简单搭建入侵检测系统

御风而行

　　第一步 获取Libpcap和Tcpdump
　　审计踪迹是IDS的数据来源，而数据采集机制是实现IDS的基础，否则，巧妇难为无米之炊，入侵检测就无从谈起。数据采集子系统位于IDS的最底层，其主要目的是从网络环境中获取事件，并向其他部分提供事件。目前比较流行的做法是：使用Libpcap和Tcpdump，将网卡置于“混杂”模式，捕获某个网段上所有的数据流。
　　Libpcap是Unix或Linux从内核捕获网络数据包的必备工具，它是独立于系统的API接口，为底层网络监控提供了一个可移植的框架，可用于网络统计收集、安全监控、网络调试等应用。
　　Tcpdump是用于网络监控的工具，可能是Unix上最著名的Sniffer了，它的实现基于Libpcap接口，通过应用布尔表达式打印数据包首部，具体执行过滤转换、包获取和包显示等功能。Tcpdump可以帮助我们描述系统的正常行为，并最终识别出那些不正常的行为，当然，它只是有益于收集关于某网段上的数据流(网络流类型、连接等)信息，至于分析网络活动是否正常，那是程序员和管理员所要做的工作。Libpcap和Tcpdump在网上广为流传，开发者可以到相关网站下载。
　　第二步 构建并配置探测器，实现数据采集功能

游客，如果您要查看本帖隐藏内容请回复

hk35544

kankank看看

dycp125

kankank看看

feihe

很笼统。感觉没什么用

281922239

先看看再说

lovesoft

先看看再说

kelvar

第一次看到类似内容，以前没有关注过这方面。感谢提供资料

深海中的游鱼

偶又回来了，这回有时间研究了

pygcnm

看看呵！

sann

正是现在需要的东西，马上学习一下