logo资料库

信息安全实验三:Snort入侵检测系统的配置与使用.doc

发布时间:2022-06-06 发布人:admin 分类:说明书 资料大小:0.81M 资料格式:doc 举报 版权申诉
第1页 / 共10页
第2页 / 共10页
第3页 / 共10页
第4页 / 共10页
第5页 / 共10页
第6页 / 共10页
第7页 / 共10页
第8页 / 共10页
资料共10页,剩余部分请下载后查看
    实验报告
    实验报告 学院:计信学院 专业:网络工程 班级:082 姓名 学号 实验时间 2011-11-24 指导教师 实验组 成绩 实验项目名称 实验三:Snort 入侵检测系统的配置与使用 实 验 目 的 实 验 要 求 实 验 原 理 学会搭建 snort+windows+mysql+php+acid 的网络入侵检测系统平台,并学习简单 snort 规则的编写与使用,了解 snort 的检测原理。 采用集中授课演示操作步骤,学生独立操作形式。 1.IDS 入侵检测系统(Intrusion Detection System,IDS)是针对计算机和网络系统资源上 的恶意使用行为进行识别和响应的处理系统。它在不影响网络性能的前提下,对网络进 行警戒、监控,从计算机网络的若干关键点收集信息,通过分析这些信息,查看网络中 是否有违反安全策略的行为和遭到攻击的迹象,从而扩展了系统管理员的安全管理能 力,提高了信息安全基础结构的完整性。通过利用入侵检测系统,可以有效的防止或减 轻来自网络的威胁,它已经成为防火墙之后的又一道安全屏障,并在各种不同的环境中 发挥关键作用。 (1)入侵检测系统的分类 根据采集数据源的不同,入侵监测系统可分为基于网络的入侵检测系统(NIDS) 和基于主机的入侵检测系统(HIDS)。 NIDS 使用监听的方式,在网络通信的原始数据包中寻找符合网络入侵模板的数据 包。NIDS 的网络分析引擎放置在需要保护的网段内,独立于被保护的机器之外,不会 影响这些机器的 CPU、I/O 与磁盘等资源的使用,也不会影响业务系统的性能。NIDS 一般保护的是整个网段。 HIDS 安装在被保护的机器上,在主机系统的审计日志或系统操作中查找信息源进 行智能分析和判断,例如操作系统日志、系统进程、文件访问和注册表访问等信息。由 于 HIDS 安装在需要保护的主机系统上,这将影响应用系统的运行效率。HIDS 对主机 系统固有的日志与监视能力有很高的依赖性,它一般保护的是其所在的系统。 (2)入侵检测系统的实现技术 入侵检测系统的实现技术可以简单的分为两大类:基于特征的检测和基于异常的检 测。 基于特征的检测技术主要包括模式匹配和协议分析两种检测方法。 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式知识库进行比较, 以发现入侵行为。 协议分析相对于模式匹配技术是一种更新的入侵检测技术。它首先捕捉数据包,然 后对数据包进行分析,包括网络协议和命令解析,在解析的代码中快速检测某个攻击特
    征是否存在。 基于异常的检测技术有很多,例如采用统计模型、专家系统等技术来实现。它首先 要对系统的行为进行统计,获得系统正常使用时的统计性能,如访问次数、操作失败次 数和延时等。统计性能被用来与网络、系统的行为进行比较,当观察值在正常值范围之 外时,入侵检测系统就会判断有入侵发生。 (3)入侵检测系统的部署原则 基于主机的入侵检测系统其安装部署简单,主要安装在检测的主机系统中,而基于 网络的入侵检测系统复杂很多,需要考虑部署原则,以优化性能。 2.轻量级的网络入侵检测系统 Snort 自 20 世纪最后几年来,随着 Internet 的广泛应用,各种 IDS 产品层出不穷。其中 Snort 是目前应用最为广泛的一个 IDS 产品,它有如下特点: ·它是一个轻量级的网络入侵检测系统,所谓轻量级是指该软件在运行时只占用极 少的网络资源,对原有网络性能影响很小。 ·从数据来源上看,它是一个基于网络入侵的检测软件,即它作为嗅探器对发往同 一网络上的其它主机的流量进行捕获,然后进行分析。 ·它的工作采用误用检测模型,即首先建立入侵行为特征库,然后在检测过程中, 将收集到的数据包和特征码进行比较,以得出是否入侵的结论。 ·它是用 C 语言编写的开放源代码网络入侵检测系统。其源代码可以被自由地读 取、传播和修改,任何一个程序员都可以自由地为其添加功能,修改错误、任意传播。 ·它是一个跨平台软件,所支持的操作系统非常广泛,比如 Windows,Linux,SunOS 等都支持。在实验中我们将在 Windows 系统上构建 Snort。 ·Snort 有 3 种主要模式:信息包嗅探器、信息包记录器或成熟的入侵探测系统。 Snort 的一些功能: ·实时通信分析和信息包记录。 ·包装有效载荷检查。 ·协议分析和内容查询匹配。 ·探测缓冲溢出、秘密端口扫描、CGI 攻击、SMB 探测、操作系统侵入尝试。 ·对系统日志、指定文件、UNIX socket 或通过 Samba 的 WinPopus 进行实时报警。 在 Windows 平台上安装 Snort 所需的软件包见表 3.5。 表 3.5 安装 Snort 需要的软件包 软件包 WinPcap 网 址 http://winpcap.polito.it/ Snort http://www.snort.org Acid http://www.cert.org/kb/acid 作 用 网络数据包截取驱动程序,用于从网卡中 抓取数据包。 Windows 中的 snort 安装包,入侵检测的 核心部分。 基于 PHP 的入侵检测数据库分析控制台。 ADODB http://php.weblogs.com/adodb 为 ACID 提供便捷的数据库接口。 Windows 版本的 Web PHP 服务器。 Apache Jpgraph PHP 所用图形库。 Windows 版本的 MySQL 数据库,用于存 MySQL 储 snort 的日志、报警、权限等信息。 http://www.apache.org http://www.aditus.nu/jpgraph http://mysql.com PHP http://www.php.com Windows 中 PHP 脚本的支持环境。
    实 验 仪 器 实 验 内 容 实 验 步 骤 及 数 据 联网的装有 Windows2000 或 WindowsXP 操作系统的 PC 机;Apache_2.0.46、 php-4.3.2、snort2.0.0、Mysql、adodb、acid、jpgraph 库、winpcap 等软件。 1、 Apache_2.0.46 的安装与配置 2、 php-4.3.2 的安装与配置 3、 snort2.0.0 的安装与配置 4、 Mysql 数据库的安装与配置 5、 adodb 的安装与配置 6、 数据控制台 acid 的安装与配置 7、 jpgraph 库的安装 8、 winpcap 的安装与配置 9、snort 规则的配置 10、测试 snort 的入侵检测相关功能 (一) windows 环境下 snort 的安装 1. 安装 Apache_2.0.46 (1) 双击 Apache_2.0.46-win32-x86-no_src.msi,安装在默认文件夹 C:\apache 下。 安装程序会在该文件夹下自动产生一个子文件夹 apache2。 (2) 打开配置文件 C:\apache\apache2\conf\httpd.conf,将其中的 Listen 80,更 改为 Listen 50080。(这主要是为了避免冲突)。 (3) 进入命令行运行方式(单击“开始”按钮,选择“运行”,在弹出窗口中输入“cmd”, 回车),转入 C:\apache\apache\bin 子目录,输入下面命令: C:\apache\apache2\bin>apache –k install
    将 apache 设置为以 windows 中的服务方式运行。 2. 安装 PHP (1) 解压缩 php-4.3.2-Win32.zip 至 C:\php。 (2) 复制 C:\php 下 php4ts.dll 至%systemroot%\System32,php.ini-dist 至%systemroot%\php.ini。(%systemroot%代表的是系统中的 C 盘下的 windows 目录) (3) 添加 gd 图形支持库,在 php.ini 中添加 extension=php_gd2.dll。如果 php.ini 有该句,将此句前面的“;”注释符去掉。 (4) 添加 Apache 对 PHP 的支持。在 C:\apahce\apache2\conf\httpd.conf 中添加: LoadModule php4_module C:/php/sapi/php4apache2.dll AddType application/x-httpd-php .php (5) 进入命令行运行方式,输入下面命令: Net start apache2
    (这将启动 Apache Web 服务) (6) 在 C:\apache\apche2\htdocs 目录下新建 test.php 测试文件,test.php 文件 内容为 使用 http://127.0.0.1:50080/test.php,测试 PHP 是否成功安装,如成功安装, 则在浏览器中出现如下图所示的网页 3. 安装 snort 安装 snort-2_0_0.exe,snort 的默认安装路径在 C:\snort 4. 安装配置 Mysql 数据库 (1) 安装 Mysql 到默认文件夹 C:\mysql,并在命令行方式下进入 C:\mysql\bin,输 入下面命令: C:\mysql\bin\mysqld-nt -install 这将使 mysql 在 Windows 中以服务方式运行。 (2) 在命令行方式下输入 net start mysql,启动 mysql 服务
    (3) 进入命令行方式,输入以下命令 C:\mysql\bin>mysql –u root –p 如下图: 出现 Enter Password 提示符后直接按“回车”,这就以默认的没有密码的 root 用户登录 mysql 数据库。 (4) 在 mysql 提示符后输入下面的命令((Mysql>)表示屏幕上出现的提示符,下同): (Mysql>)create database snort; (Mysql>)create database snort_archive; 注意:在输入分号后 mysql 才会编译执行语句。 上面的 create 语句建立了 snort 运行必须的 snort 数据库和 snort_archive 数据库。 (5) 输入 quit 命令退出 mysql 后,在出现的提示符之后输入: (c:\mysql\bin>)Mysql –D snort –u root –p)Mysql –D snort_archive –u root –p)grant usage on *.* to “acid”@”loacalhost” identified by “acidtest”; (mysql>)grant usage on *.* to “snort”@”loacalhost” identified by “snorttest”; 上面两个语句表示在本地数据库中建立了 acid(密码为 acidtest)和 snort(密码为
    snorttest)两个用户,以备后面使用。 (7) 在 mysql 提示符后面输入下面的语句: (mysql>)grant select,insert,update,delete,create,alter on snort.* to “adid”@”localhost; (mysql>)grant select,insert on snort.* to “snort”@”localhost; (mysql>)grant select,insert,update,delete,create,alter on snort_archive.* to “adid”@”localhost; 这是为新建的用户在 snort 和 snort_archive 数据库中分配权限。 5. 安装 adodb 将 adodb360.zip 解压缩至 C:\php\adodb 目录下,即完成了 adodb 的安装。 6. 安装配置数据控制台 acid (1) 解压缩 acid-0.9.6b23.tat.gz 至 C:\apache\apache2\htdocs\acid 目录下。 (2) 修改 C:\apahce\apache2\htdocs 下的 acid_conf.php 文件: DBlib_path = "C:\php\adodb"; $DBtype=”mysql”; $alert_dbname $alert_host $alert_port $alert_user $alert_password = "acidtest"; = "snort"; = "localhost"; = "3306"; = "acid";
    /* Archive DB connection parameters */ $archive_dbname $archive_host $archive_port $archive_user $archive_password = "acidtest"; = "snort_archive"; = "localhost"; = "3306"; = "acid"; $ChartLib_path=”C:\php\jpgraph\src”; 注意:修改时要将文件中原来的对应内容注释掉,或者直接覆盖。 (3) 查看 http://127.0.0.1:50080/acid/acid_db_setup.php 网页,如下图所示, 单击 create ACID AG 建立数据库。 按照系统提示建立数据库,正常建立后出现相应的网页。如下图: 7. 安装 jpgraph 库 (1) 解压缩 jpgraph-1.12.2.tar.gz 至 C:\php\jpgraph (2) 修改 C:\php\jpgrah\src 下 jpgraph.php 文件,去掉下面语句的注释。
    分享到:
    收藏

    相关推荐

    资料库

    安全技术

    共收录1285份资料,累计4个分类,关注成员有19位,主要包括:网络攻防,系统安全,其它,网络安全

    热门标签

    网络攻防 系统安全 其它 网络安全

    最新资料