一个网络入侵检测系统的实现(5) #/usr/local/bin/apachectl sslstart 这样,网络入侵检测系统已开始运行,然后在内网的管理PC机上启动浏览器,在地址栏中键入:https://192.168.1.8/acid-0.9.6b21/ 其中192.168.1.8是为该网络入侵检测系统的内网网卡分配的IP地址。首次运行时,控制台会提示用户对入侵事件数据库进行扩展,按照提示扩展完毕后,控制台主界面出现。如下图:
主界面里显示的信息包括:触发安全规则的网络流量中各种协议所占的比例、警报的数量、入侵主机和目标主机的IP地址及端口号等; ACID控制台还提供强大的搜索功能,用户可根据时间、IP地址、端口号、协议类型以及数据净荷(payload)等多种条件的灵活组合在入侵事件数据库中进行查询,以帮助网管人员进行分析; 入侵特征库是否丰富对一个网络入侵检测系统非常重要,本系统同时支持多种有影响的入侵特征库包括CERT/CC、arachNIDS和CVE等。在警报中除了列出入侵事件的命名外还有到相应入侵特征库的Web链接,如果某个警报存在多个命名则同时予以列出以便参考,网络管理人员可通过这些链接去查找在线入侵特征库以便获得关于特定入侵事件的更加详细的信息和相应的解决办法; 应用ACID提供的制图功能可以直观地对网络入侵事件进行分析,而生成的图表又可进一步丰富网管人员编制的报告。例如ACID分析控制台可以按用户指定的时间段生成入侵事件的频率图,如下所示:
(图一:一天之内的报警频率)
(图2:一周报警频率) 五、 结束语 网络安全是一个复杂的问题,只依靠一、两种网络安全产品是不能解决问题的。必须综合应用多种安全技术,并将其功能有机地整合到一起进而构成统一的网络安全基础设施。而安全产品并不是非买不可,当前在互联网上以开放源代码为代表的免费资源非常多,我们应当努力去利用。也许有人会怀疑这种资源的可靠性,请不要忘记互联网的三大应用都在由开放源代码软件支撑着:互联网上超过半数的站点是在运行Apache;BIND完成着几乎全部的域名解析;说不定你的电子邮件正通过sendmail程序在互联网上传递。
