本文将简要讨论基于主机的入侵检测系统（HIDS）和一种可用于设计应用防火墙的抽象方法。

根据OSSEC，HIDS是一个应用级防火墙，它执行日志分析、文件完整性检查、策略监视、rootkit检测、实时警报和活动响应。它安装在单个服务器计算机上，其代理部署在需要服务（保护）的服务器上。

简单部署方案

本文不再关注定义、类型或各种部署，而是关注HIDS的设计，以及如何使用一些简单的编程知识设计自己的免费id。

首先，操作系统的基础知识将帮助我们理解核心功能。任何操作系统都会记录其域内的流程活动，以保持对该活动的跟踪并维护责任。在Windows系列中，日志包括应用程序日志、系统日志和安全日志。单击开始，然后单击控制面板。单击性能和维护，然后单击管理工具，然后双击计算机管理。或者，打开包含事件查看器管理单元的MMC。在控制台树中，单击事件查看器。应用程序、安全性和系统日志显示在“事件查看器”窗口中。

在Unix系列中，系统日志驻留在不同的位置，具体取决于风格。在RHEL中，可以在/var/log/messages、/var/log/secure、/var/log/wtmp等下找到日志。

无论哪个操作系统，日志都会收集有关应用程序、安全性和系统的所有信息。例如，当用户登录到系统时，会在系统中生成日志。

以防雷尔。

现在这里有一个开发IDS的简单计划。

现在让我们进入实际的实现部分。我会和RHEL 5一起做这部分。尽管基本原理保持不变，正如我所提到的，但是只有日志的路径会根据操作系统的风格而改变。

让我们添加一个用户以生成日志：35; user add TEST

此命令将添加用户。为了确认这一点，我们可以查看passwd文件中的条目。

#猫/ETC/PASSWD

运行此命令将在安全文件中生成日志：

现在尝试更改用户ID：生成的相应日志是：

这里的关键部分是观察生成的日志的语法，并开发一个简单的脚本来利用这种格式并记录下来。从上面的例子来看，当我们添加一个新用户时，语法是：

这种语法格式因UNIX的不同风格而异，所以当您使用企业版时，需要相应地对其进行优化。

我们可以使用Perl脚本搜索特定的关键字：

您可以回显与您提供的条件匹配的行，这可以形成到Java控制台的输出。

Amar Nath在应用和网络安全方面经验丰富，包括风险管理和业务连续性管理。