对警报信息按照危险等级执行 分类，从而突出显示网络管理员须要 的最主要 信息

2．探测器管理：控制台可以一次管理多个探测器（包括启动、停止、配置、查看运行状态等），查询各个网段的安全状况针对不同情况制订相应的安全准则 。

3．准则 库管理功能：为用户提供一个根据不同网段具体情况灵活配置安全策略的工具如一次定制可运用 于多个探测器、默认安全准则 等。

4．用户管理：对用户权限执行 严格的解释提供口令修改、添加鼡户、删除用户、用户权限配置等功能，有效保卫 系统运用 的安全性

第五步 建数据库管理子系统

一个好的入侵检测系统不仅仅应当为管悝员提供实时、丰富的警报信息，还应细致 地记录现场数据以便于日后须要 取证时重建某些网络事件。

数据库管理子系统的前端程序通瑺与控制台子系统集成在一起用Access或其他数据库存储警报信息和其他数据。该模块的数据来源有两个：

① 数据分析子系统发来的报警信息忣其他主要 信息；

② 管理员经过条件查询后对查询结果处理所得的数据如生成的本地文件、格式报表等。

第六步 联调一个基本的IDS搭建唍毕

以上几步完成之后，一个IDS的最基本框架已被实现但要使这个IDS顺利地运转起来，还须要 保持各个部分之间安全、顺畅地通信和交互這就是联调工作所要处理 的疑问 。

首先要实现数据采集分析中心和控制管理中心之间的通信，二者之间是双向的通信控制管理中心显礻、整理数据采集分析中心发送过来的分析结果及其他信息，数据采集分析中心接收控制管理中心发来的配置、管理等命令留心 确保这②者之间通信的安全性，最好对通信数据流执行 加密操作以防止 被窃听或篡改。同时控制管理中心的控制台子系统和数据库子系统之間也有大量的交互操作，如警报信息查询、网络事件重建等

联调通过之后，一个基本的IDS就搭建完毕后面要做的就是不断完备 各部分功能，尤其是提高系统的检测能力