@哈哈鱼
2年前 提问
1个回答
入侵检测系统如何检测数据
齐士忠
2年前
入侵检测对数据监测详细过程如下:
入侵检测系统通过在网络TCP/IP的5层结构的数据链路层进行抓取网络数据包,抓包时需将网卡设置为混杂模式,根据操作系统的不同采用libpcap或winpcap函数从网络中捕获数据包;
将捕获的数据包送到包解码器进行解码。网络中的数据包有可能是以太网包、令牌环包、TCP/IP包、802.11包等格式。在这一过程包解码器将其解码成入侵检测系统认识的统一的格式;
将数据包送到预处理器进行处理,预处理包括能分片的数据包进行重新组装,处理一些明显的错误等问题。预处理的过程主要是通过插件来完成,比如Http预处理器完成对Http请求解码的规格化,Frag2事务处理器完成数据包的组装,Stream4预处理器用来使入侵检测系统状态化,端口扫描预处理器能检测端口扫描的能力等;
对数据包进行了解码,过滤,预处理后,进入了入侵检测系统的最重要一环,进行规则的建立及根据规则进行检测。规则检测是入侵检测系统中最重要的部分,作用是检测数据包中是否包含有入侵行为。