入侵檢測課程設計1new

1、 甘肅政法學院入侵檢測課程設計題 目：snort入侵檢測系統(tǒng) 學 號： 姓 名： 指導教師： 成 績：_摘要：本文使用抓包庫WinPcap，入侵探測器snort，Web服務器Apache，數(shù)據(jù)庫MySQL，入侵數(shù)據(jù)分析控制臺ACID構建了Windows平臺下基于snort的網(wǎng)絡入侵系統(tǒng)。Snort對監(jiān)控網(wǎng)絡中的數(shù)據(jù)包進行規(guī)則匹配，檢測入侵行為，并將日志保存至MYSQL數(shù)據(jù)庫，ACID分析數(shù)據(jù)庫數(shù)據(jù)，生成網(wǎng)絡入侵事件日志圖表。關鍵詞：入侵檢測系統(tǒng)；網(wǎng)絡安全；snort基于windows平臺的snort入侵檢測系統(tǒng)研究與實現(xiàn)引言 隨著計算機網(wǎng)絡的迅猛發(fā)展, 網(wǎng)絡安全問題日益嚴重。防火墻作為主要的安

2、全防范手段, 在很多方面存在弱點, 而入侵檢測系統(tǒng)能夠提供了對內部、外部攻擊和誤操作的實時保護, 它能夠自動的監(jiān)控網(wǎng)絡的數(shù)據(jù)流, 迅速發(fā)現(xiàn)攻擊, 對可疑的事件給予檢測和響應。因此, 入侵檢測系統(tǒng)愈來愈多的受到人們的關注, 并已經(jīng)開始在各種不同的環(huán)境中發(fā)揮重要的作用。 目前市面上充斥著大量的入侵檢測系統(tǒng)產(chǎn)品。但是它們大多比較雜, 比較難以掌握, 而且比較昂貴。我們可以通過網(wǎng)絡上的開源軟件來自己構建一個入侵檢測系統(tǒng)。第一章 入侵檢測系統(tǒng)簡介入侵檢測是對系統(tǒng)運行狀態(tài)進行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖和行為或者攻擊結果，以保證系統(tǒng)資源的機密性、完整性和可用性。入侵檢測系統(tǒng)( Int rusion Detect

3、 ion Sy stem, 簡稱IDS)根據(jù)檢測數(shù)據(jù)來源分為：基于主機的入侵檢測系統(tǒng)從單個主機上提取數(shù)據(jù)（如審計數(shù)據(jù)等）作為入侵檢測分析的數(shù)據(jù)源；基于網(wǎng)絡的入侵檢測系統(tǒng)從網(wǎng)絡上提取數(shù)據(jù)（如網(wǎng)絡鏈路層的數(shù)據(jù)幀）作為入侵分析的數(shù)據(jù)源。入侵檢測系統(tǒng)按檢測方法分為：異常入侵檢測根據(jù)異常行為和計算機資源情況檢測入侵，并試圖用定量方式描述可接受的行為特征，以區(qū)分正常的、潛在的入侵行為；誤用入侵檢測指用已知系統(tǒng)和應用軟件的弱點攻擊模式來檢測入侵行為。目前入侵檢測技術存在：現(xiàn)有IDS 誤報警率偏高，很難確定真正的入侵行為；事件響應與恢復機制不完善，不適當?shù)淖詣禹憫獧C制存在很大的安全風險；IDS 缺乏國際統(tǒng)一標

4、準，缺乏統(tǒng)一的入侵檢測術語和概念框架；IDS 本身正在發(fā)展和變化，遠未成熟，還存在對入侵檢測系統(tǒng)自身的攻擊；缺少對檢測結果作進一步說明和分析的輔助工具，日益增長的網(wǎng)絡流量導致檢測分析難度加大。第二章 Snort 入侵檢測系統(tǒng)的構建2 Snort原理2.1 入侵檢測系統(tǒng)簡介 入侵檢測系統(tǒng)通過對計算機網(wǎng)絡或計算機系統(tǒng)中的若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。2.2 入侵檢測系統(tǒng)的分類入侵檢測系統(tǒng)可分為主機型和網(wǎng)

5、絡型主機型入侵檢測系統(tǒng)往往以系統(tǒng)日志、應用程序日志等作為數(shù)據(jù)源，當然也可以通過其他手段（如監(jiān)督系統(tǒng)調用）從所在的主機收集信息進行分析。主機型入侵檢測系統(tǒng)保護的一般是所在的系統(tǒng)。 網(wǎng)絡型入侵檢測系統(tǒng)的數(shù)據(jù)源則是網(wǎng)絡上的數(shù)據(jù)包。往往將一臺機子的網(wǎng)卡設于混雜模式（promiscmode）,監(jiān)聽所有本網(wǎng)段內的數(shù)據(jù)包并進行判斷。一般網(wǎng)絡型入侵檢測系統(tǒng)擔負著保護整個網(wǎng)段的任務。2.3 入侵檢測的實現(xiàn)技術 可分為兩類：一種基于標志（signature-based），另一種基于異常情況(anomaly-based)。 對于基于標識的檢測技術來說，首先要定義違背安全策略的事件的特征，如網(wǎng)絡數(shù)據(jù)包的某些頭信息。檢

6、測主要判別這類特征是否在所收集到的數(shù)據(jù)中出現(xiàn)。此方法非常類似殺毒軟件。 而基于異常的檢測技術則是先定義一組系統(tǒng)“正?！鼻闆r的數(shù)值，如CPU利用率、內存利用率、文件校驗和等，然后將系統(tǒng)運行時的數(shù)值與所定義的“正?！鼻闆r比較，得出是否有被攻擊的跡象。這種檢測方式的核心在于如何定義所謂的“正?！鼻闆r。2.4 Snort簡介 Snort是一個免費的、跨平臺的軟件包，用作監(jiān)視小型TCP/IP網(wǎng)的嗅探器、日志記錄、侵入探測器。 Snort有三種主要模式：信息包嗅探器、信息包記錄器或成熟的侵入探測系統(tǒng)。 實驗中涉及較多mysql數(shù)據(jù)庫服務器以及Snort規(guī)則的配置。其中mysql數(shù)據(jù)庫的配置要在Window

7、s命令行方式下進行。默認的用戶名為root,無密碼。連接命令如下：mysqlh 主機地址u 用戶名p 用戶密碼可通過數(shù)據(jù)庫管理命令創(chuàng)建、使用、刪除數(shù)據(jù)庫，以及創(chuàng)建、使用、刪除表。 Snort的配置及使用也需在Windows命令行中進行。要啟動snort需要指定配置文件和日志文件；配置文件包含了監(jiān)測規(guī)則、內外網(wǎng)IP范圍等。第三章 Window下的集成安裝3.1 安裝Snort和Wincap包3.1.1安裝AppServ圖3.0 安裝界面 在Server Name中輸入域名localhost：Administrators Email Address 中輸入郵箱地址：yw19890809162.co

8、m監(jiān)聽端口設為8080。圖3.1 監(jiān)聽端口界面設置點擊next，進入下一界面：在出現(xiàn)的界面中輸入密碼(enter root password):Character Sets and Collations選擇GB 2312Simplified Chese,下圖所示3.2：圖3.2 MySQL密碼設置然后單擊Install,進入安裝過程，出現(xiàn)下圖：圖3.3 AppServ安裝完成安裝完成后將C:Appservphp5目錄下的php.ini-dist 文件改名為php.Ini，并啟動Apache和MySql。圖3.4 php.ini-dist 文件在服務器觀看是否Apache和Mysql啟動（控制面

9、板管理服務 確保Apache和MySql已啟動）。如下圖3.5：圖3.5 Apache和Mysql啟動安裝完成后可以查看（MySQL啟動如下圖）圖3.6 查看MySQL啟動在瀏覽器中輸入http:/localhost :8080 出現(xiàn)：圖3.7 AppServ安裝圖表示安裝成功?。?）測試AppServ首先查看控制面板/管理/服務,確保Apache和MySQL已經(jīng)啟動，然后，在瀏覽器中輸入http:/localhost :8080/phpinfo.php,（下圖）圖3.8 AppServ安裝圖可以了解php的一些信息。最后打開瀏覽器，輸入http:/localhost :8080/phpMyA

10、dmin/index.php,（下圖）輸入用戶名root和密碼，可以瀏覽數(shù)據(jù)庫內容圖3.9 數(shù)據(jù)庫登錄界面圖3.10 數(shù)據(jù)庫界面3.1.2配置AppServ第一步編輯Apache服務器配置文件。打開Apache2.2conf文件中的httpd.conf,檢查相應的一些值圖3.11 打開httpd.conf文件第二步編輯phpMyAdmin中的關鍵文件。打開C:AppServwwwphpMyAdminlibraries目錄下的config.default.php文件作如下修改：（1） 搜索$cfgbloefish_secret，設定好密碼后在這里也要填寫，如root密碼123,則設置為$cfgb

11、loefish_secret=123；圖3.12打開httpd.conf文件（2） 搜索$cfgDefaultLang，將其設置為zh-gb2312；圖3.13 設置$cfgDefaultLang（3） 搜索$cfgDefaultCharset，將其設置為gb2312；圖3.14 設置DefaultCharset（4） 搜索$cfgServers$iauth_type，默認config是不安全的，推薦使用cookie，將其設置為$cfgServers$iauth_type=cookie。圖3.15 Servers設置假如要設置為config的話，要設置用戶和密碼。如下圖圖3.16 user設置

12、圖3.17 password設置第三步配置php.ini。打開C:WINDOWS|php.ini文件,找到：open_basedir=;做一下修改;圖3.18 php.ini文件修改第四步，Mysql進行修改。首先需要建立Snort運行必需的Snort 庫和Snort_archive庫圖3.19 建立Snort庫圖3.20 Snort_archive庫接下來修改C:、Snortschemas下的create_MySQL文件，修改如下：修改前：圖3.21 create_MySQ修改前修改后：圖3.22 create_MySQ修改后第五步，使用c:snortschemas目錄下的Create_My

13、SQL腳本建立Snort運行必需的數(shù)據(jù)表。圖3.23 建立create_MySQ腳本執(zhí)行完create_MySQ腳本后，用戶可以通過在MySQL提示符下運行SQL語句show table來檢驗配置的真確性。該用戶顯示數(shù)據(jù)庫內的所有表。圖3.24 執(zhí)行后結果第六步，必須在Appache服務器主機上建立ACID和Snort用戶，并為他們分配相關權限和訪問密碼，使ACID能正常訪問后臺數(shù)據(jù)庫MySQL中與Snort相關的數(shù)據(jù)文件：圖3.25 Appache服務器主機上對ACID和Snort設置最后在瀏覽器中輸入http:/localhost :8080/acid/acid-db-setup.php

14、出現(xiàn)如下界面：圖3.26 安裝成功界面3.2安裝Adodb,jpGraph和ACID 將Adodb到C:AppServphp5目錄下，生成C:AppServphp5adodb目錄，再將jpGraph復制C:AppServphp5目錄下，生成C:AppServphp5jpgraph目錄，將acid 生成目錄放到C:AppServwww目錄下，生成C:AppServwwwacid目錄。圖3.27 生成C:AppServphp5adodb目錄圖3.28 生成C:AppServphp5jpgraph目錄圖3.29 生成C:AppServwwwacid目錄接下來修改C:AppServwwwacid中的

15、acid-conf.php文件，如下： 圖3.30 修改acid-conf.php文件設定密碼：圖3.31 設定密碼成功。3.3.配置Snort修改C：snortetcsnort.conf 主要改絕對路徑：修改前：修改后：然后還需要修改引用路徑：并設置Snort輸出alert到MySQLserver：phpMyAdmin測試在瀏覽器中輸入http:/localhost:8080/phpMyAdmin/index.php出現(xiàn)圖3.32 登陸界面使用預設的3個用戶名（acid root snort ）和密碼登陸即可命令執(zhí)行界面測試進入界面圖3.33 進入界面18.添加規(guī)則庫解壓縮snortrules-s