畢業(yè)論文——網(wǎng)絡(luò)入侵檢測系統(tǒng)(snort)研究

1、<p>　　網(wǎng)絡(luò)入侵檢測系統(tǒng)(Snort)研究</p><p>　　摘 要;互聯(lián)網(wǎng)絡(luò)的蓬勃發(fā)展給人們的工作生活帶來極大的便利，然而，隨著現(xiàn)代化網(wǎng)絡(luò)應(yīng)用的普及，伴隨而來的網(wǎng)絡(luò)不安全因素也給網(wǎng)絡(luò)信息安全帶來了嚴(yán)峻挑戰(zhàn)，傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)已經(jīng)很難對付這些日益嚴(yán)重的安全威脅，所以我們就有必要去開發(fā)專門的工具去避免這</p><p>　　些不安全因素的攻擊，而入侵檢測技術(shù)便可以作為一種很

2、重要的技術(shù)為我們所用。</p><p>　　入侵檢測是網(wǎng)絡(luò)安全領(lǐng)域中一個較新的課題，檢測引擎作為入侵檢測系統(tǒng)的核心模塊，其檢測速度快慢直接影響網(wǎng)絡(luò)入侵檢測系統(tǒng)的效率，模式匹配是入侵檢測系統(tǒng)的重要檢測方法，其性能對入侵檢測系統(tǒng)至關(guān)重要。入侵檢測系統(tǒng)按照數(shù)據(jù)分析模式來分，可以分為異常入侵檢測和誤用入侵檢測，對于當(dāng)前基于模式匹配的誤用入侵檢測系統(tǒng)來說，入侵檢測的檢測效率主要體現(xiàn)在模式匹配的速度，好的模式匹配算法是提高入

3、侵檢測速度的關(guān)鍵所在。</p><p>　　本論文首先介紹研究了網(wǎng)絡(luò)入侵檢測的概況，然后深入的研究了snort的詳細(xì)信息，包括其特點，結(jié)構(gòu)和其檢測流程等，論文較重點的配置了snort在windows下的工作環(huán)境，做了簡單的實驗，來展現(xiàn)snort的DOS下的工作過程和與php，acid等可圖形顯示下的數(shù)據(jù)瀏覽與操作。</p><p>　　關(guān)鍵詞：網(wǎng)絡(luò)安全；snort；入侵檢測；模式匹配<

4、;/p><p><b>　　1 緒 論</b></p><p>　　1.1 研究的目的與意義</p><p>　　隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，其應(yīng)用領(lǐng)域也在不斷地擴展，網(wǎng)絡(luò)技術(shù)的應(yīng)用已經(jīng)從傳統(tǒng)的小型業(yè)務(wù)系統(tǒng)逐漸擴展到大型的關(guān)鍵業(yè)務(wù)系統(tǒng)中，比如說金融業(yè)務(wù)系統(tǒng)、電子商務(wù)系統(tǒng)等等，政府門戶信息系統(tǒng)等。然而，隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)安全問題也日益突出。比如

5、說金融系統(tǒng)、政府信息系統(tǒng)受到外界的攻擊與破壞，信息容易被竊取和修改等網(wǎng)絡(luò)安全問題越來越嚴(yán)重。所以說，網(wǎng)絡(luò)安全問題已成為各國政府、企業(yè)以及廣大網(wǎng)絡(luò)用戶關(guān)心的問題之一。</p><p>　　任何試圖破壞網(wǎng)絡(luò)活動的正?；伎梢苑Q為網(wǎng)絡(luò)安全問題，過去保護網(wǎng)絡(luò)安全的最常用、最傳統(tǒng)的方法就是防火墻，但是防火墻只是一種被動防御性的網(wǎng)絡(luò)安全工具，隨著科學(xué)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)日趨復(fù)雜化，傳統(tǒng)防火墻是不足以滿足如今復(fù)雜多變的網(wǎng)絡(luò)安全

6、問題，在這種情況下，逐漸產(chǎn)生了入侵檢測系統(tǒng)，入侵檢測系統(tǒng)不僅能夠為網(wǎng)絡(luò)安全提供實時的入侵檢測及采取響應(yīng)的防護手段，它還可以識別針對計算機或網(wǎng)絡(luò)資源的惡意企圖和行為，并對此做出反應(yīng)，它提供了對系統(tǒng)受到內(nèi)部攻擊、外部攻擊和誤操作的實時保護，能夠幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊。入侵檢測系統(tǒng)能很好的彌補防火墻的不足，是防火墻的合理完善。</p><p>　　入侵檢測系統(tǒng)具有以下幾個特點：</p><p>　

7、　1）從系統(tǒng)的不同環(huán)節(jié)收集各種信息；</p><p>　　2）分析收集到的信息并試圖尋找入侵信息活動的特征；</p><p>　　3）自動對檢測到的行為做出響應(yīng)；</p><p>　　4）記錄并報告檢測結(jié)果；</p><p>　　入侵檢測系統(tǒng)的主要功能有：</p><p>　　1）監(jiān)測并分析用戶和系統(tǒng)的活動；</

8、p><p>　　2）核查系統(tǒng)配置及其漏洞；</p><p>　　3）評估系統(tǒng)重要資源和數(shù)據(jù)文件是否完整；</p><p>　　4）識別己知的入侵行為；</p><p>　　5）統(tǒng)計分析不正常行為；</p><p>　　6）根據(jù)操作系統(tǒng)的管理日志，識別違反安全策略的用戶活動；</p><p>　　入侵

9、檢測技術(shù)是一種積極主動地安全防護技術(shù)，其核心在于它的檢測引擎，如何實現(xiàn)高效快速的檢測，是入侵檢測技術(shù)的一個重要研究重點。目前入侵檢測技術(shù)主要分為兩大類，分別是基于異常的入侵檢測和基于規(guī)則的入侵檢測。由于目前的攻擊主要是針對網(wǎng)絡(luò)的攻擊，因此檢測入侵和攻擊的最主要的方法是捕獲和分析網(wǎng)絡(luò)數(shù)據(jù)包，使用相應(yīng)的軟件來提取入侵者所發(fā)出的攻擊包的特征，然后將這些特征攻擊包和入侵檢測系統(tǒng)的特征庫進行對比匹配，如果在特征庫中檢測到相應(yīng)的攻擊包，就會發(fā)出入侵

10、報警。在與特征庫進行匹配的過程中，用到的最主要的技術(shù)就是模式匹配，所以說在入侵檢測系統(tǒng)中模式匹配是一個研究重點。在國內(nèi)，隨著網(wǎng)絡(luò)應(yīng)用的日益增長，特別是那些關(guān)鍵部門對網(wǎng)絡(luò)的應(yīng)用使得網(wǎng)絡(luò)安全問題至關(guān)重要，迫切需要高效的入侵檢測產(chǎn)品來確保網(wǎng)絡(luò)安全，但是，由于我國的入侵檢測技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的研究起步較晚，還不夠成熟和完善，需要投入較多的精力來對這方面進行探索研究，特別是基于模式匹配也就是基于規(guī)則的入侵檢測是一個重要的研究領(lǐng)域，這對抑制黑客攻擊

11、和網(wǎng)絡(luò)病毒的傳播，提高網(wǎng)絡(luò)安全具有重要意義</p><p>　　1.2 入侵檢測技術(shù)的不足與發(fā)展趨勢</p><p>　　入侵檢測技術(shù)作為安全技術(shù)的一個重要領(lǐng)域，正在成為網(wǎng)絡(luò)安全研究的熱點，對入侵檢測的理論研究和實際應(yīng)用中還存在著許多問題，需要我們繼續(xù)深入研究和探索，具體來說，入侵檢測在以下方面有待繼續(xù)發(fā)展：</p><p>　　1）如何提高入侵檢測的安全性和準(zhǔn)確性

12、</p><p>　　目前商用領(lǐng)域的入侵檢測系統(tǒng)主要是基于模式匹配的入侵檢測引擎。這種基于模式匹配的入侵檢測引擎是將入侵?jǐn)?shù)據(jù)與攻擊模式特征庫進行匹配，其缺點是：當(dāng)網(wǎng)絡(luò)中出現(xiàn)新的攻擊時，由于攻擊特征庫未能及時更新，或是暫時很難對這些攻擊的攻擊特進行總結(jié)等，從而對這些新的攻擊無法產(chǎn)生報警，造成漏報。另外，大多入侵檢測無法識別偽裝或變形的網(wǎng)絡(luò)攻擊，也造成大量漏報和誤報。因此減少網(wǎng)絡(luò)負(fù)擔(dān)，實現(xiàn)模式特征庫的不斷升級與擴展，

13、這是對基于模式匹配的入侵檢測系統(tǒng)來講，提高入侵檢測的安全性和準(zhǔn)確性有很大幫助，從而使基于模式匹配的入侵檢測系統(tǒng)具有更廣泛的應(yīng)用前景。</p><p>　　2）如何提高入侵檢測的檢測速度</p><p>　　入侵檢測系統(tǒng)的檢測速度是其一項非常重要的指標(biāo)，隨著網(wǎng)絡(luò)數(shù)據(jù)快速增長，不僅要求網(wǎng)絡(luò)傳輸工具技術(shù)的不斷發(fā)展，而且如果入侵檢測的處理速度不能相應(yīng)提高，那么它將會成為影響網(wǎng)絡(luò)正常運行的一大瓶頸，

14、從而導(dǎo)致丟包，漏報等，進一步影響入侵檢測系統(tǒng)的準(zhǔn)確性和有效性。在入侵檢測中，隨著百兆、甚至千兆網(wǎng)絡(luò)的大量應(yīng)用，入侵檢測技術(shù)發(fā)展的速度已經(jīng)遠遠落后于網(wǎng)絡(luò)發(fā)展的速度。如何提高入侵檢測系統(tǒng)的檢測速度是目前研究者們迫不及待的任務(wù)，如改進其使用的核心算法，設(shè)計靈巧的檢測系統(tǒng)等。</p><p>　　3）如何提高入侵檢測的理論研究</p><p>　　現(xiàn)在，入侵檢測技術(shù)研究理論在我國還不成熟，如何選擇

15、合適的檢測技術(shù)以確保入侵檢測的高效性還不確定，隨著計算機科學(xué)不斷向前發(fā)展，計算機科學(xué)中的各種領(lǐng)域技術(shù)也有待進一步完善，如網(wǎng)絡(luò)技術(shù)、系統(tǒng)工程、分布式計算、人工智能等已形成比較良好的理論基礎(chǔ)，借鑒上述技術(shù)，再把入侵檢測和網(wǎng)絡(luò)結(jié)構(gòu)、加密技術(shù)、防火墻、病毒防護技術(shù)等結(jié)合起來，結(jié)合入侵檢測理論本身的特點，必將會提高、完善入侵檢測的理論研究。</p><p>　　4）如何規(guī)范入侵檢測產(chǎn)品的性能</p><

16、p>　　標(biāo)準(zhǔn)化的工作對于一項技術(shù)的發(fā)展非常關(guān)鍵，在某一個技術(shù)領(lǐng)域，如果沒有相應(yīng)的標(biāo)準(zhǔn)，那么該領(lǐng)域的發(fā)展將是混亂無章的。目前對于入侵檢測產(chǎn)品尚無一個明確的國際標(biāo)準(zhǔn)出臺，國內(nèi)也沒有，這使得各產(chǎn)品之間無法共享數(shù)據(jù)信息。盡管入侵檢測系統(tǒng)經(jīng)歷了二十多年的發(fā)展，但產(chǎn)品規(guī)范仍處于一個無序狀態(tài)，實際上，入侵檢測還處在一個新興的科學(xué)領(lǐng)域，如何規(guī)范入侵檢測產(chǎn)品性能，研究者們對其還是充滿信心，相信隨著科技的繼續(xù)發(fā)展、入侵檢測理論的不斷成熟，入侵檢測產(chǎn)品

17、的標(biāo)準(zhǔn)會出現(xiàn)的，從而加快入侵檢測技術(shù)的不斷向前發(fā)展。</p><p>　　2 入侵檢測系統(tǒng)概述</p><p>　　2.1入侵檢測系統(tǒng)的概述</p><p>　　入侵檢測系統(tǒng)（Intrusion Detection System簡稱為IDS）工作在計算機網(wǎng)絡(luò)系統(tǒng)中的關(guān)鍵節(jié)點上，通過實時地收集和分析計算機網(wǎng)絡(luò)或系統(tǒng)中的信息，來檢查是否出現(xiàn)違反安全策略的行為和是否存在入

18、侵的跡象，進而達到提示入侵、預(yù)防攻擊的目的。入侵檢測系統(tǒng)作為一種主動防護的網(wǎng)絡(luò)安全技術(shù)，有效擴展了系統(tǒng)維護人員的安全管理能力，例如安全審計、監(jiān)視、攻擊識別和響應(yīng)的能力。通過利用入侵檢測系統(tǒng)，可以有效地防止或減輕來自網(wǎng)絡(luò)的威脅，它已經(jīng)成為防火墻之后的又一道安全屏障，并在各種不同的環(huán)境中發(fā)揮關(guān)鍵作用。</p><p>　　從實驗室原型研究到推出商業(yè)化產(chǎn)品、走向市場并獲得廣泛認(rèn)同，入侵檢測走過了20多年的歷程。 <

19、;/p><p><b>　　概念提出</b></p><p>　　1980年4月，JnamesP.Aderson為美國空軍做了一份題為“Computer Security ThreatMonitoring and Sureillance”（計算機安全威脅監(jiān)控與監(jiān)視）的技術(shù)報告，第一次詳細(xì)的闡述了入侵檢測的概念。他提出了一種對計算機系統(tǒng)風(fēng)險和威脅的分類方法，并將威脅分為了外

20、部滲透、內(nèi)部滲透和不法行為三種，還提出了利用審計跟蹤數(shù)據(jù)監(jiān)視入侵活動的思想。這份報告被公認(rèn)為是入侵檢測的開山之作。 </p><p><b>　　模型的發(fā)展</b></p><p>　　1984年-1986年，喬治敦大學(xué)的Dorothy Denning和SRI/CSL（SRI公司計算機科學(xué)實驗室）的Peter Neumann研究出了一種實時入侵檢測系統(tǒng)模型，取名為ID

21、ES（入侵檢測專家系統(tǒng)）。 該模型獨立于特定的系統(tǒng)平臺、應(yīng)用環(huán)境、系統(tǒng)弱點以及入侵類型，為構(gòu)建入侵系統(tǒng)提供了一個通用的框架。 </p><p>　　1988年，SRI/CSL的Teresa Lunt等改進了Denning的入侵檢測模型，并研發(fā)出了實際的IDES。 </p><p>　　1990年時入侵檢測系統(tǒng)發(fā)展史上十分重要的一年。這一年，加州大學(xué)戴維斯分校的L.T.Heberlein等開

22、發(fā)出了NSM(Network Security Monitor)。該系統(tǒng)第一次直接將網(wǎng)絡(luò)作為審計數(shù)據(jù)的來源，因而可以在不將審計數(shù)計轉(zhuǎn)化成統(tǒng)一的格式情況下監(jiān)控異種主機。同時兩大陣營正式形成：基于網(wǎng)絡(luò)的IDS和基于主機的IDS。 </p><p>　　1988年的莫里斯蠕蟲事件發(fā)生后，網(wǎng)絡(luò)安全才真正引起各方重視。美國空軍、國家安全局和能源部共同資助空軍密碼支持中心、勞倫斯利弗摩爾國家實驗室、加州大學(xué)戴維斯分校、Hay

23、stack實驗室，開展對分布式入侵檢測系統(tǒng)（DIDS）的研究，將基于主機和基于網(wǎng)絡(luò)的檢測方法集成到一起。 </p><p><b>　　技術(shù)的進步</b></p><p>　　從20世紀(jì)90年代到現(xiàn)在，入侵檢測系統(tǒng)的研發(fā)呈現(xiàn)出百家爭鳴的繁榮局面，并在智能化和分布式兩個方向取得了長足的進展。目前，SRI/CSL、普渡大學(xué)、加州戴維斯分校、洛斯阿拉莫斯國家實驗室、哥倫比亞

24、大學(xué)、新墨西哥大學(xué)等機構(gòu)在這些方面代表了當(dāng)前的最高水平。我國也有多家企業(yè)通過最初的技術(shù)引進，逐漸發(fā)展成自主研發(fā)。</p><p>　　2.2 入侵檢測系統(tǒng)分類</p><p>　　基于主機IDS部署在單主機上，利用操作系統(tǒng)產(chǎn)生的日志記錄作為主要信息源，通過對其進行審計，檢測入侵行為。基于主機IDS不對網(wǎng)絡(luò)數(shù)據(jù)包或掃描配置進行檢查，而是對系統(tǒng)日志提供的大量數(shù)據(jù)進行整理。早期的系統(tǒng)多為基于主機

25、的，主要用來檢測內(nèi)部網(wǎng)絡(luò)的入侵攻擊。后來用分布主機代理來實現(xiàn)。</p><p><b>　　其主要優(yōu)點:</b></p><p>　　信息源(0S日志記錄)完備。系統(tǒng)產(chǎn)生的日志是歸類有序的。它準(zhǔn)確記錄了每個用戶的行為序列，這樣便可以精確監(jiān)控每個用戶的行為。同時也使得IDS對信息源的處理簡單、一致。對某些特定的攻擊十分有效。比如，審計日志能夠顯示出由緩沖區(qū)溢出攻擊引起的

26、優(yōu)先級轉(zhuǎn)移的情況，從而能夠有效的檢測緩沖區(qū)溢出攻擊。</p><p><b>　　其主要缺點:</b></p><p>　　1）由于它通常作為用戶進程運行，依賴于具體的操作系統(tǒng)底層的支持，與系統(tǒng)的體系結(jié)構(gòu)有關(guān)，所以它無法了解發(fā)生在下層協(xié)議的入侵活動;</p><p>　　2）熟練的入侵者往往可以進入系統(tǒng)修改、刪除有關(guān)的日志記錄，從而隱藏入侵跡象

27、;</p><p>　　3）HIDS位于所監(jiān)視的每一個主機中，故占用的資源不能太多，從而大大制了所采用的檢測方法及處理性能。</p><p>　　基于網(wǎng)絡(luò)的IDS最早出現(xiàn)于1990年。它主要用于防御外部入侵攻擊。它通過監(jiān)控出入網(wǎng)絡(luò)的通信數(shù)據(jù)流，依據(jù)一定規(guī)則對數(shù)據(jù)流的內(nèi)容進行分析，從而發(fā)現(xiàn)協(xié)議攻擊、運行已知黑客程序的企圖和可能破壞安全策略的特征，做出入侵攻擊判斷。</p>&l

28、t;p>　　為了能夠捕獲入侵攻擊行為，基于網(wǎng)絡(luò)IDS必須位于能夠看到所以數(shù)據(jù)包的位置，這包括:環(huán)網(wǎng)內(nèi)部、安全網(wǎng)絡(luò)中緊隨防火墻之后以及其它子網(wǎng)的路由器或網(wǎng)關(guān)之后。最佳位置便是位于Internet到內(nèi)部網(wǎng)絡(luò)的接入點。但是，同一子網(wǎng)的2個節(jié)點之間交換數(shù)據(jù)報文并且交換數(shù)據(jù)報文不經(jīng)過IDS，那么IDS可能就會忽略這些攻擊。</p><p>　　基于網(wǎng)絡(luò)IDS的主要優(yōu)點:</p><p>　　1

29、）由于NIDS直接收集網(wǎng)絡(luò)數(shù)據(jù)包，而網(wǎng)絡(luò)協(xié)議是標(biāo)準(zhǔn)的。因此，NIDS如目標(biāo)系統(tǒng)的體系結(jié)構(gòu)無關(guān)，可用于監(jiān)視結(jié)構(gòu)不同的各類系統(tǒng);</p><p>　　2）NIDS使用原始網(wǎng)絡(luò)數(shù)據(jù)包進行檢測，因此它所收集的審計數(shù)據(jù)被篡改的可能性很小，而且它不影響被保護系統(tǒng)的性能;</p><p>　　3）NIDS利用工作在混雜模式下的網(wǎng)卡實時監(jiān)視和分析所有的通過共享式網(wǎng)絡(luò)的傳輸，能夠?qū)崟r得到目標(biāo)系統(tǒng)與外界交互的

30、所有信息，包括一些隱蔽的端口掃描和沒有成功的入侵嘗試。</p><p>　　基于網(wǎng)絡(luò)IDS的主要缺點:</p><p>　　1）缺乏終端系統(tǒng)對待定數(shù)據(jù)的處理方法等信息，使得從原始的數(shù)據(jù)包中重構(gòu)應(yīng)用層信息很困難。因此，NIDS難以檢測發(fā)生在應(yīng)用層的攻擊;而對于加密傳輸方式進行的入侵，NIDS也無能為力;</p><p>　　2）NIDS只檢查它直接連接網(wǎng)段的通信，不能

31、檢測到不同網(wǎng)段的網(wǎng)絡(luò)包，因此在交換式局域網(wǎng)中，它難以獲得不同交換端口的網(wǎng)絡(luò)信息:</p><p>　　3）網(wǎng)絡(luò)流的數(shù)據(jù)量大，NIDS必須對數(shù)據(jù)幀進行解碼才能了解其中的含義。因此，NIDS的數(shù)據(jù)處理量大，而造成處理能力不足。</p><p>　　2.3 入侵檢測技術(shù)</p><p><b>　　異常檢測</b></p><p&

32、gt;　　異常檢測的假設(shè)是入侵者活動異常于正常主體的活動。根據(jù)這一理念建立主體正?；顒拥摹盎顒雍啓n”，將當(dāng)前主體的活動狀況與“活動簡檔”相比較，當(dāng)違反其統(tǒng)計規(guī)律時，認(rèn)為該活動可能是“入侵”行為。異常檢測的難題在于如何建立“活動簡檔”以及如何設(shè)計統(tǒng)計算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。</p><p><b>　　特征檢測</b></p><p&g

33、t;　　特征檢測這一檢測假設(shè)入侵者活動可以用一種模式來表示，系統(tǒng)的目標(biāo)是檢測主體活動是否符合這些模式。它可以將已有的入侵方法檢查出來，但對新的入侵方法無能為力。其難點在于如何設(shè)計模式既能夠表達“入侵”現(xiàn)象又不會將正常的活動包含進來。</p><p>　　2.4 入侵檢測系統(tǒng)主流產(chǎn)品</p><p>　　近年來，國內(nèi)外不少廠家生產(chǎn)了自己的入侵檢測產(chǎn)品。這些產(chǎn)品己經(jīng)得到了廣泛的應(yīng)用，下面簡要介

34、紹一下國內(nèi)外的一些產(chǎn)品。</p><p>　　1）Cisco公司的Cisco Secure IDS</p><p>　　Cisco Secure IDS以前被稱為NetRanger，該產(chǎn)品由控制器(Director)、感應(yīng)器(Sensor)和入侵檢測模塊IDSM(Intrusion Detection System Module)三大組成部分組成。感應(yīng)器分為網(wǎng)絡(luò)感應(yīng)器(NIDS)和主機感應(yīng)

35、器(HIDS)兩部分，分別負(fù)責(zé)對網(wǎng)絡(luò)信息和主機信息的收集和分析處理。控制器用于對系統(tǒng)進行控制和管理。</p><p>　　Cisco Secure IDS的另一個強項是其在檢測時不僅觀察單個包的內(nèi)容，而且還要看上下文，即從多個包中得到線索。Cisco Secure IDS是目前市場上基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)中經(jīng)受實踐考驗最多的產(chǎn)品之一。</p><p>　　2）ISS RealSecure&

36、lt;/p><p>　　ISS是最早將基于主機和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)完全集成到一個統(tǒng)一的管理框架中的供應(yīng)商之一。 ISS RealSecure具有方便的管理控制臺，其服務(wù)器和網(wǎng)絡(luò)感應(yīng)器近幾年也取得了很快的發(fā)展。</p><p>　　RealSecure采用分布式的體系結(jié)構(gòu)、系統(tǒng)分為兩層:感應(yīng)器和管理器。感應(yīng)器包括網(wǎng)絡(luò)感應(yīng)器、服務(wù)感應(yīng)器和系統(tǒng)感應(yīng)器三類。網(wǎng)絡(luò)感應(yīng)器主要是對網(wǎng)絡(luò)數(shù)據(jù)的分析檢測，服

37、務(wù)感應(yīng)器主要是負(fù)責(zé)對系統(tǒng)日志和系統(tǒng)文件信息的檢測。管理器包括控制臺、事件收集器、事件數(shù)據(jù)庫和告警數(shù)據(jù)庫四個部分。</p><p>　　3）“冰之眼”網(wǎng)絡(luò)入侵檢測系統(tǒng)</p><p>　　“冰之眼”網(wǎng)絡(luò)入侵檢測系統(tǒng)是綠盟科技開發(fā)的網(wǎng)絡(luò)入侵檢測產(chǎn)品。具有IP碎片重組能力，同時具有基于特征和異常兩種檢測模式，能夠提供多種入侵保護方式，并能與多種防火墻進行聯(lián)動。全自動在線升級系統(tǒng)使其能夠和綠盟主站

38、點保持規(guī)則庫的同步更新。</p><p>　　4）開源入侵檢測系統(tǒng)Snort</p><p>　　Snort是以開放源代碼(Open Source)形式發(fā)行的一個高性能、跨平臺的輕量級網(wǎng)絡(luò)入侵檢測系統(tǒng)，在網(wǎng)絡(luò)安全方面有著極高的地位，并且應(yīng)用十分廣泛。在世界著名的專業(yè)安全網(wǎng)站insecure.org進行的2006年網(wǎng)絡(luò)安全工具Topl00評選中，Snort名列三甲，而在入侵檢測一類中，更是頭

39、名狀元。</p><p>　　2.5 入侵檢測技術(shù)發(fā)展趨勢</p><p>　　入侵檢測技術(shù)在不斷地發(fā)展更新，近年來入侵檢測技術(shù)沿著以下幾個方向發(fā)展:</p><p>　　1）分布式入侵檢測。為了躲避檢測，越來越多的攻擊者采用分布式協(xié)同的方式發(fā)起攻擊，傳統(tǒng)的IDS局限于單一的主機或網(wǎng)絡(luò)架構(gòu)，對異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)檢測明顯不足，不同的系統(tǒng)之間不能協(xié)同工作。為解決這一

40、問題，需要發(fā)展分布式入侵檢測技術(shù)與通用入侵檢測架構(gòu)。</p><p>　　2）智能化入侵檢測。入侵方法越來越多樣化與綜合化，盡管已經(jīng)有智能代理、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測領(lǐng)域應(yīng)用研究，但這只是一些嘗試性的研究工作，需要對智能化的IDS加以進一步的研究以解決其自學(xué)習(xí)與自適應(yīng)能力。</p><p>　　3）應(yīng)用層入侵檢測。許多入侵活動的含義只有在應(yīng)用層才能理解。但傳統(tǒng)方法很少涉及到應(yīng)用層，使

41、得一些應(yīng)用系統(tǒng)內(nèi)的入侵活動難以檢測，所以需要開發(fā)應(yīng)用層的入侵檢測技術(shù)。</p><p>　　4）全面的安全防御方案。即使用安全工程風(fēng)險管理的思想與方法來處理網(wǎng)絡(luò)安全問題，將網(wǎng)絡(luò)安全作為一個整體工程來處理。從管理、網(wǎng)絡(luò)結(jié)構(gòu)、加密通道、防火墻、病毒防護、入侵檢測多方位全面對所關(guān)注的網(wǎng)絡(luò)作全面的評估，然后提出可行的全面解決方案。</p><p>　　3 網(wǎng)絡(luò)入侵檢測系統(tǒng)(Snort)研究<

42、/p><p>　　3.1 Snort特點</p><p>　　Snort是一個以開放源代碼形式發(fā)行的一個功能強大、跨平臺、輕量級的網(wǎng)絡(luò)入侵檢測系統(tǒng)，最初由 Martin Roesch編寫，并由遍布世界各地的眾多程序員共同維護和升級。它利用Libpcap從網(wǎng)絡(luò)中采集數(shù)據(jù)并進行分析，從而判斷是否存在可疑的網(wǎng)絡(luò)活動;就檢測模式而言，它基本上是基于誤用檢測技術(shù)，對數(shù)據(jù)進行最直接最簡單的搜索匹配。雖然S

43、nort是一個輕量級的入侵檢測系統(tǒng)，但是它的功能卻非常強大，其特點如下:</p><p>　　1）Snort代碼短小，簡潔，而且移植性非常好。目前支持Linux系列，Solaris，BSD系列，IRIX，HP-UNIX，Windows系列等。</p><p>　　2）Snort具有實時流量分析和日志IP網(wǎng)絡(luò)數(shù)據(jù)包的能力。能夠快速檢測網(wǎng)絡(luò)攻擊，及時發(fā)出警報。它提供的警報方式很多，比如Sysl

44、og，Unixsocket，WinPopup等。</p><p>　　3）Snort能夠進行協(xié)議分析，內(nèi)容的匹配和搜索?，F(xiàn)在它能夠分析的協(xié)議有TCP、UDP、和ICMP。將來可以支持更多IPX、RIP、OSPF等。它能檢測多種方式的攻擊和探測。</p><p>　　4）Snort具有靈活的日志格式。支持Tcpdump的二進制格式，也支持ASCll字符形式，也支持XML格式的，使用數(shù)據(jù)庫輸出

45、插件，還支持?jǐn)?shù)據(jù)庫日志格式。當(dāng)前支持的數(shù)據(jù)庫有Postagresql、Mysql，任何UnixODBC、Microsoft SQL Server、Oracle等。</p><p>　　5）使用TCP流插件，Snort可以對TCP包進行重組。這種能力使得Snort可以對抗“無狀態(tài)”攻擊。無狀態(tài)攻擊是指攻擊者每次只發(fā)送一個字節(jié)的數(shù)據(jù)包，逃過監(jiān)視，然后被攻擊主機的TCP棧會重新組合這些數(shù)據(jù)包，將攻擊數(shù)據(jù)發(fā)送給目標(biāo)端口上

46、監(jiān)聽的進程，從而擺脫IDS的檢測。</p><p>　　6）使用Spade (Statistical Packet Anomaly Detection Engine)插件，Snort能夠報告異常的數(shù)據(jù)包，從而對端口進行有效的檢測。</p><p>　　7）Snort還具有很強的系統(tǒng)防護能力。使用IPTables，IPFilter插件可以使入侵檢測主機和防火墻聯(lián)動，通過FlexResp功能，

47、Snort能夠命令防火墻斷開惡意連接。</p><p>　　8）擴展性好，對于新的攻擊威脅反應(yīng)迅速。Snort采用了一種簡單的規(guī)則描述語言，最基本的規(guī)則知識包含四個域:處理動作、協(xié)議、方向、端口?？梢詫π碌墓粞杆俳⒁?guī)則表。</p><p>　　9）Snort支持插件，可以使用具有特定功能的報告，檢測子系統(tǒng)插件對其進行功能擴展。當(dāng)前支持的插件有:數(shù)據(jù)庫日志輸出插件、破碎包檢測插件、端口掃

48、描檢測插件、HttpURL插件、XML網(wǎng)頁生成插件等。</p><p>　　3.2 Snort的體系結(jié)構(gòu)</p><p>　　圖3-1 Snort的體系結(jié)構(gòu)</p><p>　　1）Sniffer(數(shù)據(jù)包嗅探器)</p><p>　　該子系統(tǒng)的功能是捕獲網(wǎng)絡(luò)數(shù)據(jù)包并按照TCP/IP協(xié)議的不同層次將數(shù)據(jù)包進行解析。Snort利用libpcaP庫

49、函數(shù)進行數(shù)據(jù)采集，該庫函數(shù)可以為應(yīng)用程序提供直接從鏈路層捕獲數(shù)據(jù)包的接口函數(shù)，并可以設(shè)置數(shù)據(jù)包的過濾器來捕獲指定的數(shù)據(jù)。網(wǎng)絡(luò)數(shù)據(jù)采集和解析機制是整個NIDS實現(xiàn)的基礎(chǔ)，其中關(guān)鍵的是要保證高速和較低的丟包率，這不僅僅取決于軟件的效率還同硬件的處理能力相關(guān)。對于解析機制來說，能夠處理數(shù)據(jù)包的類型的多樣性也同樣非常重要，目前,Snort可以處理以太網(wǎng)，令牌環(huán)以及SLIP等多種類型的包。</p><p><b>

50、;　　2）預(yù)處理器</b></p><p>　　Snort的預(yù)處理器是介于數(shù)據(jù)包嗅探器與檢測引擎之間的可插入模塊，它的主要思想是在數(shù)據(jù)包送到Snort的檢測引擎之前提供一個報警、丟棄數(shù)據(jù)包或修改數(shù)據(jù)包的框架。</p><p><b>　　3）檢測引擎</b></p><p>　　檢測引擎是Snort的核心。Snort根據(jù)規(guī)則庫對預(yù)處

51、理器送來的數(shù)據(jù)包進行匹配檢測。為了能夠快速而準(zhǔn)確地進行檢測，Snort用鏈表的形式對規(guī)則進行組織。檢測引擎的主要性能指標(biāo)是快速和準(zhǔn)確。為了達到快速的目的，要求Snort的規(guī)則鏈表要進行分類和組織結(jié)構(gòu)優(yōu)化。為了達到準(zhǔn)確的目的，要求規(guī)則的提取十分準(zhǔn)確，并且編寫十分精確和簡潔的規(guī)則。</p><p>　　檢測引擎是Snort的核心，準(zhǔn)確和快速是衡量其性能的重要指標(biāo)。準(zhǔn)確性主要取決于對入侵行為特征碼提取的精確性和規(guī)則編寫

52、的簡潔實用性，由于網(wǎng)絡(luò)入侵檢測系統(tǒng)是被動防御的，只能被動的檢測流經(jīng)本網(wǎng)絡(luò)的數(shù)據(jù)，而不能主動發(fā)送數(shù)據(jù)包去探測。所以只有將入侵行為的特征碼歸結(jié)為協(xié)議的不同字段的特征值，通過檢測該特征值來決定入侵行為是否發(fā)生?？焖傩灾饕Q于引擎的組織結(jié)構(gòu)，是否能夠快速地進行規(guī)則匹配。</p><p><b>　　4）報警日志</b></p><p>　　檢測引擎檢查后的Snort數(shù)據(jù)需要

53、以某種方式輸出。Snort對每個被檢測的數(shù)據(jù)包都定義了如下的三種處理方式;alert(發(fā)送報警信息)、log(記錄該數(shù)據(jù)包)和pass(忽略該數(shù)據(jù)句)。這些處理方式其實是具體定義在檢測規(guī)則中的，具體的完成是在日志/報警子系統(tǒng)中。日志子系統(tǒng)允許將嗅探器收集到的信息以可讀的格式或以tcpdump格式記錄下來。報警子系統(tǒng)負(fù)責(zé)將報警信息發(fā)送到syslog、用戶指定的文件、Unix套接字或數(shù)據(jù)庫中。</p><p>　　3

54、.3 Snort入侵檢測流程</p><p>　　基于規(guī)則的模式匹配是Snort檢測機制的核心。Snort的入侵檢測流程分兩大步：第一步是規(guī)則的解析流程，包括從規(guī)則文件中讀取規(guī)則和在內(nèi)存中組織規(guī)則；第二步是使用這些規(guī)則進行匹配的規(guī)則匹配流程。下面將依次介紹入侵檢測的流程：</p><p><b>　　規(guī)則解析流程</b></p><p>　　S

55、nort首先讀取規(guī)則文件，緊接著依次讀取每一條規(guī)則。然后按照規(guī)則語法對其進行解析，在內(nèi)存中對規(guī)則進行組織，建立規(guī)則語法樹。Snort程序調(diào)用規(guī)則文件讀取函數(shù)ParseRulesFile()進行規(guī)則文件的檢查、規(guī)則讀取和多行規(guī)則的整理。ParseRulesFile()只是Snort進入規(guī)則解析的接口函數(shù)，規(guī)則解析主要由ParseRule()來完成。ParseRule()解析每一條規(guī)則，并將其加入到規(guī)則鏈表中。parseRule()的流程如

56、圖3-2所示。</p><p>　　圖3-2規(guī)則解析流程</p><p>　　ParseRule()函數(shù)通過調(diào)用RuleType()函數(shù)提取規(guī)則類型，如果規(guī)則類型是Pass、fog、alert、activate、dynamic類型，那么就將規(guī)則按照規(guī)則語法結(jié)構(gòu)進行解析。首先調(diào)用proeessHeadNode()處理規(guī)則頭，再調(diào)用proeessRuleoption()處</p>

57、<p>　　理規(guī)則選項。如果提取的類型是預(yù)處理插件關(guān)鍵字PreProcess、輸出插件關(guān)鍵字output、配置命令config、變量定義var等則調(diào)用相應(yīng)的函數(shù)進行處理，處理后跳出本條規(guī)則解析，進行下一條規(guī)則解析。</p><p><b>　　規(guī)則匹配流程</b></p><p>　　Snort對從網(wǎng)絡(luò)上捕獲的每一條報文和規(guī)則語法樹進行掃描匹配，首先按照默

58、認(rèn)的順序遍歷activation、dynamic、alert、pass、log的規(guī)則子樹。然后根據(jù)報文的IP地址和端口號，在規(guī)則頭鏈表中找到相對應(yīng)的規(guī)則頭。最后，將這條數(shù)據(jù)報文匹配規(guī)則頭附帶的規(guī)則選項組織為鏈表。首先匹配第一個規(guī)則選項，如果匹配，則按照這條規(guī)則所定義的規(guī)則行為做出相應(yīng)的處理結(jié)果。如果不匹配，接著匹配下一個規(guī)則選項。若數(shù)據(jù)報文與規(guī)則選項列表中所有的規(guī)則都不匹配，則說明此條數(shù)據(jù)報文不包含入侵行為的特征。Snort規(guī)則匹配總體

59、流程如圖3-3所示。</p><p>　　圖3-3 Snort規(guī)則匹配總體流程</p><p>　　3.4 Snort的規(guī)則結(jié)構(gòu)</p><p>　　Snort的規(guī)則保存在規(guī)則文件中。規(guī)則文件是普通的文本文件，我們可以方便地對其進行編輯。規(guī)則文件是Snort的攻擊知識庫，每條規(guī)則包含一種攻擊的標(biāo)識，Snort通過這些標(biāo)識來識別各種攻擊行為。Snort規(guī)則可以劃分為兩

60、個邏輯部分。如圖3-4所示:</p><p><b>　　規(guī)則頭</b></p><p>　　規(guī)則頭包含報文關(guān)鍵的地址信息、協(xié)議信息以及當(dāng)報文符合此規(guī)則時各元素應(yīng)該采取的行為。Snort規(guī)則頭部的主要結(jié)構(gòu)如圖3-5所示:</p><p><b>　　1）規(guī)則動作</b></p><p>　　規(guī)則的第

61、一個字段就是規(guī)則動作，規(guī)則動作告訴Snort在規(guī)則匹配成功時要做什么。Snort中定義了五種可選的動作:alert、log、pass、activate和dynamic。</p><p>　　Alert:使用選擇的報警方法生成一個警報，并記錄該報文。</p><p>　　Log:使用設(shè)定的記錄方法記錄這個報文。</p><p>　　Pass:忽略這個報文。</p

62、><p>　　Activate:進行報警，然后激活另一條dynamic規(guī)則。</p><p>　　Dynamic:等待被一個activate規(guī)則激活，然后進行l(wèi)og。</p><p>　　此外，如果想對某些規(guī)則使用特定的輸出插件，而不是默認(rèn)的輸出方式，這時可以自己定義所需的規(guī)則類型。</p><p><b>　　2）協(xié)議字段</b

63、></p><p>　　規(guī)則的下一字段是協(xié)議類型。Snort當(dāng)前能夠分析的協(xié)議有四種:TCP、UDP、ICMP和IP。將來會更多，例如IGRP、OSPF、IPX和RIP等。</p><p><b>　　3）地址字段</b></p><p>　　端口號可以用幾種方法表示，包括“any”、靜態(tài)定義范圍、以及通過否定操作符“!”。鍵值“any”

64、可以被用來定義任何地址。Snort沒有提供根據(jù)iP地址查詢域名的機制。地址就是由直接的數(shù)字型iP地址和一個cidr塊組成的。Cidr塊指示作用在規(guī)則地址和需要檢查的進入的任何包的網(wǎng)絡(luò)掩碼。/24表示C類網(wǎng)絡(luò)，/16表示B類網(wǎng)絡(luò)，/32表示一個特定的機器的地址。例如，192.168.1.0/24代表從192.168.1.1到192.168.1.255的地址塊。在這個地址范圍的任何地址都匹配使用這個192.168.1.0/24標(biāo)志的規(guī)則。這

65、種記法給我們提供了一個很好的方法，來表示一個很大的地址空間。</p><p><b>　　4）端口信息</b></p><p>　　端口號可以用幾種方法表示，包括“any”端口、靜態(tài)端口定義范圍、以及通過否定操作符“!”?！癮ny”端口是一個通配符，表示任何端口。靜態(tài)端定義表示一個單個端口號，例如，21表示tcp，23表示telnet，80表示http等等，端口范圍用

66、范圍操作符“:”表示。</p><p><b>　　5）方向操作符</b></p><p>　　方向操作符“一>”表示規(guī)則所施加的流的方向。方向操作符左側(cè)的地址和端口號被認(rèn)為來自源主機，方向操作符右邊的ip地址和端口信息是目標(biāo)主機。還有一個雙向操作符“<>”，它告訴Snort把地址/端口號對既作為源又作為目標(biāo)來考慮，這對于記錄/分析雙向數(shù)據(jù)流很方便。

67、</p><p><b>　　規(guī)則選項 </b></p><p>　　規(guī)則頭定義了規(guī)則的動作、所匹配網(wǎng)絡(luò)報文的協(xié)議、源地址、目的地址、源端口以及目標(biāo)端口等信息;規(guī)則選項部分則包含了所要顯示給用戶查看的警告信息以及用來判定此報文是否為攻擊報文的其它信息。對規(guī)則選項的分析是Snort檢測引擎的核心，規(guī)則選項是在規(guī)則頭的基礎(chǔ)上作進一步分析，它包含報警信息、入侵特征以及該特征

68、在數(shù)據(jù)包位置的相關(guān)信息。有了規(guī)則選項才能識別復(fù)雜的攻擊。所有選項用分號“;”分隔，選項關(guān)鍵字和它的值之間用冒號“:”分隔。規(guī)則選項之間是邏輯與的關(guān)系。即所有的規(guī)則選項都匹配時，才觸發(fā)該規(guī)則。</p><p>　　Snort目前有四十幾個選項關(guān)鍵字，按其功能可分為八類:</p><p>　　1）關(guān)于報警信息的選項關(guān)鍵字:msg、referenee、sid、rev、classtype、prio

69、rity。</p><p>　　2）關(guān)于內(nèi)容檢測的選項關(guān)鍵字:content、nocase、rawbytes、depth、offset、distance、within、urieontent、isdataat、pcre、byte--test、byte_jump、ftpbounce、regex、content-list。</p><p>　　3）關(guān)于正協(xié)議的選項關(guān)鍵字:fragoffset、t

70、tl、tos、id、ipopts、fragbits、dsize、sameip、ip_proto。</p><p>　　4）關(guān)于TCP協(xié)議的選項關(guān)鍵字:flags、flow、flowbits、seq、ack、window。</p><p>　　5）關(guān)于ICMP協(xié)議的選項關(guān)鍵字:itype、icode、icmp_id、icmp_seq。</p><p>　　6）關(guān)于規(guī)則

71、響應(yīng)后的選項關(guān)鍵字:logto、session、resp、react、tag。</p><p>　　4 網(wǎng)絡(luò)入侵檢測系統(tǒng)（Snort）實驗</p><p>　　4.1實驗平臺的搭建</p><p><b>　　1）實驗軟件：</b></p><p>　?。?）Microsoft virtual pc虛擬機</p&g

72、t;<p>　　（2）windows server 2003鏡像文件</p><p>　?。?）網(wǎng)絡(luò)數(shù)據(jù)包截取驅(qū)動程序</p><p>　　WinPcap_4_1_2.zip</p><p>　　http://winpcap.polito.it/</p><p>　?。?）Windows 版本的Snort 安裝包</p&g

73、t;<p>　　Snort_2_9_0_5_Installer.exe</p><p>　　http://www.snort.org/</p><p>　?。?）Windows 版本的Apache Web 服務(wù)器</p><p>　　apache_2.2.4-win32-x86-no_ssl.zip</p><p>　　http

74、://www.apache.org/</p><p>　　（6）Windows版本的PHP腳本環(huán)境支持</p><p>　　php-5.2.5-Win32.zip</p><p>　　http://www.php.net/</p><p>　?。?）Windows 版本的Mysql 數(shù)據(jù)庫服務(wù)器</p><p>　　m

75、ysql-5.0.22-win32.zip</p><p>　　http://www.mysql.com/</p><p>　?。?）ACID（Analysis Console for Intrusion Databases）基于PHP的入侵檢測數(shù)據(jù)庫分析控制臺</p><p>　　acid-0.9.6b23.tar.gz</p><p>　

76、　http://www.cert.org/kb/acid</p><p>　　（9）Adodb（Active Data Objects Data Base）PHP庫</p><p>　　adodb504.tgz</p><p>　　http://php.weblogs.com/adodb</p><p>　?。?0）PHP圖形庫</p&

77、gt;<p>　　jpgraph-2.3.tar.gz</p><p>　　http://www.aditus.nu/jpgraph</p><p>　　（11）snort 規(guī)則包</p><p>　　rules20090505.tar.gz</p><p>　　http://www.snort.org</p>&

78、lt;p><b>　　2）安裝步驟：</b></p><p>　?。?）虛擬機和操作系統(tǒng)的安裝：</p><p>　　運行虛擬機安裝程序，默認(rèn)安裝即可，打開控制臺，新建一個虛擬機，按照提示具體填寫，選擇鏡像文件，啟動，安裝好鏡像系統(tǒng)后，效果如下：</p><p><b>　　圖4-1 虛擬機</b></p>

79、;<p><b>　　（2）組件的安裝：</b></p><p>　　在c:下建立duoduo的文件夾，再在其下建立duo的文件夾放入所有的安裝程序，在后續(xù)的安裝時，把可以選擇安裝路徑的組件安裝在duoduo的文件夾下</p><p>　?、侔惭bWinPcap</p><p>　　運行WinPcap_4_1_2.zip，默認(rèn)安裝。

80、</p><p><b>　?、诎惭bmysql</b></p><p>　　運行mysql-5.0.22-win32.zip，選擇自定義安裝選擇安裝路徑C:\duoaduo\mysql下，安裝時注意：端口設(shè)置為3306（以后要用到），密碼本實驗設(shè)置成123，</p><p><b>　　圖4-2 配置端口</b></

81、p><p><b>　　圖4-3 配置密碼</b></p><p><b>　　添加環(huán)境變量：</b></p><p>　　圖4-4 配置環(huán)境變量</p><p><b>　　③安裝apache</b></p><p>　　運行apache_2.2.4-wi

82、n32-x86-no_ssl.zip</p><p>　　安裝到c:\duoaduo\apache</p><p><b>　?、芟旅姘惭bphp：</b></p><p>　　解壓php-5.2.5-Win32到c:\duoaduo\php</p><p><b>　　添加gd圖形庫支持</b>&l

83、t;/p><p>　　復(fù)制c:\duoaduo\php\php5ts.dll和c: \duoaduo\php\libmysql.dll文件到%systemroot%\system32</p><p>　　查詢本機的%systemroot%</p><p>　　圖4-5 查詢機的%systemroot%</p><p>　　復(fù)制c: \duoadu

84、o\php\php.ini-dist到%systemroot%并重命名為php.ini，修改php.ini，分別去掉“extension=php_gd2.dll”和“extension=php_mysql.dll”前的分號，</p><p>　　圖4-6 配置php.Ini(1)</p><p>　　并指定extension_dir="c:\duoaduo\php\ext&qu

85、ot;，</p><p>　　圖4-7配置php.Ini(2)</p><p>　　同時復(fù)制c:\duoaduo\php\ext下的php_gd2.dll與php_mysql.dll到%systemroot%\system32</p><p>　　在C:\duoaduo\apache\conf\httpd.conf中添加LoadModule php5_module

86、 c:/duoaduo/php/php5apache2_2.dll和AddType application/x-httpd-php .php，</p><p>　　AddType application/x-httpd-php-source .phps</p><p>　　圖4-8 配置httpd.conf</p><p>　　重啟Apache服務(wù)在C:\duo

87、aduo\apache\htdocs目錄下新建webinf.php（文件內(nèi)容為：<?phpinfo();?>）并使用 http://127.0.0.1/webinf.php訪問測試是否能夠顯示當(dāng)前Apache服務(wù)器的信息，如果能夠顯示表明Apache和php工作基本正常</p><p>　　圖4-9 正確運行Apache和php</p><p><b>　　但是如果顯

88、示</b></p><p>　　圖4-10 錯誤信息</p><p>　　原因是 addtype 的那兩句話有錯誤，檢查修改就可以了 </p><p><b>　?、莅惭bSnort</b></p><p>　　運行Snort_2_9_0_5_Installer.exe</p><p>

89、　　安裝在C:\duoaduo\Snort下即可，</p><p>　　運行C:\duoaduo\Snort\bin\snort.exe</p><p>　　或者在DOS中找到該位置，</p><p>　　如果安裝 Snort成功會出現(xiàn)一個可愛的小豬</p><p>　　圖4-11 Snort運行正常</p><p>

90、　　并按照以下修改C:\duoaduo\Snort\etc\snort.conf文件：</p><p>　　var RULE_PATH c:\duoaduo\snort\rulesinclude classification.configinclude reference.config</p><p><b>　　修改為絕對路徑：</b></p>&

91、lt;p>　　include c:\duoaduo\snort\etc\classification.config</p><p>　　include c:\duoaduo\snort\etc\reference.config</p><p>　　在該文件的最后加入下面語句：</p><p>　　output database: alert, mysql, h

92、ost=localhost user=root password=123 dbname=snort encoding=hex detail=full</p><p>　　創(chuàng)建 snort 數(shù)據(jù)庫的表 </p><p>　　復(fù)制 c:\duoaduo\snort\schames 文件夾下的create_mysql 文件到C:\duoaduo\mysql\bin文件夾下 </p>

93、<p>　　打開 mysql 的的客戶端執(zhí)行如下命令 </p><p>　　Create database snort; </p><p>　　Create database snort_archive; </p><p>　　Use snort; </p><p>　　Source create_mysql; </p>

94、;<p>　　Use snort_archive; </p><p>　　Source create_mysql; </p><p>　　Grant all on *.* to “root”@”localhost” </p><p>　　加入 php 對 mysql 的支持： </p><p>　　修改 c:\windows\p

95、hp.ini 文件去掉 extension=php_mysql.dll 前的分號。 </p><p>　　復(fù)制c:\duoaduo\php\ext 文件夾下的 php_mysql.dll 文件到 c:\windows 文件夾。</p><p>　　復(fù)制c:\duoaduo\php\libmysql.dll文件到c:\windows\system32下</p><p>

96、;　?、薨惭b adodb </p><p>　　解壓縮 adodb 到 c:\ids\php5\adodb 文件夾下。</p><p>　　⑦安裝 jgraph </p><p>　　解壓縮 jpgraph 到 c:\duoaduo\php\jpgraph 文件夾下</p><p><b>　?、喟惭b acid </b>

97、</p><p>　　解壓縮 acid 到 c\duoaduo\apache\htdocs\acid 文件夾下</p><p>　　修改 acid_conf.php 文件 </p><p><b>　　為以下內(nèi)容 </b></p><p>　　$DBlib_path="c:\duoaduo\php\adodb&

98、quot;; </p><p>　　$DBtype="mysql"; </p><p>　　$alert_dbname ="snort"; </p><p>　　$alert_host = "localhost"; </p><p>　　$alert_port ="3306

99、"; </p><p>　　$alert_user="root"; </p><p>　　$alert_password="123"; </p><p>　　$archive_dbname="snort_archive"; </p><p>　　$archive_host=

100、"localhost"; </p><p>　　$archive_port="3306"; </p><p>　　$archive_user="root"; </p><p>　　$archive_password="123"; </p><p>　　$Chart

101、Lib_path="c:\duoaduo\php\jpgraph\src";</p><p>　　⑨重啟apache、mysql服務(wù)</p><p>　?、庠跒g覽器中初始化acid數(shù)據(jù)庫： </p><p>　　http://localhost/acid/acid_db_setup.php</p><p>　　以上配置正確

102、會有下面的顯示：</p><p>　　圖4-12 正確配置acid</p><p>　　安裝成功，測試一下：</p><p>　　啟動Apache和mysql服務(wù)</p><p>　　運行ACID：打開瀏覽器，地址為http://127.0.0.1/acid。如果有下圖所示，則表示ACID安裝成功。</p><p>　

103、　圖4-13正確安裝acid</p><p>　　運行c:\duoaduo\snort\bin>snort -c "c:\duoaduo\snort\etc\snort.conf" -l "c:\duoaduo\snort\log" -vdeX</p><p>　　-X 參數(shù)用于在數(shù)據(jù)鏈接層記錄raw packet 數(shù)據(jù)</p>

104、<p>　　-d 參數(shù)記錄應(yīng)用層的數(shù)據(jù)</p><p>　　-e 參數(shù)顯示／記錄第二層報文頭數(shù)據(jù)</p><p>　　-c 參數(shù)用以指定snort 的配置文件的路徑</p><p>　　-v 參數(shù)用于在屏幕上顯示被抓到的包</p><p>　　圖4-14 正確記錄日志</p><p><b>　　4

105、.2實驗測試</b></p><p><b>　　Snort的使用：</b></p><p>　?。?）嗅探器:所謂的嗅探器模式就是Snort從網(wǎng)絡(luò)上讀出數(shù)據(jù)包然后顯示在你的控制臺上。</p><p>　?、偃绻阒灰裈CP/IP包頭信息打印在屏幕上，只需要輸入下面的命令：</p><p><b>

106、;　　./snort–V</b></p><p>　　圖4-15 運行./snort–V</p><p>　?、谌绻阉械陌涗浀接脖P上，你需要指定一個日志目錄，snort就會自動記錄數(shù)據(jù)包：./snort -dev -l ./log</p><p>　　圖4-16 運行./snort -dev -l ./log</p><p&g

107、t;　　這時會在相應(yīng)文件夾下，記錄數(shù)據(jù)：</p><p>　　圖4-17 文件記錄信息</p><p>　?。?）網(wǎng)絡(luò)入侵檢測系統(tǒng):Snort最重要的用途還是作為網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS)，使用下面命令行可以啟動這種模式：</p><p>　　./snort -dev -l ./log -h ***.***.***.***/** -c snort.conf<

108、/p><p>　　圖4-18運行網(wǎng)絡(luò)入侵檢測命令</p><p>　?。?）網(wǎng)絡(luò)入侵檢測模式下的輸出選項</p><p>　　在NIDS模式下，有很多的方式來配置Snort的輸出。在默認(rèn)情況下,Snort以ASCII格式記錄日志，使用full報警機制。如果使用full報警機制，snort會在包頭之后打印報警消息。使用-s選項可以使Snort把報警消息發(fā)送到syslog，

109、默認(rèn)的設(shè)備是LOG_AUTHPRIV和LOG_ALERT?？梢孕薷膕nort.conf文件修改其配置。Snort還可以使用SMB報警機制，通過SAMBA把報警消息發(fā)送到Windows主機。為了使用這個報警機制，在運行./configure腳本時，必須使用--enable-smbalerts選項。</p><p>　　下面是一些輸出配置的例子：使用默認(rèn)的日志方式(以解碼的ASCII格式)并且把報警發(fā)./snort

110、-c snort.conf -l ./log -s -H給syslog：</p><p>　　具體本實驗環(huán)境運行:\snort -c c:\duoaduo\snort\etc\snort.conf -l c:\duoaduo\snort\log -s -H</p><p>　　圖4-19運行網(wǎng)絡(luò)入侵檢測模式下的輸出選項（1）</p><p>　　圖4-20 運行網(wǎng)絡(luò)

111、入侵檢測模式下的輸出選項（2）</p><p>　　2）Snort與控制臺，數(shù)據(jù)庫的使用檢測：</p><p>　?。?）設(shè)置監(jiān)測包含的規(guī)則。</p><p>　　找到snort.conf文件中描述規(guī)則的部分，如下圖所示：</p><p>　　圖4-21 配置snort.conf</p><p>　　前面加＃表示該規(guī)則

112、沒有啟用，將local.rules之前的＃號去掉，其余規(guī)則保持不變</p><p>　?。?）運行C:\duoaduo\Snort\bin中的snort.exe, 不關(guān)閉窗口，瀏覽網(wǎng)頁</p><p>　?。?）打開acid檢測控制臺主界面</p><p>　　圖4-22 顯示數(shù)據(jù)</p><p>　　點擊右側(cè)圖示中TCP后的數(shù)字“1%”，將

113、顯示所有檢測到的TCP協(xié)議日志詳細(xì)情況</p><p>　　圖4-23 詳細(xì)信息（1）</p><p>　　TCP協(xié)議日志網(wǎng)頁中的選項依次為：流量類型、時間戳、源地址、目標(biāo)地址以及協(xié)議</p><p>　　選擇控制條中的“home”返回控制臺主界面，在主界面的下部有流量分析及歸類選項，</p><p>　　圖4-24 流量分析及歸類選項<