局域网环境下若干安全问题及对策(10)

　　根据CIDF规范，从功能上将IDS 划分为四个基本部分：数据采集子系统、数据分析子系统、控制台子系统、数据库管理子系统。具体实现起来，一般都将数据采集子系统和数据分析子系统在Linux或Unix平台上实现，称之为数据采集分析中心；将控制台子系统在Windows NT或2000上实现，数据库管理子系统基于Access或其他功能更强大的数据库如SQL等，多跟控制台子系统结合在一起，称之为控制管理中心。构建一个基本的IDS,具体需考虑以下几个方面的内容。 
　　首先，数据采集机制是实现IDS的基础，数据采集子系统位于IDS的最底层，其主要目的是从网络环境中获取事件，并向其他部分提供事件。这就需要使用网络监听来实现审计数据的获取，可以通过对网卡工作模式的设置为“混杂”模式实现对某一段网络上所有数据包的捕获。然后，需要构建并配置探测器，实现数据采集功能。应根据自己网络的具体情况，选用合适的软件及硬件设备，如果网络数据流量很小，用一般的PC机安装Linux即可，如果所监控的网络流量非常大，则需要用一台性能较高的机器；在服务器上开出一个日志分区，用于采集数据的存储；接着应进行有关软件的安装与配置，至此系统已经能够收集到网络数据流了。 
　　其次，应建立数据分析模块。数据分析模块相当于IDS的大脑，它必须具备高度的“智慧”和“判断能力”,所以，在设计此模块之前，需要对各种网络协议、系统漏洞、攻击手法、可疑行为等有一个很清晰、深入地研究，然后制订相应的安全规则库和安全策略，再分别建立滥用检测模型和异常检测模型，让机器模拟自己的分析过程，识别确知特征的攻击和异常行为，最后将分析结果形成报警消息，发送给控制管理中心。设计数据分析模块的工作量浩大，需要不断地更新、升级、完善。在这里需要特别注意3个问题。应优化检测模型和算法的设计，确保系统的执行效率；安全规则的制订要充分考虑包容性和可扩展性，以提高系统的伸缩性；报警消息要遵循特定的标准格式，增强其共享与互操作能力，切忌随意制订消息格式的不规范做法。 
　　第三，需要构建控制台子系统。控制台子系统负责向网络管理员汇报各种网络违规行为，并由管理员对一些恶意行为采取行动（如阻断、跟踪等）。控制台子系统的主要任务有：管理数据采集分析中心，以友好、便于查询的方式显示数据采集分析中心发送过来的警报消息；根据安全策略进行一系列的响应动作，以阻止非法行为，确保网络的安全。控制台子系统的设计重点是：警报信息查询、探测器管理、规则管理及用户管理。 
　　第四，需要构建数据库管理子系统。一个好的入侵检测系统不仅仅应当为管理员提供实时、丰富的警报信息，还应详细地记录现场数据，以便于日后需要取证时重建某些网络事件。数据库管理子系统的前端程序通常与控制台子系统集成在一起，用Access或其他数据库存储警报信息和其他数据。 
　　第五，完成综合调试。以上几步完成之后，一个IDS的最基本框架已被实现。但要使这个IDS顺利地运转起来，还需要保持各个部分之间安全、顺畅地通信和交互，这就是综合调试工作所要解决的问题，主要包括要实现数据采集分析中心和控制管理中心之间的双向通信及保证通信的安全性，最好对通信数据流进行加密操作，以防止被窃听或篡改。同时，控制管理中心的控制台子系统和数据库子系统之间也有大量的交互操作，如警报信息查询、网络事件重建等。经过综合调试后，一个基本的IDS就构建完成了，但是此时还不能放松警惕，因为在以后的应用中要不断地对它进行维护，特别是其检测能力的提高；同时还要注意与防火墙等其它系统安全方面的软件相配合，以期从整体性能上提高局域网的安全能力。 
　　6.局域网安全防范策略 
　　一个网络的防病毒体系是建立在每个局域网的防病毒系统上的，应该根据每个局域网的防病毒要求，建立局域网防病毒控制系统，分别设置有针对性的防病毒策略。