วิธีการทางเทคนิคของ IDS จริงๆ แล้วไม่ได้ลึกลับมากนัก ต่อไป บทความนี้จะใช้แนวทาง "follow the vine" เพื่อแนะนำ สถาปัตยกรรมระดับเริ่มต้นที่ค่อนข้างง่ายของ IDS จากมุมมองของการกระจายตลาดและความง่ายในการได้มา การเลือก NIDS เป็นตัวอย่างในการปรับใช้จะเหมาะสมกว่า บทความนี้ใช้แพลตฟอร์ม Windows ที่สมบูรณ์เพื่อดำเนินการผ่านกระบวนการตรวจจับการบุกรุกทั้งหมด เนื่องจากข้อจำกัดด้านพื้นที่ จึงระบุไว้จากมุมมองของการวิเคราะห์เชิงคุณภาพ
ความรู้เบื้องต้น
IDS: ระบบตรวจจับการบุกรุก การผสมผสานอย่างชาญฉลาดของซอฟต์แวร์และฮาร์ดแวร์ที่รวบรวมข้อมูลระบบเครือข่ายเพื่อทำการตรวจจับและวิเคราะห์การบุกรุก
มีสององค์กรที่ดำเนินงานด้านมาตรฐานเกี่ยวกับ IDS ได้แก่ คณะทำงานการตรวจจับการบุกรุก (IDWG, คณะทำงานการตรวจจับการบุกรุก) ของ IETF ผู้กำหนดมาตรฐานอินเทอร์เน็ตระหว่างประเทศ และกรอบงานการตรวจจับการบุกรุกทั่วไป (CIDF, กรอบงานการตรวจจับการบุกรุกทั่วไป)
การจัดประเภท IDS: IDS เครือข่าย (บนเครือข่าย), IDS บนโฮสต์ (บนโฮสต์), IDS แบบไฮบริด (แบบไฮบริด), IDS คอนโซล (คอนโซล), ตัวตรวจสอบความสมบูรณ์ของไฟล์ (ตัวตรวจสอบความสมบูรณ์ของไฟล์), Honeypots (honeypots) ระบบการสร้างเหตุการณ์
ตามแนวคิดแบบจำลองทั่วไปของระบบตรวจจับการบุกรุก (IDS) ที่อธิบายโดย CIDF ส่วนประกอบการตรวจจับการบุกรุกที่ง่ายที่สุดพร้อมองค์ประกอบทั้งหมดจะแสดงในรูป ตามข้อกำหนดของ CIDF ข้อมูลที่ IDS จำเป็นต้องวิเคราะห์เรียกรวมกันว่าเหตุการณ์ต่างๆ อาจเป็นแพ็กเก็ตข้อมูลในเครือข่ายหรือข้อมูลที่ได้รับจากบันทึกระบบหรือวิธีการอื่นๆ
หากไม่มีข้อมูลไหลเข้า (หรือรวบรวมข้อมูล) IDS จะเป็นต้นไม้ที่ไม่มีรากและไม่มีประโยชน์โดยสิ้นเชิง
เนื่องจากเป็นองค์กรพื้นฐานของ IDS ระบบการสร้างเหตุการณ์จึงมีบทบาทสำคัญ โดยจะรวบรวมเหตุการณ์ที่กำหนดทั้งหมดแล้วส่งต่อไปยังส่วนประกอบอื่นๆ ในคราวเดียว ในสภาพแวดล้อม Windows วิธีการพื้นฐานในปัจจุบันคือการใช้ Winpcap และ WinDump
ดังที่เราทุกคนทราบกันดีว่าในปัจจุบันซอฟต์แวร์และโปรแกรมที่ใช้แพลตฟอร์ม Linux และ Unix กำลังเป็นที่นิยมสำหรับการสร้างเหตุการณ์และการวิเคราะห์เหตุการณ์ จริงๆ แล้วบนแพลตฟอร์ม Windows ยังมีซอฟต์แวร์ที่คล้ายกับ Libpcap (ซึ่งเป็นซอฟต์แวร์ที่จำเป็นสำหรับ Unix หรือ Linux เพื่อจับแพ็กเก็ตเครือข่ายจากเคอร์เนล) เครื่องมือคือ Winpcap
Winpcap เป็น API อินเทอร์เฟซเครือข่ายที่ใช้ Windows ฟรีซึ่งตั้งค่าการ์ดเครือข่ายเป็นโหมด "สำส่อน" จากนั้นวนซ้ำผ่านแพ็กเก็ตที่จับเครือข่าย เทคโนโลยีนี้ใช้งานง่าย พกพาสะดวก และไม่เกี่ยวข้องกับการ์ดเครือข่าย แต่ไม่มีประสิทธิภาพและเหมาะสำหรับเครือข่ายที่มีความเร็วต่ำกว่า 100 Mbps
เครื่องมือดมกลิ่นเครือข่ายที่ใช้ Windows ที่สอดคล้องกันคือ WinDump (เวอร์ชันที่พอร์ตของ Tcpdump บนแพลตฟอร์ม Linux/Unix บน Windows) ซอฟต์แวร์นี้จะต้องใช้อินเทอร์เฟซ Winpcap (มีคนที่นี่เรียก Winpcap: data sniffing driver อย่างชัดเจน) การใช้ WinDump จะสามารถแสดงส่วนหัวของแพ็กเก็ตข้อมูลที่ตรงกับกฎได้ คุณสามารถใช้เครื่องมือนี้เพื่อค้นหาปัญหาเครือข่ายหรือตรวจสอบสภาพเครือข่าย คุณสามารถตรวจสอบพฤติกรรมที่ปลอดภัยและไม่ปลอดภัยจากเครือข่ายได้อย่างมีประสิทธิภาพในระดับหนึ่ง
ซอฟต์แวร์ทั้งสองสามารถพบได้ทางออนไลน์ฟรี และผู้อ่านยังสามารถดูบทช่วยสอนการใช้งานซอฟต์แวร์ที่เกี่ยวข้องได้อีกด้วย
ต่อไปนี้เป็นคำแนะนำโดยย่อเกี่ยวกับขั้นตอนในการสร้างการตรวจจับและรวบรวมเหตุการณ์
1. ประกอบระบบซอฟต์แวร์และฮาร์ดแวร์ ตัดสินใจว่าจะใช้คอมพิวเตอร์ทั่วไปที่ใช้งานร่วมกันได้หรือเซิร์ฟเวอร์เฉพาะที่มีประสิทธิภาพสูงกว่า ทั้งนี้ขึ้นอยู่กับความยุ่งของเครือข่าย ขอแนะนำให้ใช้ Windows Server 2003 Enterprise Edition หากไม่ตรงตามเงื่อนไข คุณยังสามารถใช้ Windows 2000 Advanced Server ได้ แนะนำให้ใช้รูปแบบพาร์ติชันเป็นรูปแบบ NTFS
2. การแบ่งพื้นที่ของเซิร์ฟเวอร์ต้องสมเหตุสมผลและมีประสิทธิภาพ สำหรับการติดตั้งโปรแกรมดำเนินการและการจัดเก็บบันทึกข้อมูล วิธีที่ดีที่สุดคือวางช่องว่างทั้งสองไว้ในพาร์ติชันที่ต่างกัน
3. การใช้งาน Winpcap อย่างง่าย ขั้นแรกให้ติดตั้งไดรเวอร์ คุณสามารถดาวน์โหลดโปรแกรมติดตั้งอัตโนมัติ WinPcap (ไดรเวอร์+DLL) ได้จากหน้าแรกหรือไซต์มิเรอร์และติดตั้งโดยตรง
หมายเหตุ: หากคุณใช้ Winpcap เพื่อการพัฒนา คุณจะต้องดาวน์โหลด Developer's pack ด้วย
WinPcap มีสามโมดูล: โมดูลแรก NPF (Netgroup Packet Filter) เป็นไฟล์ VxD (Virtual Device Driver) หน้าที่ของมันคือกรองแพ็กเก็ตข้อมูลและส่งแพ็กเก็ตเหล่านี้ไปยังโมดูลโหมดผู้ใช้ โมดูลที่สอง packet.dll มีอินเทอร์เฟซสาธารณะสำหรับแพลตฟอร์ม Win32 ซึ่งสร้างขึ้นบน packet.dll และให้วิธีการเขียนโปรแกรมที่สะดวกและตรงยิ่งขึ้น โมดูลที่สาม Wpcap.dll ไม่ได้ขึ้นอยู่กับระบบปฏิบัติการใด ๆ แต่เป็นไลบรารีลิงก์แบบไดนามิกพื้นฐานและมีฟังก์ชันระดับสูงและเป็นนามธรรม คำแนะนำการใช้งานเฉพาะมีอยู่ในเว็บไซต์หลักๆ วิธีใช้ Winpcap ให้ดีขึ้นต้องใช้ความสามารถในการเขียนโปรแกรมสภาพแวดล้อม C ที่แข็งแกร่ง
4. การสร้าง WinDump หลังการติดตั้ง ให้รันในโหมดพรอมต์คำสั่งของ Windows และผู้ใช้สามารถตรวจสอบสถานะเครือข่ายได้ด้วยตนเองโดยไม่ต้องลงรายละเอียด
หากไม่มีปัญหาความเข้ากันได้ของซอฟต์แวร์และการติดตั้งและการกำหนดค่าถูกต้อง การตรวจจับเหตุการณ์และการรวบรวมก็สามารถทำได้
[ตัดหน้า]ระบบวิเคราะห์เหตุการณ์
เนื่องจากเครือข่ายส่วนใหญ่ของเราเชื่อมต่อกันด้วยสวิตช์อีเทอร์เน็ตแบบสวิตช์ วัตถุประสงค์ของการสร้างระบบวิเคราะห์เหตุการณ์คือเพื่อตรวจจับอุปกรณ์ไฟร์วอลล์เครือข่ายหลายตัว และสนับสนุนวิธีการเก็บรวบรวมหลายวิธี (เช่น การรวบรวมตามข้อมูลข้อมูล Snmp และ Syslog) และจัดเตรียมเหตุการณ์บางอย่าง การประมวลผลบันทึก สถิติ การวิเคราะห์ และการสืบค้น
ระบบการวิเคราะห์เหตุการณ์เป็นโมดูลหลักของ IDS หน้าที่หลักคือการวิเคราะห์เหตุการณ์ต่างๆ และค้นหาพฤติกรรมที่ละเมิดนโยบายความปลอดภัย วิธีการกำหนดถือเป็นประเด็นสำคัญและยาก หากคุณสามารถเขียนระบบซอฟต์แวร์ได้ด้วยตัวเองหรือร่วมมือกับผู้อื่น คุณจะต้องเตรียมการอย่างเข้มงวดสำหรับการพัฒนาในช่วงแรก เช่น มีความเข้าใจที่ชัดเจนเกี่ยวกับโปรโตคอลเครือข่าย การโจมตีของแฮ็กเกอร์ และช่องโหว่ของระบบ จากนั้นจึงเริ่มกำหนดกฎและกลยุทธ์ซึ่ง ควรอยู่บนพื้นฐานของเทคโนโลยีมาตรฐานและข้อกำหนด จากนั้นปรับอัลกอริทึมให้เหมาะสมเพื่อปรับปรุงประสิทธิภาพการดำเนินการ สร้างแบบจำลองการตรวจจับ และจำลองการโจมตีและกระบวนการวิเคราะห์
ระบบการวิเคราะห์เหตุการณ์อยู่ในกลไกการตรวจจับในส่วนเครือข่ายการตรวจสอบ และโดยทั่วไปจะทำการวิเคราะห์ผ่านวิธีการทางเทคนิคสามวิธี: การจับคู่รูปแบบ การวิเคราะห์โปรโตคอล และการวิเคราะห์พฤติกรรม เมื่อตรวจพบรูปแบบการใช้งานในทางที่ผิด ข้อความเตือนที่เกี่ยวข้องจะถูกสร้างขึ้นและส่งไปยังระบบตอบสนอง ในปัจจุบัน การใช้การวิเคราะห์โปรโตคอลเป็นวิธีที่ดีที่สุดในการตรวจจับแบบเรียลไทม์
วิธีหนึ่งที่เป็นไปได้ของระบบนี้คือการใช้ตัววิเคราะห์โปรโตคอลเป็นตัวหลัก ซึ่งสามารถสร้างขึ้นบนพื้นฐานของชุดเครื่องมือวิเคราะห์โปรโตคอลแบบเปิดสำเร็จรูป เครื่องวิเคราะห์โปรโตคอลสามารถแสดงโฟลว์การส่งข้อมูลเครือข่ายระดับแพ็กเก็ตและดำเนินการเตือนโดยอัตโนมัติ การวิเคราะห์ตามกฎของโปรโตคอลเครือข่ายเพื่อตรวจจับการโจมตีได้อย่างรวดเร็ว ช่วยให้โปรแกรมเมอร์เครือข่ายและผู้ดูแลระบบสามารถตรวจสอบและวิเคราะห์กิจกรรมเครือข่ายเพื่อตรวจจับและค้นหาข้อผิดพลาดในเชิงรุก ผู้ใช้สามารถลองใช้ตัววิเคราะห์โปรโตคอลเครือข่ายฟรีที่เรียกว่า Ethereal ซึ่งรองรับระบบ Windows ผู้ใช้สามารถวิเคราะห์ข้อมูลที่ระบบสร้างเหตุการณ์บันทึกไว้และบันทึกไว้ในฮาร์ดดิสก์ คุณสามารถเรียกดูแพ็กเก็ตที่บันทึกไว้แบบโต้ตอบ และดูข้อมูลสรุปและข้อมูลโดยละเอียดสำหรับแต่ละแพ็กเก็ตได้ Ethereal มีคุณสมบัติอันทรงพลังมากมาย เช่น รองรับโปรโตคอลเกือบทั้งหมด ภาษาการกรองที่หลากหลาย และการดูสตรีมข้อมูลที่สร้างขึ้นใหม่ของเซสชัน TCP ได้อย่างง่ายดาย
ระบบตอบสนอง
ระบบตอบสนองเป็นระบบโต้ตอบสำหรับคนและสิ่งของ อาจกล่าวได้ว่าเป็นสถานีถ่ายโอนและสถานีประสานงานของทั้งระบบ บุคคลคือผู้ดูแลระบบ และสิ่งต่างๆ ก็เป็นส่วนประกอบอื่นๆ ทั้งหมด กล่าวให้เจาะจงยิ่งขึ้น ผู้ประสานงานของระบบตอบสนองมีหน้าที่ต้องทำมากมาย: บันทึกเหตุการณ์ด้านความปลอดภัย สร้างข้อความแจ้งเตือน (เช่น อีเมล) บันทึกบันทึกเพิ่มเติม แยกผู้บุกรุก ยุติกระบวนการ และห้ามไม่ให้ตกเป็นเหยื่อในลักษณะที่กำหนดไว้ล่วงหน้า . สามารถใช้พอร์ตและการบริการของผู้โจมตีหรือแม้แต่การตอบโต้ด้วยตนเองและการตอบสนองอัตโนมัติ (การตอบสนองแบบเครื่องจักร) และการรวมกันของทั้งสองจะดีกว่า
องค์ประกอบการออกแบบระบบตอบสนอง
(1) รับข้อมูลการแจ้งเตือนเหตุการณ์จากระบบการสร้างเหตุการณ์ที่ได้รับการกรอง วิเคราะห์ และสร้างขึ้นใหม่โดยระบบการวิเคราะห์เหตุการณ์ จากนั้นโต้ตอบกับผู้ใช้ (ผู้ดูแลระบบ) เพื่อสืบค้นและตัดสินกฎ และดำเนินการจัดการ
(2) จัดเตรียมอินเทอร์เฟซสำหรับจัดการระบบฐานข้อมูลเหตุการณ์ให้กับผู้ดูแลระบบ พวกเขาสามารถแก้ไขฐานกฎ กำหนดค่านโยบายความปลอดภัยตามสภาพแวดล้อมเครือข่ายที่แตกต่างกัน และอ่านและเขียนระบบฐานข้อมูล
(3) เมื่อดำเนินการกับระบบส่วนหน้า จะสามารถจัดการระบบการสร้างและวิเคราะห์เหตุการณ์ (เรียกรวมกันว่าตัวตรวจจับเหตุการณ์) จำแนกและกรองเหตุการณ์ที่รวบรวม ตรวจพบ และวิเคราะห์โดยระบบ และปรับใช้กฎความปลอดภัยอีกครั้งตาม สถานการณ์ความปลอดภัยที่แตกต่างกัน
โดยทั่วไประบบตอบสนองและตัวตรวจจับเหตุการณ์จะถูกนำไปใช้เป็นแอปพลิเคชัน
แนวคิดการออกแบบ: ระบบตอบสนองสามารถแบ่งออกเป็นสองส่วนของโปรแกรม ได้แก่ การตรวจสอบและการควบคุม ส่วนการฟังจะผูกพอร์ตที่ไม่ได้ใช้งาน รับผลการวิเคราะห์และข้อมูลอื่น ๆ ที่ส่งจากตัวตรวจจับเหตุการณ์ และแปลงไฟล์ที่จัดเก็บไว้เป็นระบบฐานข้อมูลเหตุการณ์ ในฐานะผู้ดูแลระบบ ผู้ดูแลระบบสามารถเรียกให้อ่านอย่างเดียว แก้ไข และดำเนินการพิเศษได้ตามนั้น ต่อการอนุญาตของผู้ใช้ ส่วนควบคุมสามารถใช้ GTK+ เพื่อเขียน GUI และพัฒนาอินเทอร์เฟซผู้ใช้แบบกราฟิกที่ใช้งานง่ายยิ่งขึ้น จุดประสงค์หลักคือเพื่อให้ผู้ใช้มีอินเทอร์เฟซที่สะดวกและเป็นมิตรมากขึ้นในการเรียกดูข้อมูลคำเตือน
ระบบฐานข้อมูลเหตุการณ์
ภายใต้แพลตฟอร์ม Windows แม้ว่า Access จะเชี่ยวชาญได้ง่ายกว่า แต่การสร้างด้วย SQL Server 2000 นั้นมีประสิทธิภาพมากกว่า Access และการเริ่มต้นใช้งานก็ทำได้ไม่ยาก ซึ่งผู้ดูแลระบบสามารถเรียกเพื่อดูและตรวจสอบการใช้การตรวจสอบทางนิติเวชของการโจมตีได้
โครงสร้างของระบบนี้ค่อนข้างง่ายและต้องการเพียงฟังก์ชันพื้นฐานบางอย่างของซอฟต์แวร์ฐานข้อมูลเท่านั้น
ในการประสานการสื่อสารที่มีจุดประสงค์ระหว่างส่วนประกอบต่างๆ ส่วนประกอบต่างๆ จะต้องเข้าใจความหมายของข้อมูลต่างๆ ที่ส่งผ่านระหว่างส่วนประกอบเหล่านั้นอย่างถูกต้อง คุณสามารถอ้างถึงกลไกการสื่อสารของ CIDF เพื่อสร้างแบบจำลอง 3 ชั้น ให้ความสำคัญกับการทำงานร่วมกันระหว่างส่วนประกอบต่างๆ เพื่อให้มั่นใจในความปลอดภัย ประสิทธิภาพ และความราบรื่น
การบูรณาการจะดำเนินต่อไปในงานต่อๆ ไป และฟังก์ชันของแต่ละส่วนประกอบจะได้รับการปรับปรุงต่อไป กรอบงาน IDS พื้นฐานที่ใช้แพลตฟอร์ม Windows เสร็จสมบูรณ์ หากคุณมีคุณสมบัติตรงตามข้อกำหนดของอินเทอร์เน็ต ให้ลองทำชีสของคุณเองหลังจากทำงานหนัก
[ตัดหน้า]ระบบวิเคราะห์เหตุการณ์
เนื่องจากเครือข่ายส่วนใหญ่ของเราเชื่อมต่อกันด้วยสวิตช์อีเทอร์เน็ตแบบสวิตช์ วัตถุประสงค์ของการสร้างระบบวิเคราะห์เหตุการณ์คือเพื่อตรวจจับอุปกรณ์ไฟร์วอลล์เครือข่ายหลายตัว และสนับสนุนวิธีการเก็บรวบรวมหลายวิธี (เช่น การรวบรวมตามข้อมูลข้อมูล Snmp และ Syslog) และจัดเตรียมเหตุการณ์บางอย่าง การประมวลผลบันทึก สถิติ การวิเคราะห์ และการสืบค้น
ระบบการวิเคราะห์เหตุการณ์เป็นโมดูลหลักของ IDS หน้าที่หลักคือการวิเคราะห์เหตุการณ์ต่างๆ และค้นหาพฤติกรรมที่ละเมิดนโยบายความปลอดภัย วิธีการกำหนดถือเป็นประเด็นสำคัญและยาก หากคุณสามารถเขียนระบบซอฟต์แวร์ได้ด้วยตัวเองหรือร่วมมือกับผู้อื่น คุณจะต้องเตรียมการอย่างเข้มงวดสำหรับการพัฒนาในช่วงแรก เช่น มีความเข้าใจที่ชัดเจนเกี่ยวกับโปรโตคอลเครือข่าย การโจมตีของแฮ็กเกอร์ และช่องโหว่ของระบบ จากนั้นจึงเริ่มกำหนดกฎและกลยุทธ์ซึ่ง ควรอยู่บนพื้นฐานของเทคโนโลยีมาตรฐานและข้อกำหนด จากนั้นปรับอัลกอริทึมให้เหมาะสมเพื่อปรับปรุงประสิทธิภาพการดำเนินการ สร้างแบบจำลองการตรวจจับ และจำลองการโจมตีและกระบวนการวิเคราะห์
ระบบการวิเคราะห์เหตุการณ์อยู่ในกลไกการตรวจจับในส่วนเครือข่ายการตรวจสอบ และโดยทั่วไปจะทำการวิเคราะห์ผ่านวิธีการทางเทคนิคสามวิธี: การจับคู่รูปแบบ การวิเคราะห์โปรโตคอล และการวิเคราะห์พฤติกรรม เมื่อตรวจพบรูปแบบการใช้งานในทางที่ผิด ข้อความเตือนที่เกี่ยวข้องจะถูกสร้างขึ้นและส่งไปยังระบบตอบสนอง ในปัจจุบัน การใช้การวิเคราะห์โปรโตคอลเป็นวิธีที่ดีที่สุดในการตรวจจับแบบเรียลไทม์
วิธีหนึ่งที่เป็นไปได้ของระบบนี้คือการใช้ตัววิเคราะห์โปรโตคอลเป็นตัวหลัก ซึ่งสามารถสร้างขึ้นบนพื้นฐานของชุดเครื่องมือวิเคราะห์โปรโตคอลแบบเปิดสำเร็จรูป เครื่องวิเคราะห์โปรโตคอลสามารถแสดงโฟลว์การส่งข้อมูลเครือข่ายระดับแพ็กเก็ตและดำเนินการเตือนโดยอัตโนมัติ การวิเคราะห์ตามกฎของโปรโตคอลเครือข่ายเพื่อตรวจจับการโจมตีได้อย่างรวดเร็ว ช่วยให้โปรแกรมเมอร์เครือข่ายและผู้ดูแลระบบสามารถตรวจสอบและวิเคราะห์กิจกรรมเครือข่ายเพื่อตรวจจับและค้นหาข้อผิดพลาดในเชิงรุก ผู้ใช้สามารถลองใช้ตัววิเคราะห์โปรโตคอลเครือข่ายฟรีที่เรียกว่า Ethereal ซึ่งรองรับระบบ Windows ผู้ใช้สามารถวิเคราะห์ข้อมูลที่ระบบสร้างเหตุการณ์บันทึกไว้และบันทึกไว้ในฮาร์ดดิสก์ คุณสามารถเรียกดูแพ็กเก็ตที่บันทึกไว้แบบโต้ตอบ และดูข้อมูลสรุปและข้อมูลโดยละเอียดสำหรับแต่ละแพ็กเก็ตได้ Ethereal มีคุณสมบัติอันทรงพลังมากมาย เช่น รองรับโปรโตคอลเกือบทั้งหมด ภาษาการกรองที่หลากหลาย และการดูสตรีมข้อมูลที่สร้างขึ้นใหม่ของเซสชัน TCP ได้อย่างง่ายดาย
ระบบตอบสนอง
ระบบตอบสนองเป็นระบบโต้ตอบสำหรับคนและสิ่งของ อาจกล่าวได้ว่าเป็นสถานีขนส่งและสถานีประสานงานของทั้งระบบ บุคคลคือผู้ดูแลระบบ และสิ่งต่างๆ ก็เป็นส่วนประกอบอื่นๆ ทั้งหมด กล่าวให้เจาะจงยิ่งขึ้น ผู้ประสานงานของระบบตอบสนองมีหน้าที่ต้องทำมากมาย: บันทึกเหตุการณ์ด้านความปลอดภัย สร้างข้อความแจ้งเตือน (เช่น อีเมล) บันทึกบันทึกเพิ่มเติม แยกผู้บุกรุก ยุติกระบวนการ และห้ามไม่ให้ตกเป็นเหยื่อในลักษณะที่กำหนดไว้ล่วงหน้า . สามารถใช้พอร์ตและการบริการของผู้โจมตีหรือแม้แต่การตอบโต้ด้วยตนเองและการตอบสนองอัตโนมัติ (การตอบสนองแบบเครื่องจักร) และการรวมกันของทั้งสองจะดีกว่า
องค์ประกอบการออกแบบระบบตอบสนอง
(1) รับข้อมูลการแจ้งเตือนเหตุการณ์จากระบบการสร้างเหตุการณ์ที่ได้รับการกรอง วิเคราะห์ และสร้างขึ้นใหม่โดยระบบการวิเคราะห์เหตุการณ์ จากนั้นโต้ตอบกับผู้ใช้ (ผู้ดูแลระบบ) เพื่อสืบค้นและตัดสินกฎ และดำเนินการจัดการ
(2) จัดเตรียมอินเทอร์เฟซสำหรับจัดการระบบฐานข้อมูลเหตุการณ์ให้กับผู้ดูแลระบบ พวกเขาสามารถแก้ไขฐานกฎ กำหนดค่านโยบายความปลอดภัยตามสภาพแวดล้อมเครือข่ายที่แตกต่างกัน และอ่านและเขียนระบบฐานข้อมูล
(3) เมื่อดำเนินการกับระบบส่วนหน้า จะสามารถจัดการระบบการสร้างและวิเคราะห์เหตุการณ์ (เรียกรวมกันว่าตัวตรวจจับเหตุการณ์) จำแนกและกรองเหตุการณ์ที่รวบรวม ตรวจพบ และวิเคราะห์โดยระบบ และปรับใช้กฎความปลอดภัยอีกครั้งตาม สถานการณ์ความปลอดภัยที่แตกต่างกัน
โดยทั่วไประบบตอบสนองและตัวตรวจจับเหตุการณ์จะถูกนำไปใช้เป็นแอปพลิเคชัน
แนวคิดการออกแบบ: ระบบตอบสนองสามารถแบ่งออกเป็นสองส่วนของโปรแกรม ได้แก่ การตรวจสอบและการควบคุม ส่วนการฟังจะผูกพอร์ตที่ไม่ได้ใช้งาน รับผลการวิเคราะห์และข้อมูลอื่น ๆ ที่ส่งจากตัวตรวจจับเหตุการณ์ และแปลงไฟล์ที่จัดเก็บไว้เป็นระบบฐานข้อมูลเหตุการณ์ ในฐานะผู้ดูแลระบบ ผู้ดูแลระบบสามารถเรียกให้อ่านอย่างเดียว แก้ไข และดำเนินการพิเศษได้ตามนั้น ต่อการอนุญาตของผู้ใช้ ส่วนควบคุมสามารถใช้ GTK+ เพื่อเขียน GUI และพัฒนาอินเทอร์เฟซผู้ใช้แบบกราฟิกที่ใช้งานง่ายยิ่งขึ้น จุดประสงค์หลักคือเพื่อให้ผู้ใช้มีอินเทอร์เฟซที่สะดวกและเป็นมิตรมากขึ้นในการเรียกดูข้อมูลคำเตือน
ระบบฐานข้อมูลเหตุการณ์
ภายใต้แพลตฟอร์ม Windows แม้ว่า Access จะเชี่ยวชาญได้ง่ายกว่า แต่การสร้างด้วย SQL Server 2000 นั้นมีประสิทธิภาพมากกว่า Access และการเริ่มต้นใช้งานก็ทำได้ไม่ยาก ซึ่งผู้ดูแลระบบสามารถเรียกเพื่อดูและตรวจสอบการใช้การตรวจสอบทางนิติเวชของการโจมตีได้
โครงสร้างของระบบนี้ค่อนข้างง่ายและต้องการเพียงฟังก์ชันพื้นฐานบางอย่างของซอฟต์แวร์ฐานข้อมูลเท่านั้น
ในการประสานการสื่อสารที่มีจุดประสงค์ระหว่างส่วนประกอบต่างๆ ส่วนประกอบต่างๆ จะต้องเข้าใจความหมายของข้อมูลต่างๆ ที่ส่งผ่านระหว่างส่วนประกอบเหล่านั้นอย่างถูกต้อง คุณสามารถอ้างถึงกลไกการสื่อสารของ CIDF เพื่อสร้างแบบจำลอง 3 ชั้น ให้ความสำคัญกับการทำงานร่วมกันระหว่างส่วนประกอบต่างๆ เพื่อให้มั่นใจในความปลอดภัย ประสิทธิภาพ และความราบรื่น
การบูรณาการจะดำเนินต่อไปในงานต่อๆ ไป และฟังก์ชันของแต่ละส่วนประกอบจะได้รับการปรับปรุงต่อไป กรอบงาน IDS พื้นฐานที่ใช้แพลตฟอร์ม Windows เสร็จสมบูรณ์ หากคุณมีคุณสมบัติตรงตามข้อกำหนดของอินเทอร์เน็ต ให้ลองทำชีสของคุณเองหลังจากทำงานหนัก