入门级IDS的构建过程详解(2)

下面大略介绍一下建立事件探测及采集的步骤

1、装配软件和硬件系统。根据网络繁忙程度决定是否采用普通兼容机或性能较高的专用服务器；安装nt核心的Windows操作系统，推荐使用Windows Server 2003企业版，如果条件不满足也可使用Windows 2000 advanced Server。分区格式建议为ntfs格式。

2、服务器的空间划分要合理有效，执行程序的安装、数据日志的存储，两者空间最好分别放置在不同分区。

3、Winpcap的简单实现。首先安装它的驱动程序，可以到它的主页或镜像站点下载Winpcap auto-installer (driver+dlls)，直接安装。

注：如果用Winpcap做开发，还需要下载 developer's pack。

Winpcap 包括三个模块：第一个模块NPF（netgroup packet filter），是一个VXD（虚拟设备驱动程序）文件。其功能是过滤数据包，并把这些包完好无损地传给用户态模块。第二个模块packet.dll为win32平台提供了一个公共接口，架构在packet.dll之上，提供了更方便、更直接的编程方法。第三个模块 wpcap.dll不依赖于任何操作系统，是底层的动态链接库，提供了高层、抽象的函数。具体使用说明在各大网站上都有涉及，如何更好利用Winpcap需要较强的C环境编程能力。

4、Windump的创建。安装后，在Windows命令提示符模式下运行，用户自己可以查看网络状态，恕不赘述。

如果没有软件兼容性问题、安装和配置正确的话，事件探测及采集已能实现。