入侵檢測課程設計---基于snort的入侵檢測系統(tǒng)

1、<p><b>　　入侵檢測課程設計</b></p><p>　　題 目 基于snort的入侵檢測系統(tǒng)</p><p>　　計算機科學學院 計算機科學與技術 專業(yè)</p><p>　　10 級 計算科學與技術本科 班</p><p><b>　　一、課程設計目的</b></p&g

2、t;<p>　　1、通過實驗深入理解入侵檢測系統(tǒng)的原理和工作方式。</p><p>　　2、熟悉入侵檢測工具snort在Windows操作系統(tǒng)中的安裝和配置方法。</p><p>　　3、通過使用 Snort，了解基于網絡和主機的入侵檢測系統(tǒng)的工作原理和應用方法。</p><p><b>　　二、課程設計的原理</b></p

3、><p>　　1、入侵檢測技術簡介</p><p>　　入侵檢測就是一個監(jiān)視計算機系統(tǒng)或者網絡上發(fā)生的事件，然后對其進行安全分析的過程。它可以用來發(fā)現外部攻擊與合法用戶濫用特權，根據用戶的歷史行為,基于用戶的當前操作,完成對入侵的檢測,記錄入侵證據,為數據恢復和事故處理提供依據。入侵檢測系統(tǒng)的原理如圖A所示：</p><p>　　圖A 入侵檢測的原理圖</p&g

4、t;<p>　　大多數的入侵檢測系統(tǒng)都可以被歸入到基于主機、基于網絡以及分布式三類?；谥鳈C的入侵檢測系統(tǒng)是一種早期的IDS設計模型，它主要設計用來監(jiān)視單一的服務器，因為DNS、Email和web服務器是多數網絡攻擊的目標，這些攻擊大約占據全部網絡攻擊事件的1/3以上，基于主機的入侵檢測系統(tǒng)就是為了解決這些問題而設計的，它能夠監(jiān)視針對主機的活動（用戶的命令、登錄/退出過程，使用數據等等），它的特點就是針對性好而且，效果明顯

5、，誤報率低?；诰W絡的入侵檢測系統(tǒng)是后于基于主機入侵檢測系統(tǒng)而出現的，它主要用于集中用于監(jiān)控通過網絡互連的多個服務器和客戶機，能夠監(jiān)視網絡數據發(fā)現入侵或者攻擊的蛛絲馬跡。分布式IDS通過分布于各個節(jié)點的傳感器或者代理對整個網絡和主機環(huán)境進行監(jiān)視，中心監(jiān)視平臺收集來自各個節(jié)點的信息監(jiān)視這個網絡流動的數據和入侵企圖。</p><p>　　在入侵檢測系統(tǒng)中,系統(tǒng)將用戶的當前操作所產生的數據同用戶的歷史操作數據根據一定的

6、算法進行檢測,從而判斷用戶的當前操作是否是入侵行為,然后系統(tǒng)根據檢測結果采取相應的行動。入侵檢測的過程是一個機器(檢測工具)與人(黑客)對抗的決策分析過程,其技術基礎是基于知識的智能推理,需要用到人工智能的相關技術。</p><p>　　各種入侵檢測系統(tǒng)使用的檢測方法可以分為兩類：基于特征碼的檢測方法和異常檢測。使用基于特征碼檢測方法的系統(tǒng)從網絡獲得數據，然后從中發(fā)現以知的攻擊特征。例如：在某些URL中包含一些奇

7、怪的Unicode編碼字符就是針對IIS Unicode缺陷的攻擊特征。此外各種模式匹配技術的應用，提高了這種檢測方法的精確性。使用異常檢測的系統(tǒng)能夠把獲得的數據與一個基準進行比較，檢測這些數據是否異常。例如：如果一個雇員的工作時間是上9點到下午5點，但是在某個晚上他的計算機記錄了他曾經在半夜登錄了公司的郵件服務器，這就是一個異常事件，需要深入調查。現在，大量的統(tǒng)計學方法用于這個領域。</p><p>　?。?）

8、入侵檢測系統(tǒng)定義</p><p>　　入侵檢測系統(tǒng)(Intrusion Detection System，簡稱IDS)是一種從計算機網絡或計算機系統(tǒng)中的若干關鍵點收集入侵者攻擊時所留下的痕跡，如異常網絡數據包與試圖登錄的失敗記錄等信息，通過分析發(fā)現是否有來自于外部或內部的違反安全策略的行為或被攻擊的跡象。它以探測與控制作為技術本質，起著主動式、動態(tài)的防御作用，是網絡安全中極其重要的組成部分。目前入侵檢測涉及到的功

9、能有監(jiān)視分析用戶和系統(tǒng)的行為、審計系統(tǒng)配置和漏洞、評估敏感系統(tǒng)和數據的完整性、識別攻擊行為、對異常行為進行統(tǒng)計、自動地收集與系統(tǒng)相關的補丁、進行審計跟蹤識別違反安全策略的行為、使用誘騙服務器記錄黑客行為等功能，使系統(tǒng)管理員可以較有效地監(jiān)視、審計、評估自己的系統(tǒng)等。 </p><p>　?。?）入侵檢測系統(tǒng)的作用</p><p>　　入侵檢測是防火墻的合理補充，幫助系統(tǒng)對付網絡攻擊，擴展了系

10、統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應），提高了信息安全基礎結構的完整性。它從計算機網絡系統(tǒng)中的若干關鍵點收集信息，并分析這些信息，看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監(jiān)測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。</p><p>　　（3）入侵檢測系統(tǒng)的檢測信息來源</p>

11、<p>　　入侵檢測系統(tǒng)的檢測信息來源都是通過自身的檢測部分Sensor 得到的?；诰W絡的入侵檢測，主要是通過對網絡數據包的截取分析，來查找具有攻擊特性和不良企圖的數據包的。在網絡里基于網絡的入侵檢測系統(tǒng)的檢測部分Sensor 一般被布置在一個交換機的鏡象端口（或者一個普通的HUB任意端口），聽取流經網絡的所有數據包，查找匹配的包，來得到入侵的信息源?；谥鳈C的入侵檢測系統(tǒng)的Sensor 不可能直接從系統(tǒng)內部獲取信息的，它是

12、要通過一個事先做好的代理程序，安裝在需要檢測的主機里的，這些代理程序主要收集系統(tǒng)和網絡日志文件，目錄和文件中的不期望的改變，程序執(zhí)行中的不期望行為，物理形式的入侵信息。</p><p>　?。?）入侵檢測方法介紹 </p><p>　　當前入侵檢測技術的發(fā)展方向主要有兩個：一是基于異常方式的入侵檢測 (Anomaly Detection)，另一個是基于誤用方式的入侵檢測(Misuse De

13、tection)。</p><p>　　基于異常入侵檢測技術是通過檢測攻擊者與合法用戶具有的不同特征來識別入侵行為。例如，如果用戶A僅僅是在早上9點鐘到下午5點鐘之間在辦公室使用計算機，則用戶A在晚上的活動是異常的，就有可能是入侵。異常檢測試圖通過定量方式描述常規(guī)的或可接受的行為，以標記非常規(guī)的、潛在的入侵行為。異常入侵檢測的主要前提是入侵性活動作為異?；顒拥淖蛹?，異常檢測主要使用概率統(tǒng)計方法，還有順序模式歸納產

14、生法和神經網絡等檢測方法。隨著對計算機系統(tǒng)弱點和攻擊方法的不斷收集和研究，入侵特征化描述的方法越來越有效，這使得誤用檢測的使用也越來越廣泛。 </p><p>　　基于誤用入侵檢測技術是根據己知的入侵模式來檢測。入侵者常常利用系統(tǒng)和應用軟件的弱點進行攻擊，而這些弱點可以歸類為某種模式，如果入侵者攻擊方式恰好匹配上檢測系統(tǒng)中的模式庫，則入侵者即被檢測到。例如，Windows的IIS常見的CGI,SQL等漏洞，就可以

15、根據它的攻擊特征進行檢測。誤用檢測使用的方法主要有專家系統(tǒng)、狀態(tài)轉換分析、基于模型的方法和模式匹配，人工智能技術、免疫檢測和自主代理等方法正在實踐或者科研當中。 </p><p>　　2、Snort簡介 </p><p>　　Snort是一個強大的輕量級的網絡入侵檢測系統(tǒng)。它具有實時數據流量分析和日志IP網絡數據包的能力，能夠進行協(xié)議分析，對內容搜索/匹配。它能夠檢測各種不同的攻擊方式，對

16、攻擊進行實時警報。此外，Snort具有很好的擴展性和可移植性。</p><p>　　（1）Snort的特點：</p><p>　　Snort是一個強大的清量級的網絡入侵檢測系統(tǒng)。它具有實時數據流量分析和日志Ip網絡數據包的能力，能夠進行協(xié)議分析，對內容搜索/匹配。它能夠檢測各種不同的攻擊方式，對攻擊進行實時警報。此外，Snort具有很好的擴展性和可移植性。還有，這個軟件遵循公用許可GPL，

17、所以只要遵守GPL任何組織和個人都可以自由使用。</p><p>　　①Snort雖然功能強大，但是其代碼極為簡潔，短小，其源代碼壓縮包只有200KB不到。Snort可移植性非常好。Snort的跨平臺性能極佳，目前已經支持Linux系列， Solaris,BSD系列，IRIX,HP-UX,Windows系列，ScoOpenserver,Unixware等。</p><p>　　②Snort

18、具有實時流量分析和日志Ip網數據包的能力。能夠快速地檢測網絡攻擊，及時地發(fā)出警報。Snort的警報機制很豐富。</p><p>　　例如：Syslog,用戶指定文件，UnixSocket，還有使用SAMBA協(xié)議向Windows客戶程序發(fā)出WinPopup消息。利用XML插件，Snort可以使用SNML(簡單網絡標記語言.simple network markup language)把日志存放在一個文件或者適時警報

19、。</p><p>　?、跾nort能夠進行協(xié)議分析，內容的搜索/匹配?，F在Snort能夠分析的協(xié)議有TCP,UDP和ICMP。將來的版本，將提供對ARP.ICRP,GRE,OSPF,RIP,ERIP,IPX,APPLEX等協(xié)議的支持。它能夠檢測多種方式的攻擊和探測，例如：緩沖區(qū)溢出，CGI攻擊，SMB檢測，探測操作系統(tǒng)質問特征的企圖等等。</p><p>　　④Snort的日至格式既可以

20、是Tcpdump的二進制格式，也可以編碼成ASCII字符形式，更便于擁護尤其是新手檢查，使用數據庫輸出插件，Snort可以把日志記入數據庫，當前支持的數據庫包括:Postagresql,MySQL,任何UnixODBC數據庫,MicrosoftMsSQL,還有Oracle等數據庫。</p><p>　?、菔褂肨CP流插件(TCPSTREAM)，Snort可以對TCP包進行重組。Snort能夠對IP包的內容進行匹配

21、，但是對于TCP攻擊，如果攻擊者使用一個程序，每次發(fā)送只有一個字節(jié)的數據包，完全可以避開Snort的模式匹配。而被攻擊的主機的TCP西醫(yī)棧會重組這些數據，將其發(fā)送給目標端口上監(jiān)聽的進程，從而使攻擊包逃過Snort的監(jiān)視。使用TCP流插件，可以對TCP包進行緩沖，然后進行匹配，使Snort具備對付上面攻擊的能力。</p><p>　　⑥使用Spade(Statistical Packet Anomaly Detec

22、tion Engine)插件，Snort能夠報告非正常的可以包，從而對端口掃描進行有效的檢測。</p><p>　?、逽nort還有很強的系統(tǒng)防護能力。如:是用其IPTables,IPFilter插件可以使入侵檢測主機與防火墻聯動，通過FlexResp功能，Snort能夠命令防火墻主動短開惡意連接。</p><p>　?、鄶U展性能較好，對于新的攻擊威脅反應迅速。</p>&l

23、t;p>　　作為一個輕量級的網絡入侵檢測系統(tǒng)，Snort有足夠的擴展能力。它使用一種簡單的規(guī)則描述語言(很多商用入侵檢測系統(tǒng)都兼容Snort的規(guī)則語言)。最基本的規(guī)則知識包含四個域：處理動作，協(xié)議，方向，端口。</p><p>　　例如 Log Tcp Any any -> 10.1.1.0/24 80(誰都看得明白)</p><p>　?、酳nort支持插件，可以使用具有特定

24、功能的報告，檢測子系統(tǒng)插件對其功能進行擴展。Snort當前支持的插件包括:數據庫日志輸出插件，破碎數據包檢測插件，斷口掃描檢測插件，HTTP URI插件，XML網頁生成等插件。</p><p>　?、釹nort的規(guī)則語言非常簡單，能夠對新的網絡攻擊做出很快的反應。發(fā)現新攻擊后，可以很快地根據Bugtrag郵件列表，找到特征碼，寫出新的規(guī)則文件。</p><p>　　（2）Snort的工作模

25、式</p><p>　　Snort有三種工作模式：嗅探器、數據包記錄器、網絡入侵檢測系統(tǒng)。嗅探器模式僅僅是從網絡上讀取數據包并作為連續(xù)不斷的流顯示在終端上。數據包記錄器模式把數據包記錄到硬盤上。網路入侵檢測模式是最復雜的，而且是可配置的。我們可以讓snort分析網絡數據流以匹配用戶定義的一些規(guī)則，并根據檢測結果采取一定的動作。</p><p>　?。?）Snort系統(tǒng)工作原理 </p

26、><p>　　Snort作為一個基于網絡的入侵檢測系統(tǒng)(NIDS)，在基于共享網絡上檢測原始的網絡傳輸數據，通過分析捕獲的數據包，匹配入侵行為的特征或者從網絡活動的角度檢測異常行為，進而采取入侵的告警或記錄。從檢測模式而言，Snort屬于是誤用檢測，即對已知攻擊的特征模式進行匹配。從本質上來說，Snort是基于規(guī)則檢測的入侵檢測工具，即針對每一種入侵行為，都提煉出它的特征值并按照規(guī)范寫成檢驗規(guī)則，從而形成一個規(guī)則數據

27、庫。其次將捕獲得數據包按照規(guī)則庫逐一匹配，若匹配成功，則認為該入侵行為成立。</p><p>　　入侵行為主要是指對系統(tǒng)資源的非授權使用,可以造成系統(tǒng)數據的丟失和破壞、系統(tǒng)拒絕服務等危害。對于入侵檢測而言的網絡攻擊可以分為4類：</p><p>　?、贆z查單IP包（包括TCP、UDP）首部即可發(fā)覺的攻擊,如winnuke、ping of death、land.c、部分OS detectio

28、n、source routing等。</p><p>　?、跈z查單IP包,但同時要檢查數據段信息才能發(fā)覺的攻擊,如利用CGI漏洞,緩存溢出攻擊等。</p><p>　?、弁ㄟ^檢測發(fā)生頻率才能發(fā)覺的攻擊,如端口掃描、SYN Flood、smurf攻擊等。</p><p>　?、芾梅制M行的攻擊,如teadrop,nestea,jolt等。此類攻擊利用了分片組裝算法的

29、種種漏洞。若要檢查此類攻擊,必須提前（在IP層接受或轉發(fā)時,而不是在向上層發(fā)送時）作組裝嘗試。分片不僅可用來攻擊,還可用來逃避未對分片進行組裝嘗試的入侵檢測系統(tǒng)的檢測。</p><p>　　入侵檢測通過對計算機網絡或計算機系統(tǒng)中的若干關鍵點收集信息并進行分析,從中發(fā)現網絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。進行入侵檢測的軟件與硬件的組合就是入侵檢測系統(tǒng)。</p><p>　　入

30、侵檢測系統(tǒng)執(zhí)行的主要任務包括：監(jiān)視、分析用戶及系統(tǒng)活動；審計系統(tǒng)構造和弱點；識別、反映已知進攻的活動模式,向相關人士報警；統(tǒng)計分析異常行為模式；評估重要系統(tǒng)和數據文件的完整性；審計、跟蹤管理操作系統(tǒng),識別用戶違反安全策略的行為。入侵檢測一般分為3個步驟,依次為信息收集、數據分析、響應（被動響應和主動響應）。</p><p>　　信息收集的內容包括系統(tǒng)、網絡、數據及用戶活動的狀態(tài)和行為。入侵檢測利用的信息一般來自系

31、統(tǒng)日志、目錄以及文件中的異常改變、程序執(zhí)行中的異常行為及物理形式的入侵信息4個方面。</p><p>　　數據分析是入侵檢測的核心。它首先構建分析器,把收集到的信息經過預處理,建立一個行為分析引擎或模型,然后向模型中植入時間數據,在知識庫中保存植入數據的模型。數據分析一般通過模式匹配、統(tǒng)計分析和完整性分析3種手段進行。前兩種方法用于實時入侵檢測,而完整性分析則用于事后分析。可用5種統(tǒng)計模型進行數據分析：操作模型、

32、方差、多元模型、馬爾柯夫過程模型、時間序列分析。統(tǒng)計分析的最大優(yōu)點是可以學習用戶的使用習慣。</p><p>　　入侵檢測系統(tǒng)在發(fā)現入侵后會及時作出響應,包括切斷網絡連接、記錄事件和報警等。響應一般分為主動響應（阻止攻擊或影響進而改變攻擊的進程）和被動響應（報告和記錄所檢測出的問題）兩種類型。主動響應由用戶驅動或系統(tǒng)本身自動執(zhí)行,可對入侵者采取行動（如斷開連接）、修正系統(tǒng)環(huán)境或收集有用信息；被動響應則包括告警和通

33、知、簡單網絡管理協(xié)議（SNMP）陷阱和插件等。另外,還可以按策略配置響應,可分別采取立即、緊急、適時、本地的長期和全局的長期等行動。</p><p>　?。?）Snort規(guī)則</p><p>　　Snort是基于規(guī)則的模式匹配的，這種體系結構非常靈活，用戶可以到http://www.snort.org/dl/signatures/下載最新的規(guī)則，在snort.org上幾乎每幾天就會有新的規(guī)

34、則被更新，同時用戶也可以自己書寫新的規(guī)則，Snort規(guī)則文件是一個ASCII文本文件，可以用常用的文本編輯器對其進行編輯。規(guī)則文件的內容由以 下幾部分組成：</p><p>　　變量定義：在這里定義的變量可以在創(chuàng)建Snort規(guī)則時使用。</p><p>　　Snort規(guī)則：在入侵檢測時起作用的規(guī)則，這些規(guī)則應包括了總體的入侵檢測策略。</p><p>　　預處理器：

35、即插件，用來擴展Snort的功能。如用portscan來檢測端口掃描。</p><p>　　包含文件Include Files：可以包括其它Snort規(guī)則文件。</p><p>　　輸出模塊：Snort管理員通過它來指定記錄日志和警告的輸出。當Snort調用告警及日志子系統(tǒng)時會執(zhí)行輸出模塊。</p><p>　　規(guī)則具體的書寫不再做說明，如果想想進行更進一步了解可以

36、到snort.org的文檔中心去下載snort的官方文檔《Snort Users Manual》中的Writing Snort Rules章節(jié)（其鏈接是http://www.snort.org/docs/writing_rules/chap2.html#tth_chAp2）。</p><p>　?。?）snort的體系結構</p><p>　　圖B snort的體系結構</p&g

37、t;<p>　　總之，對于世界上各安全組織來講，Snort入侵檢測都是一個優(yōu)秀入侵檢測系統(tǒng)的一個標準的標準。通過研究它，我們可以學到到所有入侵檢測系統(tǒng)的內部框架及工作流程(也包括同類型的商業(yè)入侵檢測系統(tǒng)的框架及工作流程)。Snort系統(tǒng)是一個以開放源代碼的形式發(fā)行的網絡入侵檢測系統(tǒng)，由Martin Roesch編寫，并由遍布在世界各地的眾多程序員共同維護和升級。Snort運行在Libpcap庫函數的基礎之上，系統(tǒng)代碼遵循G

38、NU/GPL協(xié)議。它是一個輕量級的網絡入侵檢測系統(tǒng)。這里所謂的輕量級是指在檢測時盡可能低地影響網絡的正常操作，一個優(yōu)秀的輕量級的網絡入侵檢測系統(tǒng)應該具備跨系統(tǒng)平臺操作，對系統(tǒng)影響最小等特征，并且管理員能夠在短時間內通過修改配置進行實時的安全響應,更為重要的是能夠成為整體安全結構的重要成員。Snort作為網絡入侵檢測系統(tǒng)中的典型范例，首先它可以運行在多種操作系統(tǒng)平臺之上，例如UNIX系列和Windows (需要 1ibpcap for w

39、in32--Winpcap的支持)，與很多商業(yè)產品相比，它對操作系統(tǒng)的依賴性比較低。其次用戶可以根據自己的需要及時在短時間內調整檢測策略。就檢測攻擊的</p><p><b>　　三、課程設計任務</b></p><p>　　1、Windows環(huán)境下安裝和配置snort</p><p>　　（1）安裝Snort和Wincap包</p>

40、;<p>　　1）Snort的安裝：</p><p>　　圖1 snort安裝協(xié)議</p><p>　　圖2 snort 的安裝選項</p><p>　　圖3 snort的安裝組件</p><p>　　圖4 snort的安裝路徑</p><p>　　圖5 Snort安裝成功</p>

41、<p>　　2）Winpcap的安裝：</p><p>　　圖6 Winpcap 的安裝界面</p><p>　　圖7 Winpcap安裝過程</p><p>　　圖8 Winpcap安裝成功</p><p><b>　　2.AppServ</b></p><p>　　（1）Ap

42、pServ的安裝：</p><p>　　圖9 AppServ安裝初始界面</p><p>　　圖10 AppServ安裝協(xié)議圖</p><p>　　圖11 AppServ安裝路徑圖</p><p>　　啟動AppServ安裝文件后，出現如圖所示的設置服務器信息界面：</p><p>　　在Server Name中

43、輸入域名localhost；</p><p>　　Administrator's Email Address 中輸入郵箱地址：694046703@qq.com；</p><p>　　監(jiān)聽端口設為8080，如下圖：</p><p>　　圖12 設置服務器信息界面</p><p>　　點擊next，進入下一界面：</p>

44、<p>　　在出現的界面中輸入密碼（lwh），如下圖：</p><p>　　圖13 安裝MySQL Server Collations</p><p>　　然后單擊"Install",進入安裝過程，如下圖：</p><p>　　圖14 AppServer 的安裝過程圖</p><p>　　圖15 AppS

45、erver 完成安裝</p><p>　　安裝完成后將C:\Appserv\php5目錄下的php.ini-dist 文件改名為php.Ini，如下圖：</p><p>　　修改前 修改后</p><p>　　圖16 修改前、后比較</p><p>　　并啟動Apache和MySql如下：</p>&l

46、t;p>　?。刂泼姘濉芾怼?確保Apache和MySql已啟動）</p><p>　　安裝完成后可以查看（MySQL啟動如下圖）</p><p>　　圖17 MySQL成功啟動</p><p>　　在瀏覽器中輸入http://localhost :8080 出現如下界面：</p><p>　　界面1 表示安裝成功！<

47、/p><p>　　（2）測試AppServ</p><p>　　首先查看"控制面板"/"管理"/"服務",確保Apache和MySQL已經啟動如下：</p><p>　　然后，在瀏覽器中輸入http://localhost :8080/phpinfo.php出現如下界面：</p><p>

48、;　　界面2 Apache2.2安裝成功</p><p>　　通過此界面可以了解php的一些信息。</p><p>　　最后打開瀏覽器，輸入http://localhost :8080/phpMyAdmin/index.php,輸入用戶名root和密碼</p><p><b>　　可以瀏覽數據庫內容</b></p><p&

49、gt;<b>　　圖18 登陸界面</b></p><p>　　圖19 信息查看界面</p><p>　?。?）配置AppServ</p><p>　　第一步，編輯Apache服務器配置文件。打開Apache2.2\conf文件中的httpd.conf,檢查相應的一些值。</p><p>　　圖20 編輯配置文件

50、 </p><p>　　圖21 查看httpd.conf相應值</p><p>　　第二步，編輯phpMyAdmin中的關鍵文件。</p><p>　　圖22 編輯phpMyAdmin中的關鍵文件</p><p>　　打開C:\AppServ\www\phpMyAdmin\libraries目錄下的config.default.php文件

51、，并修改相關信息如下所示：</p><p>　　搜索cfg['PmaAbsoluteUri']，設置phpMyAdmin的URL, cfg['PmaAbsoluteUri']='http://localhost:8080/phpmyadmin/'</p><p>　　搜索cfg['blowfish_secret'],設定好ro

52、ot密碼后，這里也要填寫，如root的密碼lwh，則設置cfg['blowfish_secret)']=‘lwh’。 </p><p>　　搜索cfg['DefaultLang'],將其設置為zh-gb2312;</p><p>　　搜索$cfg['Servers'][$i]['auth_type']，默認的config是不安

53、全的，推薦使用cook-ie,將其設置為cfg['Servers']['i']['auth_type']='cookie'。</p><p>　　搜索cfg['DefaultCharset']，將其設置為gb2312。</p><p>　　第三步，為安全起見，還必須刪除Mysql安裝后默認的any@%、any@

54、localhost和root@%帳號。</p><p>　　圖23 刪除默認賬號</p><p><b>　　圖24 成功刪除</b></p><p>　　delete from db where user='' and host='%';# MySQL 返回的查詢結果為空(即零行)。</p>

55、<p>　　delete from tables_priv where user='' and host='%';# MySQL 返回的查詢結果為空(即零行)。</p><p>　　delete from columns_priv where user='' and host='%';# MySQL 返回的查詢結果為空(即零行)。</

56、p><p>　　delete from user where user='' and host='localhost';# MySQL 返回的查詢結果為空(即零行)。</p><p>　　delete from db where user='' and host='localhost';# MySQL 返回的查詢結果為空(即零行)

57、。</p><p>　　delete from tables_priv where user='' and host='localhost';# MySQL 返回的查詢結果為空(即零行)。</p><p>　　delete from columns_priv where user='' and host='localhost'

58、;# MySQL 返回的查詢結果為空(即零行)。</p><p>　　delete from user where user='root' and host='%';# MySQL 返回的查詢結果為空(即零行)。</p><p>　　delete from db where user='root' and 'host'=

59、9;%';# MySQL 返回的查詢結果為空(即零行)。</p><p>　　delete from tables_priv where user='root' and host='%';# MySQL 返回的查詢結果為空(即零行)。</p><p>　　delete from columns_priv where user='root

60、9; and 'host'='%';# MySQL 返回的查詢結果為空(即零行)。</p><p>　　圖24 刪除SQL語句的執(zhí)行</p><p>　　第四步，配置php.ini。打開C:\WINDOWS|php.ini文件。修改后的值如下圖：</p><p>　　第五步，首先需要建立Snort運行必需的Snort 庫和Snort

61、_archive庫如下圖：</p><p>　　圖25 Snort 庫和Snort_archive庫的建立</p><p>　　其次，對Mysql進行修改。</p><p>　　圖26 編輯Mysql</p><p><b>　　圖27 查詢表</b></p><p><b>　　

62、圖28 創(chuàng)建表</b></p><p>　　第六步，使用C:\Snort\schemas目錄下的create_MySQL腳本建立Snort運行必需的數據表。在此，可以通過MySQL提示符下運行SQL語句show tables來檢驗配置的正確性</p><p>　　其中c:\Snort為Snort的安裝目錄，打開命令提示符，運行以下命令：</p><p>

63、;　　mysql -D Snort -u root -p < c:\Snort\schemas\create_mysql</p><p>　　mysql -D Snort_archive -u root -p < c:\Snort\schemas\create_Mysql</p><p>　　每次提示輸入root的密碼，輸入密碼即可建立所需要的表。</p><

64、;p>　　圖29 MySQL腳本建立Snort數據表</p><p>　　通過MySQL提示符下運行SQL語句如下圖：</p><p>　　圖30 SQL語句運行</p><p>　　show tables來檢驗配置的正確性如下圖：</p><p>　　圖31 show tables來檢驗配置的正確性</p><

65、;p>　　第七步，必須在Appache服務器主機上建立ACID和Snort用戶，并且設置權限和密碼</p><p>　　（主要是根據課本步驟修改代碼）</p><p><b>　　代碼：</b></p><p>　　mysql> grant usage on *.* to "acid"@"localho

66、st" identified by "acidtest";</p><p>　　mysql> grant usage on *.* to "snort"@"localhost" identified by "snorttest";</p><p>　　mysql> grant select

67、,insert,update,delete,create on *.* to "snort"@"localhost" id</p><p>　　entified by "snorttest";</p><p>　　mysql> grant select,insert,update,delete,create,alter on

68、 snort. * to "acid"@"loc</p><p><b>　　alhost";</b></p><p>　　mysql> grant select,insert on snort. * to "snort"@"localhost";</p><p&

69、gt;　　mysql> grant select,insert,update,delete,create,alter on snort_archive. * to "a</p><p>　　cid"@"localhost";</p><p>　　mysql> set password for "snort"@&quo

70、t;locahost"=password('lwh');</p><p>　　mysql> set password for "acid"@"locahost"=password('lwh');</p><p>　　圖32 Appache服務器主機上建立ACID和Snort用戶</p>

71、<p>　　設置權限和密碼如下：</p><p>　　圖33 更新acid權限</p><p>　　圖34 更新snort權限</p><p><b>　　設置結果如圖所示：</b></p><p><b>　　圖35 設置完成</b></p><p>　　

72、（3）安裝Adodb,jpGraph和ACID</p><p>　　移動文件adodb jpgraph acid 得到： </p><p>　　Adodb生成目錄：C:\AppServ\php5\adodb</p><p>　　圖36 Adodb生成目錄</p><p>　　jpgraph生成目錄：C:\AppServ\php5\jp

73、graph</p><p>　　圖37 jpgraph生成目錄：</p><p>　　acid 生成目錄：C:\AppServ\www\acid</p><p>　　圖38 acid 生成目錄</p><p>　　修改C:\AppServ\www\acid中的 acid-conf.php文件</p><p>　　$

74、DBlib_path = "C:\AppServ\php5\adodb";</p><p>　　$alert_dbname = "snort";</p><p>　　$alert_host = "localhost";</p><p>　　$alert_port = "3306

75、";</p><p>　　$alert_user = "acid";</p><p>　　$alert_password = "123";</p><p>　　$archive_dbname = "snort_archive";</p><p>　　$archi

76、ve_host = "localhost";</p><p>　　$archive_port = "";</p><p>　　$archive_user = "acid";</p><p>　　$archive_password = "123";</p>

77、;<p>　　$ChartLib_path = "C:\AppServ\php5\jpggraph\src";</p><p>　　在mysql命令端輸入如下命令并回車，出現如下所示，表明運行成功：</p><p>　　圖39 mysql命令運行</p><p>　　最后在瀏覽器中輸入http://localhost :8080

78、/acid/acid-db-setup.php 出現如下界面：</p><p>　　圖40 acid安裝成功</p><p>　?。?）配置snort</p><p>　　修改C：\snort\etc\snort.conf 主要改絕對路徑如下：</p><p><b>　　圖41 修改前</b></p>

79、<p><b>　　圖42 修改后</b></p><p>　　然后還需要修改引用路徑：</p><p>　　dynamicpreprocessor directory C:/snort/lib/snort_dynamicpreprocessor/</p><p>　　dynamicengine C:/snort/lib/sno

80、rt_dynamicengine/libsf_engine.dll</p><p>　　圖43 引用路徑修改</p><p>　　設置snort 輸出alert 到mysql server</p><p>　　1>把“# var HOME_NET 10.1.1.0/24”改成“var HOME_NET 192.168.0.4/24”你自己LAN內的地址，把前

81、面的#號去掉。</p><p>　　2>把“var RULE_PATH ../rules”改成“var RULE_PATH /etc/snort”</p><p>　　3>把“# output database: log, mysql, user=root password=test dbname=db host=localhost”改成“output database: lo

82、g, mysql, user=root password=123 dbname=snort host=localhost”把前面的#號去掉。</p><p>　　4>把“# include $RULE_PATH/web-attacks.rules</p><p>　　# include $RULE_PATH/backdoor.rules</p><p>　　#

83、 include $RULE_PATH/shellcode.rules</p><p>　　# include $RULE_PATH/policy.rules</p><p>　　# include $RULE_PATH/porn.rule</p><p>　　s# include $RULE_PATH/info.rules</p><p>

84、　　# include $RULE_PATH/icmp-info.rulesinclude $RULE_PATH/virus.rules</p><p>　　# include $RULE_PATH/chat.rules# include $RULE_PATH/multimedia.rules</p><p>　　# include $RULE_PATH/p2p.rules”前面的#號刪除

85、。</p><p>　　修改完畢后，保存退出。</p><p>　　圖44設置snort 輸出alert 到mysql server</p><p><b>　?。?）、系統(tǒng)測試</b></p><p>　　1）、phpMyAdmin測試</p><p>　　Snort系統(tǒng)全部安裝完以后，用戶將可

86、以使用root、acid、snort3個賬戶ID登錄phpMyAdmin。這3個用戶能否順利登陸關系到整個snort系統(tǒng)能否順利運行，因此必須進行檢測。登陸時先后輸入3個用戶名和密碼，如下圖：</p><p><b>　　圖45 登陸界面</b></p><p>　　如果用戶不慎忘記數據庫acid密碼，可以通過程序組中的AppServ組內的重置密碼命令恢復acid的

87、密碼，如下圖：</p><p>　　界面3 phpMyAdmin重置密碼</p><p>　　界面4 phpMyAdmin重置密碼</p><p><b>　　2）命令行界面測試</b></p><p>　　重新啟動snort后，用戶可以使用如下命令測試snort是否正常工作：C:\snort\bin>snor

88、t -c"C:\snort\etc\snort.cong" -l "C:\snort\log" -d -e -X如果看到“小豬”，就標志著snort已經正常啟動了。</p><p>　　圖46 命令行界面測試</p><p>　　然后用另外一臺主機ping 本機，snort 即可監(jiān)控到如下圖的情況：snort成功捕捉數據包。</p>

89、<p>　　圖47 用另一臺主機ping本機</p><p>　　圖48 snort成功捕捉數據包</p><p>　　3)Windows下Snort的使用</p><p>　　IDScenter是一款Windows平臺下基于Snort的界面工具。它雖然簡化了Snort的的使用，但我們仍然必須掌握Snort和網絡的相關知識。他不但具有省去了敲代碼的繁瑣

90、工作，而且提供了管理功能。主要特點有：①支持Snort的2.0，1.9，1.8，1.7。②支持Snort服務模式。③Snort配置向導,包括設置Snort變量，配置預處理插件，輸出插件，指定規(guī)則集。④規(guī)則編輯器，支持Snort2.0的所有規(guī)則選項，還可以從文件和web站點導入現存的規(guī)則集⑤監(jiān)視，允許監(jiān)視多達10報警文件和MySQL數據庫信息。⑥日志回收功能，允許根據指定的時間表壓縮和備份日志文件。⑦集成的日志查看器，可查看文件日志，XM

91、L日志和HTML日志。</p><p>　　安裝snort界面工具IDScenter</p><p><b>　　四 、設計總結</b></p><p>　　snort已日益成為入侵檢測產品市場上不可或缺的一分子，同時，它也是目前安全領域中最活躍的開放源碼工程之一。Snort的開發(fā)者Martin Roesch說：“入侵與反入侵猶如軍備競賽，新

92、的入侵手段的出現是一種正?，F象?！?，同樣對于網絡安全工作者來說也沒有一勞永逸的事情，密切跟蹤分析國際上入侵技術的發(fā)展，不斷獲得最新的攻擊方法，通過分析這些已知的攻擊方法，豐富現有的入侵檢測系統(tǒng)的檢測能力，已成為每個網絡安全工作者必須完成的任務。經過兩個多星期的努力，Snort系統(tǒng)作為入侵檢測的軟件運用Snort掃描終于完成在整個設計過程中，出現過很多的難題，但都在老師和同學的幫助下順利解決了，在不斷的學習過程中我體會到：做課程設計是一個

93、不斷學習的過程，從最初的模糊認識到最后能夠對該問題有深刻的認識，我體會到實踐對于學習的重要性，以前只是明白理論，沒有經過實踐考察，對知識的理解不夠明確，通過這次的論文，真正做到理論與實踐相結合。總之，通過這次課程設計,我深刻體會到要做好一個完整的事情，需要有系統(tǒng)的思維方式和方法，對待要解決的問題，要耐心、要善于運用已有的資源來充實自己。同時我也深刻的認識到，在對待一個新事</p><p><b>　　五

94、、參考文獻</b></p><p>　　[1] Martin Roesch Snort —Lightweight Intrusion Detection for Networks:Snort.org</p><p>　　[2] Steven J. Scott Snort Install Manual—Snort,MySQL,Redhat7.2</p><p