IDS的定义
简单的说,IDS 的唯一目的就是当场侦测到网络入侵事件的发生。IDS 就是一个网络上的系统,这个系统包含了下面三个组件:
IDS 以及透过网页的网络入侵事件
IDS 不只必须侦测各式各样,从大到小,以及各种系列的系统上的网络攻击事件,它还必须能够有效率的在第一时间内侦测到事件的发生。因此,IDS 的数据库以及式样比对(pattern-matching)机制是复杂到令人难以置信的。有些市面上热门的 IDS 是来自 ISS Security Systems 的RealSecure 有些则是来自 NFR 的NFR。最近有个开放原始码的 IDS 计划,颇受大家欢迎,那就是Snort 计划。正当追求完美的 IDS 的热诚毫无衰退之际(很多研讨会资料以及博士论文都专注于这个课题的讨论以及激辩上),我们还是把我们的讨论局限在利用 IDS 侦测透过网页的入侵事件吧。
要使 IDS 能够侦测透过网页的入侵事件,其中的网络侦测组件就必须要能够捕捉所有透过网页通讯端口上,借着 HTTP 通讯协议传递的网络资料往来。注意,SSL 的网络交通是完全绕过 IDS 的网络侦测的,因为这些网络往来资料都是经过加密的。(请参阅我们的SSL attacks 的专题)。式样比对组件在这里,主要是用于比较 URL 解析的结果,看看是否符合数据库中的恶意的 HTTP 回询(request)。
接下来,这篇文章会谈到如何制作两个快速而简易的 IDS,用来侦测可疑的网页回询活动。这些解决方案的目的是在于提供系统管理者,让他们拥有一个客制化,特别针对他们网络而设计的监测/响应系统。
