(1)數(shù)據(jù)包捕獲模塊。數(shù)據(jù)包捕獲是入侵檢測的基礎(chǔ)，數(shù)據(jù)捕獲的準(zhǔn)確性、可靠性和效率決定了整個(gè)入侵檢測系統(tǒng)的性能。它的主要功能就是從以太網(wǎng)上捕獲數(shù)據(jù)包。我們的設(shè)計(jì)是采用在Linux操作系統(tǒng)中使用系統(tǒng)底層調(diào)用來實(shí)現(xiàn)數(shù)據(jù)包的捕獲。我們?yōu)榱颂岣邤?shù)據(jù)包的捕獲性能，系統(tǒng)中采用的是在Linux下非常流行的BPF捕獲機(jī)制。它的優(yōu)點(diǎn)是不需要再用底層的調(diào)用來編寫代碼，封裝了底層調(diào)用并作了優(yōu)化處理。
(2)協(xié)議解析模塊。協(xié)議解析模塊是入侵檢測系統(tǒng)的基礎(chǔ)，它對(duì)捕獲到的數(shù)據(jù)包進(jìn)行詳細(xì)的協(xié)議分析，檢測出每個(gè)數(shù)據(jù)包的類型和特征。此模塊的設(shè)計(jì)功能是否齊全和合理，會(huì)直接影響到入侵檢測系統(tǒng)的性能。
(3)規(guī)則處理模塊。規(guī)則庫是一個(gè)入侵檢測系統(tǒng)的知識(shí)庫，它的成功與否會(huì)直接決定入侵檢測系統(tǒng)的綜合性能，當(dāng)入侵檢測庫越豐富的時(shí)候，系統(tǒng)能檢測到的入侵行為就會(huì)越多，系統(tǒng)才會(huì)更安全。
(4)分析檢測模塊。分析檢測模塊完成的是一個(gè)匹配性工作。協(xié)議解析模塊對(duì)捕獲的數(shù)據(jù)包進(jìn)行分析，規(guī)則處理模塊建立了入侵規(guī)則庫，而入侵檢測模塊需要做的就是完成對(duì)這兩部分的匹配工作。當(dāng)匹配成功，就說明有入侵行為發(fā)生。此外，該模塊除了使用入侵規(guī)則庫來檢測入侵之外，還有異常檢測功能，比方說對(duì)掃描入侵行為的檢測就使用了異常檢測技術(shù)。我們采用的是基于協(xié)議分析匹配技術(shù)。
(5)存儲(chǔ)模塊。存儲(chǔ)模塊的主要功能是存儲(chǔ)網(wǎng)絡(luò)相關(guān)信息，健全日志，以方便事后分析和處理。例如分析IP協(xié)議的分布情況，分析某個(gè)IP的活動(dòng)情況，等等。我們采用的是使用MySQL數(shù)據(jù)庫存儲(chǔ)的。
(6)響應(yīng)模塊。當(dāng)入侵檢測系統(tǒng)檢測到入侵時(shí)，會(huì)通過響應(yīng)模塊來處理相關(guān)的事務(wù)。響應(yīng)模塊可以采取各種措施對(duì)檢測引擎檢測到的入侵行為進(jìn)行相應(yīng)的響應(yīng)，常見的有傳送消息給防火墻、截?cái)嗤獠咳肭中袨榈?，也可以只?a class="contentlabel" href="http://www.biyoush.com/news/listbylabel/label/網(wǎng)絡(luò)">網(wǎng)絡(luò)管理員進(jìn)行報(bào)警，由網(wǎng)絡(luò)管理員根據(jù)入侵情況再?zèng)Q定采取相應(yīng)的防御措施。

4 結(jié)論
目前采用的網(wǎng)絡(luò)安全防御體系由于自身存在著缺陷和不足，使得網(wǎng)絡(luò)安全問題一直困擾著我們的工作。網(wǎng)絡(luò)入侵檢測技術(shù)通過改變以往的被動(dòng)防御方式，能夠主動(dòng)地跟蹤入侵行為，并及時(shí)做出相應(yīng)的響應(yīng)。使得網(wǎng)絡(luò)入侵檢測系統(tǒng)成為了防火墻之后最有力的安全防線。正是這些優(yōu)點(diǎn)使得網(wǎng)絡(luò)入侵檢測系統(tǒng)成為了當(dāng)前網(wǎng)絡(luò)安全方面研究的熱點(diǎn)。同時(shí)隨著IPv6的應(yīng)用和普及，原有的網(wǎng)絡(luò)將面臨全新的挑戰(zhàn)，當(dāng)然也包括對(duì)網(wǎng)絡(luò)安全體系的挑戰(zhàn)。本文提出的就是在IPv6協(xié)議下構(gòu)建全新的網(wǎng)絡(luò)入侵檢測防御體系。