入门级IDS的构建过程详解(3)

事件分析系统

由于我们的网络大都用交换式以太网交换机连接，所以建立事件分析系统的目的是实现对多种网络防火墙设备的探测，以及多种采集方式（如基于Snmp、Syslog数据信息的采集）日志的支持，并提供一定的事件日志处理，统计、分析和查询功能。

事件分析系统是IDS的核心模块，主要功能是对各种事件进行分析，从中发现违反安全策略的行为，如何建立是重点也是难点。如果自己能或与人合作编写软件系统，就需要做好严谨的前期开发准备，如对网络协议、黑客攻击、系统漏洞有着比较清晰的认识，接着开始制定规则和策略，它应该基于标准的技术标准和规范，然后优化算法以提高执行效率，建立检测模型，可以模拟进行攻击及分析过程。

事件分析系统把检测引擎驻留在监视网段中，一般通过三种技术手段进行分析：模式匹配、协议分析和行为分析。当检测到某种误用模式时，产生对应的警告信息并发送给响应系统。目前来看，使用协议分析是实时检测的最好方式。

这个系统一种可能的方式是由协议分析器作为主体，可以在现成的、开放式的协议分析工具包基础上来构建；协议分析器可以显示分组级网络传输流，基于网络协议规则的警告进行自动分析来快速探测攻击的存在；由此，网络程序员和管理员可监控并分析网络活动，从而主动检测并定位故障。用户可以尝试一下一个叫ethereal的免费网络协议分析器，它支持Windows系统。用户可以对由事件产生系统抓取后保存在硬盘上的数据进行分析。你能交互式地浏览抓取到的数据包，查看每一个数据包的摘要和详细信息。Ethereal有多种强大的特征，如支持几乎所有的协议、丰富的过滤语言、易于查看TCP会话经重构后的数据流等。