網(wǎng)絡(luò)入侵與入侵檢測(cè)

網(wǎng)絡(luò)入侵與入侵檢測(cè)第1頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月1第9章入侵檢測(cè)系統(tǒng)本章要點(diǎn)基本的入侵檢測(cè)知識(shí)入侵檢測(cè)的基本原理和重要技術(shù)幾種流行的入侵檢測(cè)產(chǎn)品第2頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月2入侵檢測(cè)系統(tǒng)是什么入侵檢測(cè)系統(tǒng)（Intrusion-detectionsystem，下稱“IDS”）是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處在于，IDS是一種積極主動(dòng)的安全防護(hù)技術(shù)。入侵檢測(cè)作為動(dòng)態(tài)安全技術(shù)的核心技術(shù)之一，是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性，是安全防御體系的一個(gè)重要組成部分。第3頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月3理解入侵檢測(cè)系統(tǒng)(IDS)監(jiān)控室=控制中心后門保安=防火墻攝像機(jī)=探測(cè)引擎CardKey第4頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月49.1入侵檢測(cè)概述首先，入侵者可以找到防火墻的漏洞，繞過(guò)防火墻進(jìn)行攻擊。其次，防火墻對(duì)來(lái)自內(nèi)部的攻擊無(wú)能為力。它所提供的服務(wù)方式是要么都拒絕，要么都通過(guò)，不能檢查出經(jīng)過(guò)它的合法流量中是否包含著惡意的入侵代碼，這是遠(yuǎn)遠(yuǎn)不能滿足用戶復(fù)雜的應(yīng)用要求的。入侵檢測(cè)技術(shù)正是根據(jù)網(wǎng)絡(luò)攻擊行為而進(jìn)行設(shè)計(jì)的，它不僅能夠發(fā)現(xiàn)已知入侵行為，而且有能力發(fā)現(xiàn)未知的入侵行為，并可以通過(guò)學(xué)習(xí)和分析入侵手段，及時(shí)地調(diào)整系統(tǒng)策略以加強(qiáng)系統(tǒng)的安全性。第5頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月59.1.1入侵檢測(cè)概念1.入侵檢測(cè)與P2DR模型P2DR是Policy(安全策略)、Protection(防護(hù))、Detection(檢測(cè))、Response(響應(yīng))的縮寫。其體系框架如圖6-1所示。其中各部分的含義如下。1) 安全策略(Policy)2) 防護(hù)(Protection)3) 檢測(cè)(Detection)4) 響應(yīng)(Response)第6頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月69.1.1入侵檢測(cè)概念2.入侵檢測(cè)的作用入侵檢測(cè)技術(shù)是通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)和主機(jī)系統(tǒng)中的關(guān)鍵信息進(jìn)行實(shí)時(shí)采集和分析，從而判斷出非法用戶入侵和合法用戶濫用資源的行為，并做出適當(dāng)反應(yīng)的網(wǎng)絡(luò)安全技術(shù)。它在傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)上，實(shí)現(xiàn)了檢測(cè)與反應(yīng)，起主動(dòng)防御的作用。這使得對(duì)網(wǎng)絡(luò)安全事故的處理，由原來(lái)的事后發(fā)現(xiàn)發(fā)展到了事前報(bào)警、自動(dòng)響應(yīng)，并可以為追究入侵者的法律責(zé)任提供有效證據(jù)。第7頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月79.1.1入侵檢測(cè)概念3.入侵檢測(cè)的概念入侵檢測(cè)是指“通過(guò)對(duì)行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其他網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測(cè)到對(duì)系統(tǒng)的闖入或闖入的企圖”(參見國(guó)標(biāo)GB/T18336)。入侵檢測(cè)系統(tǒng)的作用如圖6-2所示。第8頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月89.1.1入侵檢測(cè)概念4.入侵檢測(cè)系統(tǒng)的發(fā)展歷史1980年4月，JamesAnderson為美國(guó)空軍作了一份題為ComputerSecurityThreatMonitoringandSurveillance(計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視)的技術(shù)報(bào)告，這份報(bào)告被公認(rèn)為入侵檢測(cè)技術(shù)的開山鼻祖。1987年，喬治敦大學(xué)的DorothyDenning提出了第一個(gè)實(shí)時(shí)入侵檢測(cè)系統(tǒng)模型，取名為IDES。1988年的Morris蠕蟲事件發(fā)生之后，網(wǎng)絡(luò)安全才真正引起了軍方、學(xué)術(shù)界和企業(yè)的高度重視。1990年是入侵檢測(cè)系統(tǒng)發(fā)展史上的一個(gè)分水嶺，在這之前，所有的入侵檢測(cè)系統(tǒng)都是基于主機(jī)的，他們對(duì)于活動(dòng)的檢查局限于操作系統(tǒng)審計(jì)蹤跡數(shù)據(jù)及其他以主機(jī)為中心的數(shù)據(jù)源。從20世紀(jì)90年代至今，對(duì)入侵檢測(cè)系統(tǒng)的研發(fā)工作已呈現(xiàn)出百家爭(zhēng)鳴的繁榮局面，并在智能化和分布式兩個(gè)方向取得了長(zhǎng)足的進(jìn)展。第9頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月99.1.2入侵檢測(cè)功能入侵檢測(cè)的主要功能包括以下幾個(gè)方面。對(duì)網(wǎng)絡(luò)流量的跟蹤與分析功能。對(duì)已知攻擊特征的識(shí)別功能。對(duì)異常行為的分析、統(tǒng)計(jì)與響應(yīng)功能。特征庫(kù)的在線和離線升級(jí)功能。數(shù)據(jù)文件的完整性檢查功能。自定義的響應(yīng)功能。系統(tǒng)漏洞的預(yù)報(bào)警功能。IDS探測(cè)器集中管理功能。第10頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月109.1.2入侵檢測(cè)功能其工作原理如下:(1) 信息收集信息的來(lái)源一般來(lái)自以下四個(gè)方面。系統(tǒng)和網(wǎng)絡(luò)日志文件。目錄和文件中的不期望的改變。程序執(zhí)行中的不期望行為。物理形式的入侵信息。(2) 信息分析(3) 響應(yīng)第11頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月119.1.3入侵檢測(cè)系統(tǒng)分類1.根據(jù)數(shù)據(jù)來(lái)源和系統(tǒng)結(jié)構(gòu)分類1) 基于主機(jī)的入侵檢測(cè)系統(tǒng)HIDS2) 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)NIDS3) 分布式入侵檢測(cè)系統(tǒng)DIDS第12頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月12基于主機(jī)的入侵檢測(cè)系統(tǒng)（HIDS）主要用于保護(hù)運(yùn)行關(guān)鍵應(yīng)用的服務(wù)器。它通過(guò)監(jiān)視與分析主機(jī)的審計(jì)記錄和日志文件來(lái)監(jiān)測(cè)入侵。除了對(duì)審計(jì)記錄和日志文件的監(jiān)測(cè)外，還有對(duì)特定端口、檢驗(yàn)系統(tǒng)文件和數(shù)據(jù)文件的校驗(yàn)和。第13頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月13優(yōu)點(diǎn)：能確定攻擊是否成功。監(jiān)控粒度更細(xì)。配置靈活。用于加密的以及交換的環(huán)境。對(duì)網(wǎng)絡(luò)流量不敏感。不需要額外的硬件。缺點(diǎn)：它會(huì)占用主機(jī)的資源，在服務(wù)器上產(chǎn)生額外的負(fù)載。缺乏平臺(tái)支持，可移植性差，因而應(yīng)用范圍受到嚴(yán)重限制?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)（HIDS）第14頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月14基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS）主要用于實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息，它偵聽網(wǎng)絡(luò)上的所有分組來(lái)采集數(shù)據(jù)，分析可疑現(xiàn)象?；诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)使用原始網(wǎng)絡(luò)包作為數(shù)據(jù)源?；诰W(wǎng)絡(luò)的IDS通常利用一個(gè)運(yùn)行在混雜模式下的網(wǎng)卡來(lái)實(shí)時(shí)監(jiān)控并分析通過(guò)網(wǎng)絡(luò)的所有通信業(yè)務(wù)。第15頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月15基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS）優(yōu)點(diǎn):監(jiān)測(cè)速度快。隱蔽性好。視野更寬。較少的監(jiān)測(cè)器。攻擊者不易轉(zhuǎn)移證據(jù)。操作系統(tǒng)無(wú)關(guān)性?？梢耘渲迷趯Ｓ玫臋C(jī)器上，不會(huì)占用被保護(hù)的設(shè)備上的任何資源。缺點(diǎn)：只能監(jiān)視本網(wǎng)段的活動(dòng)，精確度不高。在交換環(huán)境下難以配置。防入侵欺騙的能力較差。難以定位入侵者。第16頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月16分布式表現(xiàn)在兩個(gè)方面：首先數(shù)據(jù)包過(guò)濾的工作由分布在各網(wǎng)絡(luò)設(shè)備（包括聯(lián)網(wǎng)主機(jī)）上的探測(cè)代理完成；其次探測(cè)代理認(rèn)為可疑的數(shù)據(jù)包將根據(jù)其類型交給專用的分析層設(shè)備處理，這樣對(duì)網(wǎng)絡(luò)信息進(jìn)行分流，既提高了檢測(cè)速度，解決了檢測(cè)效率問題，又增加了DIDS本身抗擊拒絕服務(wù)攻擊的能力。分布式入侵檢測(cè)系統(tǒng)（DIDS）第17頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月179.1.3入侵檢測(cè)系統(tǒng)分類2.根據(jù)檢測(cè)方法分類1) 誤用檢測(cè)模型(MisuseDetection)2) 異常檢測(cè)模型(AnomalyDetection)3.根據(jù)系統(tǒng)各個(gè)模塊運(yùn)行的分布方式分類1) 集中式入侵檢測(cè)系統(tǒng)2) 分布式入侵檢測(cè)系統(tǒng)第18頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月189.2入侵檢測(cè)技術(shù)本節(jié)介紹誤用檢測(cè)、異常檢測(cè)和高級(jí)檢測(cè)技術(shù)。在介紹入侵檢測(cè)技術(shù)的同時(shí)，也將對(duì)入侵響應(yīng)技術(shù)進(jìn)行介紹。第19頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月199.2.1誤用檢測(cè)技術(shù)誤用檢測(cè)對(duì)于系統(tǒng)事件提出的問題是：這個(gè)活動(dòng)是惡意的嗎？誤用檢測(cè)涉及對(duì)入侵指示器已知的具體行為的描述信息，然后為這些指示器過(guò)濾事件數(shù)據(jù)。其模型如圖所示。第20頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月209.2.1誤用檢測(cè)技術(shù)基于規(guī)則的專家系統(tǒng)專家系統(tǒng)是誤用檢測(cè)技術(shù)中運(yùn)用最多的一種方法.用專家系統(tǒng)對(duì)入侵進(jìn)行檢測(cè),經(jīng)常是針對(duì)有特征的入侵行為.所謂的規(guī)則,即是知識(shí),不同的系統(tǒng)與設(shè)置具有不同的規(guī)則,將有關(guān)入侵的知識(shí)轉(zhuǎn)化為if-then結(jié)構(gòu),if部分為入侵特征,then部分是系統(tǒng)防范措施.當(dāng)其中某個(gè)或某部分條件滿足時(shí),系統(tǒng)就會(huì)判斷為入侵行為發(fā)生.運(yùn)用專家系統(tǒng)防范入侵行為的有效性完全取決于專家系統(tǒng)知識(shí)庫(kù)的完備性,而建立一個(gè)完備性的知識(shí)庫(kù)對(duì)于一個(gè)大型網(wǎng)絡(luò)系統(tǒng)往往是很難的.第21頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月219.2.1誤用檢測(cè)技術(shù)2.模式匹配系統(tǒng)模式匹配首先根據(jù)已知的入侵定義由獨(dú)立的事件、事件的序列、事件臨界值等通用規(guī)則組成入侵模式，然后觀察能與入侵模式相匹配的事件數(shù)據(jù)，達(dá)到發(fā)現(xiàn)入侵的目的。該過(guò)程可以很簡(jiǎn)單（如通過(guò)字符串匹配以尋找一個(gè)簡(jiǎn)單的條目或指令），也可以很復(fù)雜（如利用正規(guī)的數(shù)學(xué)表達(dá)式來(lái)表示安全狀態(tài)的變化）。該技術(shù)的缺點(diǎn)是需要不斷升級(jí)以對(duì)付不斷出現(xiàn)的黑客攻擊手法,且不能監(jiān)測(cè)到從未出現(xiàn)過(guò)的黑客攻擊手段.著名的開源的snort就是采用了這種檢測(cè)手段.第22頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月229.2.1誤用檢測(cè)技術(shù)3.狀態(tài)轉(zhuǎn)換分析系統(tǒng)狀態(tài)轉(zhuǎn)換圖是貫穿模型的圖形化表示。如圖所示第23頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月239.2.2異常檢測(cè)技術(shù)基于異常的入侵檢測(cè)方法主要來(lái)源于這樣的思想：任何人的正常行為都有一定的規(guī)律，并且可以通過(guò)分析這些行為產(chǎn)生的日志信息總結(jié)出這些規(guī)律，而入侵行為通常和正常的行為存在嚴(yán)重的差異，通過(guò)檢查出這些差異就可以檢測(cè)出這些入侵。異常檢測(cè)模型如圖6-8所示。第24頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月249.2.2異常檢測(cè)技術(shù)1.基于統(tǒng)計(jì)的異常入侵檢測(cè)1) 操作模型2) 方差模型3) 多元模型馬爾柯夫過(guò)程模型2.基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)第25頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月259.2.3高級(jí)檢測(cè)技術(shù)它們不一定是檢測(cè)入侵的方法，有的是為解決入侵檢測(cè)其他方面的問題提出的。1.免疫系統(tǒng)方法2.遺傳算法3.數(shù)據(jù)挖掘方法4.數(shù)據(jù)融合第26頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月269.2.4入侵誘騙技術(shù)1.概念2.蜜罐技術(shù)及其基本原理1) 單機(jī)蜜罐系統(tǒng)2) 蜜網(wǎng)系統(tǒng)3.分布式入侵誘騙4.虛擬入侵誘騙第27頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月279.2.5入侵響應(yīng)技術(shù)當(dāng)IDS分析出入侵行為或可疑現(xiàn)象后，系統(tǒng)需要采取相應(yīng)手段，及時(shí)做出反應(yīng)，將入侵造成的損失降到最低程度。一般可以通過(guò)生成事件報(bào)警、電子郵件或短信息來(lái)通知管理員。1.入侵響應(yīng)的重要性2.入侵響應(yīng)系統(tǒng)的分類1) 通知和警報(bào)響應(yīng)系統(tǒng)2) 人工手動(dòng)響應(yīng)系統(tǒng)3) 自動(dòng)響應(yīng)系統(tǒng)第28頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月289.2.5入侵響應(yīng)技術(shù)自動(dòng)響應(yīng)系統(tǒng)結(jié)構(gòu)如下圖所示。第29頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月299.2.5入侵響應(yīng)技術(shù)3.入侵響應(yīng)方式1) 主動(dòng)響應(yīng)方式(1) 針對(duì)入侵行為采取必要措施(2) 重新修正配置系統(tǒng)(3) 設(shè)計(jì)網(wǎng)絡(luò)陷阱以收集更為詳盡的信息2) 被動(dòng)響應(yīng)方式(1) 警報(bào)和通知第30頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月309.3入侵檢測(cè)分析入侵檢測(cè)技術(shù)是一種當(dāng)今非常重要的動(dòng)態(tài)安全技術(shù)，如果與傳統(tǒng)的靜態(tài)安全技術(shù)共同使用，可以大大提高系統(tǒng)的安全防護(hù)水平。本節(jié)將介紹入侵檢測(cè)的特點(diǎn)、缺點(diǎn)及其和防火墻的比較。第31頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月319.3.1入侵檢測(cè)特點(diǎn)分析在人很少干預(yù)的情況下，能連續(xù)運(yùn)行。當(dāng)系統(tǒng)由于事故或惡意攻擊而崩潰時(shí)，具有容錯(cuò)能力。當(dāng)系統(tǒng)重新啟動(dòng)時(shí)，入侵檢測(cè)系統(tǒng)能自動(dòng)恢復(fù)自己的狀態(tài)。必須能抗攻擊。入侵檢測(cè)系統(tǒng)必須能監(jiān)測(cè)自己的運(yùn)行，檢測(cè)自身是否被修改。運(yùn)行時(shí)，盡可能少地占用系統(tǒng)資源，以免干擾系統(tǒng)的正常運(yùn)行。對(duì)被監(jiān)控系統(tǒng)的安全策略，可以進(jìn)行配置。必須能適應(yīng)系統(tǒng)和用戶行為的變化。如增加新的應(yīng)用，或改變用戶應(yīng)用。當(dāng)要實(shí)時(shí)監(jiān)控大量主機(jī)時(shí)，系統(tǒng)應(yīng)能進(jìn)行擴(kuò)展。入侵檢測(cè)系統(tǒng)一些部件因?yàn)槟承┰蛲Ｖ构ぷ鲿r(shí)，應(yīng)盡量減少對(duì)其他部分的影響。系統(tǒng)應(yīng)能允許動(dòng)態(tài)配置。當(dāng)系統(tǒng)管理員修改配置時(shí)，不需要重新啟動(dòng)系統(tǒng)。第32頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月329.3.2入侵檢測(cè)與防火墻1.防火墻的局限 防火墻作為訪問控制設(shè)備，無(wú)法檢測(cè)或攔截嵌入到普通流量中的惡意攻擊代碼，比如針對(duì)Web服務(wù)的注入攻擊等。防火墻無(wú)法發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)中的攻擊行為。2.入侵檢測(cè)系統(tǒng)與防火墻的關(guān)系入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem)是對(duì)防火墻有益的補(bǔ)充，入侵檢測(cè)系統(tǒng)被認(rèn)為是防火墻之后的第二道安全閘門，對(duì)網(wǎng)絡(luò)進(jìn)行檢測(cè)，提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)監(jiān)控，提供動(dòng)態(tài)保護(hù)，大大提高了網(wǎng)絡(luò)的安全性。入侵檢測(cè)工作的主要特點(diǎn)有以下幾個(gè)方面。事前警告事中防護(hù)事后取證第33頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月339.3.3入侵檢測(cè)系統(tǒng)的缺陷1.當(dāng)前入侵檢測(cè)系統(tǒng)存在的問題和面臨的挑戰(zhàn)1) 對(duì)未知攻擊的識(shí)別能力差2) 誤警率高2.入侵檢測(cè)系統(tǒng)的發(fā)展趨勢(shì)1) 分布式入侵檢測(cè)2) 智能化入侵檢測(cè)3) 網(wǎng)絡(luò)安全技術(shù)相結(jié)合第34頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月349.4常用入侵檢測(cè)產(chǎn)品介紹IDS的硬件主要產(chǎn)品第35頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月359.4常用入侵檢測(cè)系統(tǒng)9.4.11．綠盟科技“冰之眼”IDS第36頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月362．聯(lián)想網(wǎng)御IDS第37頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月373．瑞星入侵檢測(cè)系統(tǒng)RIDS-100第38頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月384．McAfeeIntruShieldIDS第39頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月399.4常用入侵檢測(cè)產(chǎn)品介紹IDS的軟件主要產(chǎn)品第40頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月409.4常用入侵檢測(cè)產(chǎn)品介紹CASessionWallComputerAssociates公司的SessionWall-3，現(xiàn)在常稱為eTrustIntrusionDetection是業(yè)界領(lǐng)先的功能非常強(qiáng)大的基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。1.入侵檢測(cè)功能2.會(huì)話記錄、攔截功能3.防止網(wǎng)絡(luò)濫用4.活動(dòng)代碼和病毒防護(hù)5.與其他安全產(chǎn)品集成與配合6.集中管理第41頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月419.4常用入侵檢測(cè)系統(tǒng)Snort應(yīng)用一個(gè)綜合的Snort系統(tǒng)所需軟件有Windows平臺(tái)的Snort、windows版本的抓包驅(qū)動(dòng)WinPcap、windows版本的數(shù)據(jù)庫(kù)服務(wù)器mysql、基于PHP的入侵檢測(cè)數(shù)據(jù)庫(kù)分析控制臺(tái)ACID、用于為php服務(wù)的活動(dòng)數(shù)據(jù)對(duì)象數(shù)據(jù)庫(kù)adodb（Active2DataObjectsDataBaseforPHP）、Windows版本的apacheWEB服務(wù)器apache2、Windows版本的PHP腳本環(huán)境、支持php的圖形庫(kù)jpgraph等第42頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月42winpcapsnortMysqlAdobeApachePHPacid網(wǎng)絡(luò)jpgraph第43頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月43上述軟件可根據(jù)下列次序依次安裝配置1.安裝apache指定安裝目錄c:\ids\apache,下載apache，下載網(wǎng)址/httpd/binaries/win32/，運(yùn)行下載好的“apache_2.0.63-win32-x86-no_ssl.msi”第44頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月44第45頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月45第46頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月46第47頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月47第48頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月48第49頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月49第50頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月50第51頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月51第52頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月52第53頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月53第54頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月54第55頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月55安裝完成后，需測(cè)試按默認(rèn)配置運(yùn)行的網(wǎng)站界面，看Apache是否安裝成功。打開IE瀏覽器，在IE地址欄打確認(rèn)，如看到圖9-21所示頁(yè)面，表示Apache服務(wù)器已安裝成功。第56頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月56第57頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月57Apache服務(wù)器安裝成功后，還需配置Apache服務(wù)器，如果不配置，安裝目錄下的Apache2\htdocs文件夾就是網(wǎng)站的默認(rèn)根目錄，在里面放入文件就可以了。這里還是看一下配置過(guò)程。如圖9-22所示，單擊“開始”→“所有程序”→“ApacheHTTPServer2.0”→“ConfigureApacheServer”→“EdittheApachehttpdconfConfigurationfile”，打開配置文件第58頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月58Apache配置文件網(wǎng)站根目錄配置第59頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月592、安裝php下載php，下載網(wǎng)址/downloads.php，將下載的php安裝文件php-5.2.8-Win32.zip右鍵解壓縮第60頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月60查看解壓縮后的文件夾C:\ids\PHP，找到“php.ini-dist”文件，將其重命名為“php.ini”，打開編輯第61頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月61第62頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月62需要說(shuō)明的是，要選擇加載的模塊，需去掉前面的“;”，功能就是使php能夠直接調(diào)用其模塊，比如訪問mysql，去掉“;extension=php_mysql.dll”前的“;”，就表示要加載此模塊，加載的越多，占用的資源也就越多。所有的模塊文件都放在php解壓縮目錄的“ext”之下，前面的“;”沒去掉的，是因?yàn)椤癳xt”目錄下默認(rèn)沒有此模塊，加載會(huì)提示找不到文件而出錯(cuò)。比如在此還沒有安裝mysql，所以“;extension=php_mysql.dll”前的“;”還不能去掉，安裝完mysql后再加來(lái)重新配置“php.ini”文件第63頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月63如果前面配置加載了其它模塊，要指明模塊的位置，否則重啟Apache的時(shí)候會(huì)提示“找不到指定模塊”的錯(cuò)誤。簡(jiǎn)單的方法是，直接將php安裝路徑、以及php安裝路徑下ext路徑指定到windows系統(tǒng)路徑中。在“我的電腦”上單擊右鍵，打開對(duì)話框“屬性”，選擇“高級(jí)”標(biāo)簽，單擊【環(huán)境變量】，在“系統(tǒng)變量”下找到“Path”變量，選擇，點(diǎn)擊“編輯”，打開編輯系統(tǒng)變量對(duì)話框，將“c:\ids\PHP;c:\ids\PHP\ext”加到原有值的后面，如圖9-29所示，全部確定。系統(tǒng)路徑添加好后要重啟電腦才能生效，可以現(xiàn)在重啟，也可以在所有軟件安裝或配置好后重啟。第64頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月643．將php以module方式與Apache相結(jié)合安裝php后，將php以module方式與Apache相結(jié)合，使php融入Apache，依前面講述的方法打開Apache的配置文件，查找“LoadModule”，在找到的“LoadModule”后面添加“LoadModulephp5_modulec:/ids/PHP/php5apache2.dll”,指以module方式加載php，添加“PHPIniDir"c:/ids/PHP"”是指明php的配置文件php.ini的位置第65頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月65第66頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月66

測(cè)試結(jié)合是否成功。在C:\ids\Apache\Apache2\htdocs文件夾下編寫test.php文件，內(nèi)容為<?php

phpinfo();

?>。打開瀏覽器輸入http://lcoalhsot/test.php，如果瀏覽到了php的信息則說(shuō)明一切正常第67頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月67第68頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月684．安裝winpcap在瀏覽器中輸入/install/bin/WinPcap_4_0_2.exe，下載WinPcap_4_0_2.exe文件。雙擊開始安裝界面安裝完后，采取默認(rèn)值即可。第69頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月695．安裝snort下載“Snort_2_8_3_1_Installer.exe”文件，下載網(wǎng)址為/dl/binaries/win32。雙擊“Snort_2_8_3_1_Installer.exe”，打開snort認(rèn)證許可界面，指定安裝路徑為c:\ids\snort文件夾第70頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月70第71頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月71圖9-42snort安裝成功界面測(cè)試snort安裝是否正確。運(yùn)行“cmd“命令，打開cmd窗口，進(jìn)入C:\ids\snort\snort\bin路徑，執(zhí)行“snort.exe

–W”命令，如果安裝snort成功會(huì)出現(xiàn)一個(gè)可愛的小豬第72頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月72第73頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月736．安裝mysql在網(wǎng)站/Downloads可下載mysql，在此下載的mysql指定路徑為“mysql-5.0.22-win32.zip”，打開下載的mysql安裝文件“mysql-5.0.22-win32.zip”，雙擊解壓縮，運(yùn)行“setup.exe”第74頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月74第75頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月75第76頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月76第77頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月77第78頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月78第79頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月79第80頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月80第81頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月81軟件安裝完成后，出現(xiàn)上界面，它提供了一個(gè)很好的功能，mysql配置向?qū)?，不用自己手?dòng)配置my.ini，這為很多非專業(yè)人士提供了方便。將“ConfiguretheMysqlServernow”勾選，點(diǎn)【Finish】結(jié)束軟件的安裝同時(shí)啟動(dòng)mysql配置向?qū)У?2頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月82第83頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月83第84頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月84第85頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月85第86頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月86第87頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月87第88頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月88第89頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月89第90頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月90第91頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月91第92頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月92第93頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月93第94頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月94設(shè)置完畢后，會(huì)有圖9-62界面出現(xiàn)，按【Finish】結(jié)束mysql的安裝與配置。如果不能“Startservice”，先檢查以前安裝的mysql服務(wù)器是否徹底卸掉；如果確信在本次數(shù)據(jù)庫(kù)安裝前，上一次安裝的數(shù)據(jù)庫(kù)已卸載，再檢查之前的密碼是否有修改，如果依然有問題，將mysql安裝目錄下的data文件夾備份，然后徹底刪除數(shù)據(jù)庫(kù)，重新安裝，重新安裝后將安裝生成的data文件夾刪除，備份的data文件夾移回來(lái)，再重啟mysql服務(wù)。第95頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月957．與Apache及php相結(jié)合前面已講過(guò)，Apache與php的結(jié)合，mysql與Apache及php相結(jié)合，基本是相似的。在php安裝目錄下，找到先前重命名并編輯過(guò)的php.ini，把“;extension=php_mysql.dll”前的“;”去掉，加載mysql模塊。保存，關(guān)閉。第96頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月968．創(chuàng)建snort數(shù)據(jù)庫(kù)的表復(fù)制c:\ids\snort\schames文件夾下的create_mysql文件到c:\ids\mysql\bin文件夾下。執(zhí)行“開始”→“程序”→“MySQL”→“MySQLServer5.0”→“MySQLCommmandLineClient”，打開mysql的客戶端圖9-63打開mysql的客戶端執(zhí)行如下命令：Create

database

snort;Create

database

snort_archive;Use

snort;Source

create_mysql;Use

snort_archive;Source

create_mysql;Grant

all

on

*.*

to

“root”@”localhost”第97頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月979.安裝adodb下載

adodb504.gz，在瀏覽器地址中輸入/sourceforge/adodb/adodb504.tgz即可提示下載，把下載的adodb504.gz解壓縮到C:\ids\PHP\adodb5文件夾下。第98頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月98

10．安裝jgraph下載jpgraph，下載地址http://www.aditus.nu/jpgraph/jpdownload.php，解壓縮jpgraph到c:\ids\PHP\jpgraph文件夾下。第99頁(yè)，課件共108頁(yè)，創(chuàng)作于2023年2月9911．安裝acid下載acid，下載地址/，解壓縮acid到C:\ids\PHP\jpgraph-1.26文件夾下。在C:\ids\Apache\Apache2\htdocs\acid目錄下，打開a