第9章 網(wǎng)絡(luò)入侵與入侵檢測(cè).ppt

1、第9章 網(wǎng)絡(luò)入侵與入侵檢測(cè),2020/7/18,2,第9章 入侵檢測(cè)系統(tǒng),本章要點(diǎn) 基本的入侵檢測(cè)知識(shí) 入侵檢測(cè)的基本原理和重要技術(shù) 幾種流行的入侵檢測(cè)產(chǎn)品,2020/7/18,3,入侵檢測(cè)系統(tǒng)是什么,入侵檢測(cè)系統(tǒng)（Intrusion-detection system，下稱(chēng)“IDS”）是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處在于，IDS是一種積極主動(dòng)的安全防護(hù)技術(shù)。 入侵檢測(cè)作為動(dòng)態(tài)安全技術(shù)的核心技術(shù)之一，是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)）

2、，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性，是安全防御體系的一個(gè)重要組成部分。,2020/7/18,4,理解入侵檢測(cè)系統(tǒng)(IDS),監(jiān)控室=控制中心,后門(mén),保安=防火墻,攝像機(jī)=探測(cè)引擎,2020/7/18,5,9.1 入侵檢測(cè)概述,首先，入侵者可以找到防火墻的漏洞，繞過(guò)防火墻進(jìn)行攻擊。其次，防火墻對(duì)來(lái)自?xún)?nèi)部的攻擊無(wú)能為力。它所提供的服務(wù)方式是要么都拒絕，要么都通過(guò)，不能檢查出經(jīng)過(guò)它的合法流量中是否包含著惡意的入侵代碼，這是遠(yuǎn)遠(yuǎn)不能滿(mǎn)足用戶(hù)復(fù)雜的應(yīng)用要求的。 入侵檢測(cè)技術(shù)正是根據(jù)網(wǎng)絡(luò)攻擊行為而進(jìn)行設(shè)計(jì)的，它不僅能夠發(fā)現(xiàn)已知入侵行為，而且有能力發(fā)現(xiàn)未知的入侵行為，并可以通過(guò)學(xué)習(xí)和分析入侵手段，及時(shí)地調(diào)整系

3、統(tǒng)策略以加強(qiáng)系統(tǒng)的安全性。,2020/7/18,6,9.1.1 入侵檢測(cè)概念,1. 入侵檢測(cè)與P2DR模型 P2DR是Policy(安全策略)、Protection(防護(hù))、Detection(檢測(cè))、Response(響應(yīng))的縮寫(xiě)。其體系框架如圖6-1所示。 其中各部分的含義如下。 1)安全策略(Policy) 2)防護(hù)(Protection) 3)檢測(cè)(Detection) 4)響應(yīng)(Response),2020/7/18,7,9.1.1 入侵檢測(cè)概念,2. 入侵檢測(cè)的作用 入侵檢測(cè)技術(shù)是通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)和主機(jī)系統(tǒng)中的關(guān)鍵信息進(jìn)行實(shí)時(shí)采集和分析，從而判斷出非法用戶(hù)入侵和合法用戶(hù)濫用資源的行

4、為，并做出適當(dāng)反應(yīng)的網(wǎng)絡(luò)安全技術(shù)。 它在傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)上，實(shí)現(xiàn)了檢測(cè)與反應(yīng)，起主動(dòng)防御的作用。這使得對(duì)網(wǎng)絡(luò)安全事故的處理，由原來(lái)的事后發(fā)現(xiàn)發(fā)展到了事前報(bào)警、自動(dòng)響應(yīng)，并可以為追究入侵者的法律責(zé)任提供有效證據(jù)。,2020/7/18,8,9.1.1 入侵檢測(cè)概念,3. 入侵檢測(cè)的概念 入侵檢測(cè)是指“通過(guò)對(duì)行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其他網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測(cè)到對(duì)系統(tǒng)的闖入或闖入的企圖”(參見(jiàn)國(guó)標(biāo)GB/T18336)。 入侵檢測(cè)系統(tǒng)的作用如圖6-2所示。,2020/7/18,9,9.1.1 入侵檢測(cè)概念,4. 入侵檢測(cè)系統(tǒng)的發(fā)展歷史 1980年4月，James Anderson為

5、美國(guó)空軍作了一份題為Computer Security Threat Monitoring and Surveillance(計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視)的技術(shù)報(bào)告，這份報(bào)告被公認(rèn)為入侵檢測(cè)技術(shù)的開(kāi)山鼻祖。 1987年，喬治敦大學(xué)的 Dorothy Denning提出了第一個(gè)實(shí)時(shí)入侵檢測(cè)系統(tǒng)模型，取名為IDES。 1988年的Morris蠕蟲(chóng)事件發(fā)生之后，網(wǎng)絡(luò)安全才真正引起了軍方、學(xué)術(shù)界和企業(yè)的高度重視。 1990年是入侵檢測(cè)系統(tǒng)發(fā)展史上的一個(gè)分水嶺，在這之前，所有的入侵檢測(cè)系統(tǒng)都是基于主機(jī)的，他們對(duì)于活動(dòng)的檢查局限于操作系統(tǒng)審計(jì)蹤跡數(shù)據(jù)及其他以主機(jī)為中心的數(shù)據(jù)源。 從20世紀(jì)90年代至今，對(duì)入

6、侵檢測(cè)系統(tǒng)的研發(fā)工作已呈現(xiàn)出百家爭(zhēng)鳴的繁榮局面，并在智能化和分布式兩個(gè)方向取得了長(zhǎng)足的進(jìn)展。,2020/7/18,10,9.1.2 入侵檢測(cè)功能,入侵檢測(cè)的主要功能包括以下幾個(gè)方面。 對(duì)網(wǎng)絡(luò)流量的跟蹤與分析功能。 對(duì)已知攻擊特征的識(shí)別功能。 對(duì)異常行為的分析、統(tǒng)計(jì)與響應(yīng)功能。 特征庫(kù)的在線(xiàn)和離線(xiàn)升級(jí)功能。 數(shù)據(jù)文件的完整性檢查功能。 自定義的響應(yīng)功能。 系統(tǒng)漏洞的預(yù)報(bào)警功能。 IDS探測(cè)器集中管理功能。,2020/7/18,11,9.1.2 入侵檢測(cè)功能,其工作原理如下: (1)信息收集 信息的來(lái)源一般來(lái)自以下四個(gè)方面。 系統(tǒng)和網(wǎng)絡(luò)日志文件。 目錄和文件中的不期望的改變。 程序執(zhí)行中的不期望行

7、為。 物理形式的入侵信息。 (2)信息分析 (3)響應(yīng),2020/7/18,12,9.1.3 入侵檢測(cè)系統(tǒng)分類(lèi),1. 根據(jù)數(shù)據(jù)來(lái)源和系統(tǒng)結(jié)構(gòu)分類(lèi) 1)基于主機(jī)的入侵檢測(cè)系統(tǒng)HIDS 2)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)NIDS 3)分布式入侵檢測(cè)系統(tǒng)DIDS,2020/7/18,13,基于主機(jī)的入侵檢測(cè)系統(tǒng)（HIDS） 主要用于保護(hù)運(yùn)行關(guān)鍵應(yīng)用的服務(wù)器。它通過(guò)監(jiān)視與分析主機(jī)的審計(jì)記錄和日志文件來(lái)監(jiān)測(cè)入侵。 除了對(duì)審計(jì)記錄和日志文件的監(jiān)測(cè)外，還有對(duì)特定端口、檢驗(yàn)系統(tǒng)文件和數(shù)據(jù)文件的校驗(yàn)和。,2020/7/18,14,優(yōu)點(diǎn)： 能確定攻擊是否成功。 監(jiān)控粒度更細(xì)。 配置靈活。 用于加密的以及交換的環(huán)境。 對(duì)網(wǎng)

8、絡(luò)流量不敏感。 不需要額外的硬件。 缺點(diǎn)： 它會(huì)占用主機(jī)的資源，在服務(wù)器上產(chǎn)生額外的負(fù)載。 缺乏平臺(tái)支持，可移植性差，因而應(yīng)用范圍受到嚴(yán)重限制。,基于主機(jī)的入侵檢測(cè)系統(tǒng)（HIDS）,2020/7/18,15,基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS） 主要用于實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息，它偵聽(tīng)網(wǎng)絡(luò)上的所有分組來(lái)采集數(shù)據(jù)，分析可疑現(xiàn)象。 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)使用原始網(wǎng)絡(luò)包作為數(shù)據(jù)源。 基于網(wǎng)絡(luò)的IDS通常利用一個(gè)運(yùn)行在混雜模式下的網(wǎng)卡來(lái)實(shí)時(shí)監(jiān)控并分析通過(guò)網(wǎng)絡(luò)的所有通信業(yè)務(wù)。,2020/7/18,16,基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS）,優(yōu)點(diǎn): 監(jiān)測(cè)速度快。 隱蔽性好。 視野更寬。 較少的監(jiān)測(cè)器。 攻擊

9、者不易轉(zhuǎn)移證據(jù)。 操作系統(tǒng)無(wú)關(guān)性。 可以配置在專(zhuān)用的機(jī)器上，不會(huì)占用被保護(hù)的設(shè)備上的任何資源。 缺點(diǎn)： 只能監(jiān)視本網(wǎng)段的活動(dòng)，精確度不高。 在交換環(huán)境下難以配置。 防入侵欺騙的能力較差。 難以定位入侵者。,2020/7/18,17,分布式表現(xiàn)在兩個(gè)方面： 首先數(shù)據(jù)包過(guò)濾的工作由分布在各網(wǎng)絡(luò)設(shè)備（包括聯(lián)網(wǎng)主機(jī)）上的探測(cè)代理完成； 其次探測(cè)代理認(rèn)為可疑的數(shù)據(jù)包將根據(jù)其類(lèi)型交給專(zhuān)用的分析層設(shè)備處理，這樣對(duì)網(wǎng)絡(luò)信息進(jìn)行分流，既提高了檢測(cè)速度，解決了檢測(cè)效率問(wèn)題，又增加了DIDS本身抗擊拒絕服務(wù)攻擊的能力。,分布式入侵檢測(cè)系統(tǒng)（DIDS）,2020/7/18,18,9.1.3 入侵檢測(cè)系統(tǒng)分類(lèi),2. 根

10、據(jù)檢測(cè)方法分類(lèi) 1)誤用檢測(cè)模型(Misuse Detection) 2)異常檢測(cè)模型(Anomaly Detection) 3. 根據(jù)系統(tǒng)各個(gè)模塊運(yùn)行的分布方式分類(lèi) 1)集中式入侵檢測(cè)系統(tǒng) 2)分布式入侵檢測(cè)系統(tǒng),2020/7/18,19,9.2 入侵檢測(cè)技術(shù),本節(jié)介紹誤用檢測(cè)、異常檢測(cè)和高級(jí)檢測(cè)技術(shù)。在介紹入侵檢測(cè)技術(shù)的同時(shí)，也將對(duì)入侵響應(yīng)技術(shù)進(jìn)行介紹。,2020/7/18,20,9.2.1 誤用檢測(cè)技術(shù),誤用檢測(cè)對(duì)于系統(tǒng)事件提出的問(wèn)題是：這個(gè)活動(dòng)是惡意的嗎？誤用檢測(cè)涉及對(duì)入侵指示器已知的具體行為的描述信息，然后為這些指示器過(guò)濾事件數(shù)據(jù)。 其模型如圖所示。,2020/7/18,21,9.2

11、.1 誤用檢測(cè)技術(shù),基于規(guī)則的專(zhuān)家系統(tǒng) 專(zhuān)家系統(tǒng)是誤用檢測(cè)技術(shù)中運(yùn)用最多的一種方法.用專(zhuān)家系統(tǒng)對(duì)入侵進(jìn)行檢測(cè),經(jīng)常是針對(duì)有特征的入侵行為.所謂的規(guī)則,即是知識(shí),不同的系統(tǒng)與設(shè)置具有不同的規(guī)則,將有關(guān)入侵的知識(shí)轉(zhuǎn)化為if-then結(jié)構(gòu),if部分為入侵特征,then部分是系統(tǒng)防范措施.當(dāng)其中某個(gè)或某部分條件滿(mǎn)足時(shí),系統(tǒng)就會(huì)判斷為入侵行為發(fā)生.運(yùn)用專(zhuān)家系統(tǒng)防范入侵行為的有效性完全取決于專(zhuān)家系統(tǒng)知識(shí)庫(kù)的完備性,而建立一個(gè)完備性的知識(shí)庫(kù)對(duì)于一個(gè)大型網(wǎng)絡(luò)系統(tǒng)往往是很難的.,2020/7/18,22,9.2.1 誤用檢測(cè)技術(shù),2. 模式匹配系統(tǒng) 模式匹配首先根據(jù)已知的入侵定義由獨(dú)立的事件、事件的序列、事件臨

12、界值等通用規(guī)則組成入侵模式，然后觀察能與入侵模式相匹配的事件數(shù)據(jù)，達(dá)到發(fā)現(xiàn)入侵的目的。該過(guò)程可以很簡(jiǎn)單（如通過(guò)字符串匹配以尋找一個(gè)簡(jiǎn)單的條目或指令），也可以很復(fù)雜（如利用正規(guī)的數(shù)學(xué)表達(dá)式來(lái)表示安全狀態(tài)的變化）。 該技術(shù)的缺點(diǎn)是需要不斷升級(jí)以對(duì)付不斷出現(xiàn)的黑客攻擊手法,且不能監(jiān)測(cè)到從未出現(xiàn)過(guò)的黑客攻擊手段.著名的開(kāi)源的snort就是采用了這種檢測(cè)手段.,2020/7/18,23,9.2.1 誤用檢測(cè)技術(shù),3. 狀態(tài)轉(zhuǎn)換分析系統(tǒng) 狀態(tài)轉(zhuǎn)換圖是貫穿模型的圖形化表示。如圖所示,2020/7/18,24,9.2.2 異常檢測(cè)技術(shù),基于異常的入侵檢測(cè)方法主要來(lái)源于這樣的思想：任何人的正常行為都有一定的規(guī)律

13、，并且可以通過(guò)分析這些行為產(chǎn)生的日志信息總結(jié)出這些規(guī)律，而入侵行為通常和正常的行為存在嚴(yán)重的差異，通過(guò)檢查出這些差異就可以檢測(cè)出這些入侵。 異常檢測(cè)模型如圖6-8所示。,2020/7/18,25,9.2.2 異常檢測(cè)技術(shù),1. 基于統(tǒng)計(jì)的異常入侵檢測(cè) 1)操作模型 2)方差模型 3)多元模型 馬爾柯夫過(guò)程模型 2. 基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè),2020/7/18,26,9.2.3 高級(jí)檢測(cè)技術(shù),它們不一定是檢測(cè)入侵的方法，有的是為解決入侵檢測(cè)其他方面的問(wèn)題提出的。 1. 免疫系統(tǒng)方法 2. 遺傳算法 3. 數(shù)據(jù)挖掘方法 4. 數(shù)據(jù)融合,2020/7/18,27,9.2.4 入侵誘騙技術(shù),1. 概念

14、 2. 蜜罐技術(shù)及其基本原理 1)單機(jī)蜜罐系統(tǒng) 2)蜜網(wǎng)系統(tǒng) 3. 分布式入侵誘騙 4. 虛擬入侵誘騙,2020/7/18,28,9.2.5 入侵響應(yīng)技術(shù),當(dāng)IDS分析出入侵行為或可疑現(xiàn)象后，系統(tǒng)需要采取相應(yīng)手段，及時(shí)做出反應(yīng)，將入侵造成的損失降到最低程度。一般可以通過(guò)生成事件報(bào)警、電子郵件或短信息來(lái)通知管理員。 1. 入侵響應(yīng)的重要性 2. 入侵響應(yīng)系統(tǒng)的分類(lèi) 1)通知和警報(bào)響應(yīng)系統(tǒng) 2)人工手動(dòng)響應(yīng)系統(tǒng) 3)自動(dòng)響應(yīng)系統(tǒng),2020/7/18,29,9.2.5 入侵響應(yīng)技術(shù),自動(dòng)響應(yīng)系統(tǒng)結(jié)構(gòu)如下圖所示。,2020/7/18,30,9.2.5 入侵響應(yīng)技術(shù),3. 入侵響應(yīng)方式 1)主動(dòng)響應(yīng)方式

15、 (1)針對(duì)入侵行為采取必要措施 (2)重新修正配置系統(tǒng) (3)設(shè)計(jì)網(wǎng)絡(luò)陷阱以收集更為詳盡的信息 2)被動(dòng)響應(yīng)方式 (1)警報(bào)和通知,2020/7/18,31,9.3 入侵檢測(cè)分析,入侵檢測(cè)技術(shù)是一種當(dāng)今非常重要的動(dòng)態(tài)安全技術(shù)，如果與傳統(tǒng)的靜態(tài)安全技術(shù)共同使用，可以大大提高系統(tǒng)的安全防護(hù)水平。 本節(jié)將介紹入侵檢測(cè)的特點(diǎn)、缺點(diǎn)及其和防火墻的比較。,2020/7/18,32,9.3.1 入侵檢測(cè)特點(diǎn)分析,在人很少干預(yù)的情況下，能連續(xù)運(yùn)行。 當(dāng)系統(tǒng)由于事故或惡意攻擊而崩潰時(shí)，具有容錯(cuò)能力。當(dāng)系統(tǒng)重新啟動(dòng)時(shí)，入侵檢測(cè)系統(tǒng)能自動(dòng)恢復(fù)自己的狀態(tài)。 必須能抗攻擊。入侵檢測(cè)系統(tǒng)必須能監(jiān)測(cè)自己的運(yùn)行，檢測(cè)自身是

16、否被修改。 運(yùn)行時(shí)，盡可能少地占用系統(tǒng)資源，以免干擾系統(tǒng)的正常運(yùn)行。 對(duì)被監(jiān)控系統(tǒng)的安全策略，可以進(jìn)行配置。 必須能適應(yīng)系統(tǒng)和用戶(hù)行為的變化。如增加新的應(yīng)用，或改變用戶(hù)應(yīng)用。 當(dāng)要實(shí)時(shí)監(jiān)控大量主機(jī)時(shí)，系統(tǒng)應(yīng)能進(jìn)行擴(kuò)展。 入侵檢測(cè)系統(tǒng)一些部件因?yàn)槟承┰蛲Ｖ构ぷ鲿r(shí)，應(yīng)盡量減少對(duì)其他部分的影響。 系統(tǒng)應(yīng)能允許動(dòng)態(tài)配置。當(dāng)系統(tǒng)管理員修改配置時(shí)，不需要重新啟動(dòng)系統(tǒng)。,2020/7/18,33,9.3.2 入侵檢測(cè)與防火墻,1. 防火墻的局限 防火墻作為訪(fǎng)問(wèn)控制設(shè)備，無(wú)法檢測(cè)或攔截嵌入到普通流量中的惡意攻擊代碼，比如針對(duì)Web服務(wù)的注入攻擊等。 防火墻無(wú)法發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)中的攻擊行為。 2. 入侵檢測(cè)系統(tǒng)與

17、防火墻的關(guān)系 入侵檢測(cè)系統(tǒng)(Intrusion Detection System)是對(duì)防火墻有益的補(bǔ)充，入侵檢測(cè)系統(tǒng)被認(rèn)為是防火墻之后的第二道安全閘門(mén)，對(duì)網(wǎng)絡(luò)進(jìn)行檢測(cè)，提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)監(jiān)控，提供動(dòng)態(tài)保護(hù)，大大提高了網(wǎng)絡(luò)的安全性。 入侵檢測(cè)工作的主要特點(diǎn)有以下幾個(gè)方面。 事前警告 事中防護(hù) 事后取證,2020/7/18,34,9.3.3 入侵檢測(cè)系統(tǒng)的缺陷,1. 當(dāng)前入侵檢測(cè)系統(tǒng)存在的問(wèn)題和面臨的挑戰(zhàn) 1)對(duì)未知攻擊的識(shí)別能力差 2)誤警率高 2. 入侵檢測(cè)系統(tǒng)的發(fā)展趨勢(shì) 1)分布式入侵檢測(cè) 2)智能化入侵檢測(cè) 3)網(wǎng)絡(luò)安全技術(shù)相結(jié)合,2020/7/18,35,9.4 常用

18、入侵檢測(cè)產(chǎn)品介紹,IDS的硬件主要產(chǎn)品,2020/7/18,36,9.4常用入侵檢測(cè)系統(tǒng),9.4.1 1綠盟科技“冰之眼”IDS,2020/7/18,37,2聯(lián)想網(wǎng)御IDS,2020/7/18,38,3瑞星入侵檢測(cè)系統(tǒng)RIDS-100,2020/7/18,39,4McAfee IntruShield IDS,2020/7/18,40,9.4 常用入侵檢測(cè)產(chǎn)品介紹,IDS的軟件主要產(chǎn)品,2020/7/18,41,9.4 常用入侵檢測(cè)產(chǎn)品介紹,CA Session Wall Computer Associates公司的SessionWall-3，現(xiàn)在常稱(chēng)為eTrust Intrusion Dete

19、ction是業(yè)界領(lǐng)先的功能非常強(qiáng)大的基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。 1. 入侵檢測(cè)功能 2. 會(huì)話(huà)記錄、攔截功能 3. 防止網(wǎng)絡(luò)濫用 4. 活動(dòng)代碼和病毒防護(hù) 5. 與其他安全產(chǎn)品集成與配合 6. 集中管理,2020/7/18,42,9.4常用入侵檢測(cè)系統(tǒng),Snort應(yīng)用 一個(gè)綜合的Snort系統(tǒng)所需軟件有 Windows 平臺(tái)的Snort 、windows版本的抓包驅(qū)動(dòng)WinPcap、windows版本的數(shù)據(jù)庫(kù)服務(wù)器mysql、基于PHP的入侵檢測(cè)數(shù)據(jù)庫(kù)分析控制臺(tái)ACID、用于為php服務(wù)的活動(dòng)數(shù)據(jù)對(duì)象數(shù)據(jù)庫(kù) adodb（ Active 2Data Objects Data Base for PH

20、P ）、Windows版 本 的apache WEB 服 務(wù) 器apache2、Windows版 本 的PHP腳本環(huán)境、支持php的圖形庫(kù)jpgraph等,2020/7/18,43,2020/7/18,44,上述軟件可根據(jù)下列次序依次安裝配置 1.安裝 apache 指定安裝目錄 c:idsapache , 下載apache ，下載網(wǎng)址,2020/7/18,45,2020/7/18,46,2020/7/18,47,2020/7/18,48,2020/7/18,49,2020/7/18,50,2020/7/18,51,2020/7/18,52,2020/7/18,53,2020/7/18,54,

21、2020/7/18,55,2020/7/18,56,安裝完成后，需測(cè)試按默認(rèn)配置運(yùn)行的網(wǎng)站界面，看Apache是否安裝成功。打開(kāi)IE瀏覽器，在IE地址欄打確認(rèn)，如看到圖9-21所示頁(yè)面，表示Apache服務(wù)器已安裝成功。,2020/7/18,57,2020/7/18,58,Apache服務(wù)器安裝成功后，還需配置Apache服務(wù)器，如果不配置，安裝目錄下的Apache2htdocs文件夾就是網(wǎng)站的默認(rèn)根目錄，在里面放入文件就可以了。這里還是看一下配置過(guò)程。如圖9-22所示，單擊“開(kāi)始”“所有程序” “Apache HTTP Server 2.0” “Configur

22、e Apache Server” “Edit the Apache httpd conf Configuration file”，打開(kāi)配置文件,2020/7/18,59,Apache配置文件網(wǎng)站根目錄配置,2020/7/18,60,2、安裝 php 下載php，下載網(wǎng)址,2020/7/18,61,查看解壓縮后的文件夾C:idsPHP，找到“php.ini-dist”文件，將其重命名為“php.ini”，打開(kāi)編輯,2020/7/18,62,2020/7/18,63,需要說(shuō)明的是，要選擇加載的模塊，需去掉前面的 “;”，功能就是使php能夠直接調(diào)用其模塊，比如訪(fǎng)問(wèn)mysql，去掉“;extensi

23、on= php_mysql.dll”前的“;”，就表示要加載此模塊，加載的越多，占用的資源也就越多。所有的模塊文件都放在php解壓縮目錄的“ext”之下，前面的“;”沒(méi)去掉的，是因?yàn)椤癳xt”目錄下默認(rèn)沒(méi)有此模塊，加載會(huì)提示找不到文件而出錯(cuò)。比如在此還沒(méi)有安裝mysql，所以“;extension= php_mysql.dll” 前的“;”還不能去掉，安裝完mysql后再加來(lái)重新配置“php.ini”文件,2020/7/18,64,如果前面配置加載了其它模塊，要指明模塊的位置，否則重啟Apache的時(shí)候會(huì)提示“找不到指定模塊”的錯(cuò)誤。簡(jiǎn)單的方法是，直接將php安裝路徑、以及php安裝路徑下ex

24、t路徑指定到windows系統(tǒng)路徑中。在“我的電腦”上單擊右鍵，打開(kāi)對(duì)話(huà)框“屬性”，選擇“高級(jí)”標(biāo)簽，單擊【環(huán)境變量】，在“系統(tǒng)變量”下找到“Path”變量，選擇，點(diǎn)擊“編輯”，打開(kāi)編輯系統(tǒng)變量對(duì)話(huà)框，將“c:idsPHP;c:idsPHPext”加到原有值的后面，如圖9-29所示，全部確定。系統(tǒng)路徑添加好后要重啟電腦才能生效，可以現(xiàn)在重啟，也可以在所有軟件安裝或配置好后重啟。,2020/7/18,65,3將php以module方式與Apache相結(jié)合 安裝php后，將php以module方式與Apache相結(jié)合，使php融入Apache，依前面講述的方法打開(kāi)Apache的配置文件，查找“Lo

25、adModule”，在找到的“LoadModule”后面添加“LoadModule php5_module c:/ids/PHP/php5apache2.dll”,指以module方式加載php，添加“PHPIniDir c:/ids/PHP”是指明php的配置文件php.ini的位置,2020/7/18,66,2020/7/18,67,測(cè)試結(jié)合是否成功。在C:idsApacheApache2htdocs 文件夾下編寫(xiě) test.php 文件，內(nèi)容為 。 打開(kāi)瀏覽器輸入 http:/lcoalhsot/test.php，如果瀏覽到了 php 的信息則說(shuō)明一切正常,2020/7/18,68,20

26、20/7/18,69,4 安裝 winpcap 在瀏覽器中輸入 /install/bin/WinPcap_4_0_2.exe，下載WinPcap_4_0_2.exe文件。雙擊開(kāi)始安裝界面 安裝完后，采取默認(rèn)值即可。,2020/7/18,70,5 安裝 snort 下載“Snort_2_8_3_1_Installer.exe”文件，下載網(wǎng)址為/dl/binaries/win32。雙擊“Snort_2_8_3_1_Installer.exe”，打開(kāi)snort認(rèn)證許可界面，指定安裝路徑為 c:idssnort 文件夾,2

27、020/7/18,71,2020/7/18,72,圖9-42 snort安裝成功界面 測(cè)試 snort 安裝是否正確。運(yùn)行“cmd“命令，打開(kāi)cmd窗口 ，進(jìn)入C:idssnortsnortbin路徑，執(zhí)行“snort.exeW”命令，如果安裝 snort成功會(huì)出現(xiàn)一個(gè)可愛(ài)的小豬,2020/7/18,73,2020/7/18,74,6安裝 mysql 在網(wǎng)站 打開(kāi)下載的mysql安裝文件“mysql-5.0.22-win32.zip”，雙擊解壓縮，運(yùn)行“setup.exe”,2020/7/18,75,2020/7/18,76,2020/7/18,77,2020/7/18,78,2020/7/1

28、8,79,2020/7/18,80,2020/7/18,81,2020/7/18,82,軟件安裝完成后，出現(xiàn)上界面，它提供了一個(gè)很好的功能，mysql配置向?qū)?，不用自己手?dòng)配置my.ini，這為很多非專(zhuān)業(yè)人士提供了方便。將 “Configure the Mysql Server now”勾選，點(diǎn)【Finish】結(jié)束軟件的安裝同時(shí)啟動(dòng)mysql配置向?qū)?2020/7/18,83,2020/7/18,84,2020/7/18,85,2020/7/18,86,2020/7/18,87,2020/7/18,88,2020/7/18,89,2020/7/18,90,2020/7/18,91,2020/7

29、/18,92,2020/7/18,93,2020/7/18,94,2020/7/18,95,設(shè)置完畢后，會(huì)有圖9-62界面出現(xiàn)，按【Finish】結(jié)束mysql的安裝與配置。 如果不能“Start service”，先檢查以前安裝的mysql服務(wù)器是否徹底卸掉；如果確信在本次數(shù)據(jù)庫(kù)安裝前，上一次安裝的數(shù)據(jù)庫(kù)已卸載，再檢查之前的密碼是否有修改，如果依然有問(wèn)題，將mysql安裝目錄下的data文件夾備份，然后徹底刪除數(shù)據(jù)庫(kù)，重新安裝，重新安裝后將安裝生成的 data文件夾刪除，備份的data文件夾移回來(lái)，再重啟mysql服務(wù)。,2020/7/18,96,7與Apache及php相結(jié)合 前面已講過(guò)，

30、Apache與php的結(jié)合，mysql與Apache及php相結(jié)合，基本是相似的。在php安裝目錄下，找到先前重命名并編輯過(guò)的 php.ini，把“;extension=php_mysql.dll”前的“;”去掉，加載mysql模塊。保存，關(guān)閉。,2020/7/18,97,8創(chuàng)建 snort 數(shù)據(jù)庫(kù)的表 復(fù)制 c:idssnortschames 文件夾下的 create_mysql 文件到 c:idsmysqlbin 文件夾下 。執(zhí)行“開(kāi)始”“程序”“MySQL”“MySQL Server 5.0” “MySQL Commmand Line Client”，打開(kāi) mysql 的客戶(hù)端 圖9-6

31、3 打開(kāi)mysql 的客戶(hù)端 執(zhí)行如下命令： Createdatabasesnort; Createdatabasesnort_archive; Usesnort; Sourcecreate_mysql; Usesnort_archive; Sourcecreate_mysql; Grantallon*.*to“root”localhost”,2020/7/18,98,9.安裝 adodb 下載adodb504.gz，在瀏覽器地址中輸入 文件夾下。,2020/7/18,99,10安裝 jgraph 下載jpgraph，下載地址 http:/www.aditus.nu/jpgraph/jpdownload.php，解壓縮 jpgraph 到 c:idsPHPjpgraph 文件夾下。,2020/7/18,100,11安裝 acid