




版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)
文檔簡介
1、 甘肅政法學(xué)院入侵檢測課程設(shè)計題 目:snort入侵檢測系統(tǒng) 學(xué) 號: 姓 名: 指導(dǎo)教師: 成 績:_摘要:本文使用抓包庫winpcap,入侵探測器snort,web服務(wù)器apache,數(shù)據(jù)庫mysql,入侵?jǐn)?shù)據(jù)分析控制臺acid構(gòu)建了windows平臺下基于snort的網(wǎng)絡(luò)入侵系統(tǒng)。snort對監(jiān)控網(wǎng)絡(luò)中的數(shù)據(jù)包進行規(guī)則匹配,檢測入侵行為,并將日志保存至mysql數(shù)據(jù)庫,acid分析數(shù)據(jù)庫數(shù)據(jù),生成網(wǎng)絡(luò)入侵事件日志圖表。關(guān)鍵詞:入侵檢測系統(tǒng);網(wǎng)絡(luò)安全;snort基于windows平臺的snort入侵檢測系統(tǒng)研究與實現(xiàn)引言 隨著計算機網(wǎng)絡(luò)的迅猛發(fā)展, 網(wǎng)絡(luò)安全問題日益嚴(yán)重。防火墻作為主要的安
2、全防范手段, 在很多方面存在弱點, 而入侵檢測系統(tǒng)能夠提供了對內(nèi)部、外部攻擊和誤操作的實時保護, 它能夠自動的監(jiān)控網(wǎng)絡(luò)的數(shù)據(jù)流, 迅速發(fā)現(xiàn)攻擊, 對可疑的事件給予檢測和響應(yīng)。因此, 入侵檢測系統(tǒng)愈來愈多的受到人們的關(guān)注, 并已經(jīng)開始在各種不同的環(huán)境中發(fā)揮重要的作用。 目前市面上充斥著大量的入侵檢測系統(tǒng)產(chǎn)品。但是它們大多比較雜, 比較難以掌握, 而且比較昂貴。我們可以通過網(wǎng)絡(luò)上的開源軟件來自己構(gòu)建一個入侵檢測系統(tǒng)。第一章 入侵檢測系統(tǒng)簡介入侵檢測是對系統(tǒng)運行狀態(tài)進行監(jiān)視,發(fā)現(xiàn)各種攻擊企圖和行為或者攻擊結(jié)果,以保證系統(tǒng)資源的機密性、完整性和可用性。入侵檢測系統(tǒng)( int rusion detect
3、 ion sy stem, 簡稱ids)根據(jù)檢測數(shù)據(jù)來源分為:基于主機的入侵檢測系統(tǒng)從單個主機上提取數(shù)據(jù)(如審計數(shù)據(jù)等)作為入侵檢測分析的數(shù)據(jù)源;基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)從網(wǎng)絡(luò)上提取數(shù)據(jù)(如網(wǎng)絡(luò)鏈路層的數(shù)據(jù)幀)作為入侵分析的數(shù)據(jù)源。入侵檢測系統(tǒng)按檢測方法分為:異常入侵檢測根據(jù)異常行為和計算機資源情況檢測入侵,并試圖用定量方式描述可接受的行為特征,以區(qū)分正常的、潛在的入侵行為;誤用入侵檢測指用已知系統(tǒng)和應(yīng)用軟件的弱點攻擊模式來檢測入侵行為。目前入侵檢測技術(shù)存在:現(xiàn)有ids 誤報警率偏高,很難確定真正的入侵行為;事件響應(yīng)與恢復(fù)機制不完善,不適當(dāng)?shù)淖詣禹憫?yīng)機制存在很大的安全風(fēng)險;ids 缺乏國際統(tǒng)一標(biāo)
4、準(zhǔn),缺乏統(tǒng)一的入侵檢測術(shù)語和概念框架;ids 本身正在發(fā)展和變化,遠未成熟,還存在對入侵檢測系統(tǒng)自身的攻擊;缺少對檢測結(jié)果作進一步說明和分析的輔助工具,日益增長的網(wǎng)絡(luò)流量導(dǎo)致檢測分析難度加大。第二章 snort 入侵檢測系統(tǒng)的構(gòu)建2 snort原理2.1 入侵檢測系統(tǒng)簡介 入侵檢測系統(tǒng)通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門,在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測,從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。2.2 入侵檢測系統(tǒng)的分類入侵檢測系統(tǒng)可分為主機型和網(wǎng)
5、絡(luò)型主機型入侵檢測系統(tǒng)往往以系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源,當(dāng)然也可以通過其他手段(如監(jiān)督系統(tǒng)調(diào)用)從所在的主機收集信息進行分析。主機型入侵檢測系統(tǒng)保護的一般是所在的系統(tǒng)。 網(wǎng)絡(luò)型入侵檢測系統(tǒng)的數(shù)據(jù)源則是網(wǎng)絡(luò)上的數(shù)據(jù)包。往往將一臺機子的網(wǎng)卡設(shè)于混雜模式(promiscmode),監(jiān)聽所有本網(wǎng)段內(nèi)的數(shù)據(jù)包并進行判斷。一般網(wǎng)絡(luò)型入侵檢測系統(tǒng)擔(dān)負(fù)著保護整個網(wǎng)段的任務(wù)。2.3 入侵檢測的實現(xiàn)技術(shù) 可分為兩類:一種基于標(biāo)志(signature-based),另一種基于異常情況(anomaly-based)。 對于基于標(biāo)識的檢測技術(shù)來說,首先要定義違背安全策略的事件的特征,如網(wǎng)絡(luò)數(shù)據(jù)包的某些頭信息。檢
6、測主要判別這類特征是否在所收集到的數(shù)據(jù)中出現(xiàn)。此方法非常類似殺毒軟件。 而基于異常的檢測技術(shù)則是先定義一組系統(tǒng)“正?!鼻闆r的數(shù)值,如cpu利用率、內(nèi)存利用率、文件校驗和等,然后將系統(tǒng)運行時的數(shù)值與所定義的“正?!鼻闆r比較,得出是否有被攻擊的跡象。這種檢測方式的核心在于如何定義所謂的“正常”情況。2.4 snort簡介 snort是一個免費的、跨平臺的軟件包,用作監(jiān)視小型tcp/ip網(wǎng)的嗅探器、日志記錄、侵入探測器。 snort有三種主要模式:信息包嗅探器、信息包記錄器或成熟的侵入探測系統(tǒng)。 實驗中涉及較多mysql數(shù)據(jù)庫服務(wù)器以及snort規(guī)則的配置。其中mysql數(shù)據(jù)庫的配置要在window
7、s命令行方式下進行。默認(rèn)的用戶名為root,無密碼。連接命令如下:mysqlh 主機地址u 用戶名p 用戶密碼可通過數(shù)據(jù)庫管理命令創(chuàng)建、使用、刪除數(shù)據(jù)庫,以及創(chuàng)建、使用、刪除表。 snort的配置及使用也需在windows命令行中進行。要啟動snort需要指定配置文件和日志文件;配置文件包含了監(jiān)測規(guī)則、內(nèi)外網(wǎng)ip范圍等。第三章 window下的集成安裝3.1 安裝snort和wincap包3.1.1安裝appserv圖3.0 安裝界面 在server name中輸入域名localhost:administrator's email address 中輸入郵箱地址:yw19890809監(jiān)
8、聽端口設(shè)為8080。圖3.1 監(jiān)聽端口界面設(shè)置點擊next,進入下一界面:在出現(xiàn)的界面中輸入密碼(enter root password):"character sets and collations"選擇"gb 2312simplified chese",下圖所示3.2:圖3.2 mysql密碼設(shè)置然后單擊"install",進入安裝過程,出現(xiàn)下圖:圖3.3 appserv安裝完成安裝完成后將c:appservphp5目錄下的php.ini-dist 文件改名為php.ini,并啟動apache和mysql。圖3.4 php.ini
9、-dist 文件在服務(wù)器觀看是否apache和mysql啟動(控制面板管理服務(wù) 確保apache和mysql已啟動)。如下圖3.5:圖3.5 apache和mysql啟動安裝完成后可以查看(mysql啟動如下圖)圖3.6 查看mysql啟動在瀏覽器中輸入http:/localhost :8080 出現(xiàn):圖3.7 appserv安裝圖表示安裝成功!(2)測試appserv首先查看"控制面板"/"管理"/"服務(wù)",確保apache和mysql已經(jīng)啟動,然后,在瀏覽器中輸入http:/localhost :8080/phpinfo.php,
10、(下圖)圖3.8 appserv安裝圖可以了解php的一些信息。最后打開瀏覽器,輸入http:/localhost :8080/phpmyadmin/index.php,(下圖)輸入用戶名root和密碼,可以瀏覽數(shù)據(jù)庫內(nèi)容圖3.9 數(shù)據(jù)庫登錄界面圖3.10 數(shù)據(jù)庫界面3.1.2配置appserv第一步編輯apache服務(wù)器配置文件。打開apache2.2conf文件中的httpd.conf,檢查相應(yīng)的一些值圖3.11 打開httpd.conf文件第二步編輯phpmyadmin中的關(guān)鍵文件。打開c:appservwwwphpmyadminlibraries目錄下的config.default.p
11、hp文件作如下修改:(1) 搜索$cfg'bloefish_secret',設(shè)定好密碼后在這里也要填寫,如root密碼'123',則設(shè)置為$cfg'bloefish_secret'='123';圖3.12打開httpd.conf文件(2) 搜索$cfg'defaultlang',將其設(shè)置為zh-gb2312;圖3.13 設(shè)置$cfg'defaultlang'(3) 搜索$cfg'defaultcharset',將其設(shè)置為gb2312;圖3.14 設(shè)置defaultcharset(4)
12、 搜索$cfg'servers'$i'auth_type',默認(rèn)config是不安全的,推薦使用cookie,將其設(shè)置為$cfg'servers'$i'auth_type'=cookie。圖3.15 servers設(shè)置假如要設(shè)置為config的話,要設(shè)置用戶和密碼。如下圖圖3.16 user設(shè)置圖3.17 password設(shè)置第三步配置php.ini。打開c:windows|php.ini文件,找到:open_basedir=;做一下修改;圖3.18 php.ini文件修改第四步,mysql進行修改。首先需要建立snort運行必需
13、的snort 庫和snort_archive庫圖3.19 建立snort庫圖3.20 snort_archive庫接下來修改c:、snortschemas下的create_mysql文件,修改如下:修改前:圖3.21 create_mysq修改前修改后:圖3.22 create_mysq修改后第五步,使用c:snortschemas目錄下的create_mysql腳本建立snort運行必需的數(shù)據(jù)表。圖3.23 建立create_mysq腳本執(zhí)行完create_mysq腳本后,用戶可以通過在mysql提示符下運行sql語句show table來檢驗配置的真確性。該用戶顯示數(shù)據(jù)庫內(nèi)的所有表。圖3.
14、24 執(zhí)行后結(jié)果第六步,必須在appache服務(wù)器主機上建立acid和snort用戶,并為他們分配相關(guān)權(quán)限和訪問密碼,使acid能正常訪問后臺數(shù)據(jù)庫mysql中與snort相關(guān)的數(shù)據(jù)文件:圖3.25 appache服務(wù)器主機上對acid和snort設(shè)置最后在瀏覽器中輸入http:/localhost :8080/acid/acid-db-setup.php 出現(xiàn)如下界面:圖3.26 安裝成功界面3.2安裝adodb,jpgraph和acid 將adodb到c:appservphp5目錄下,生成c:appservphp5adodb目錄,再將jpgraph復(fù)制c:appservphp5目錄下,生成
15、c:appservphp5jpgraph目錄,將acid 生成目錄放到c:appservwww目錄下,生成c:appservwwwacid目錄。圖3.27 生成c:appservphp5adodb目錄圖3.28 生成c:appservphp5jpgraph目錄圖3.29 生成c:appservwwwacid目錄接下來修改c:appservwwwacid中的 acid-conf.php文件,如下: 圖3.30 修改acid-conf.php文件設(shè)定密碼:圖3.31 設(shè)定密碼成功。3.3.配置snort修改c:snortetcsnort.conf 主要改絕對路徑:修改前:修改后:然后還需要修改引用路徑:并設(shè)置snort輸出alert到mysqlserver:phpmyadmin測試在瀏覽器中輸入http:/localhost:8080/phpmyadmin/index.php出現(xiàn)圖3.32 登陸界面使用預(yù)設(shè)的3個用戶名(acid root snort )和密碼登陸即可命令執(zhí)行界面測試進入界面圖3.33 進入界面18.添加規(guī)則庫解壓縮snortrules-snapshot-current.tar.g
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 化工企業(yè)安全生產(chǎn)方針是什么
- 安全管理四不兩直
- 職工安全生產(chǎn)職責(zé)
- 廣東省中山一中、仲元中學(xué)等七校2025屆物理高二第二學(xué)期期末聯(lián)考試題含解析
- 2025屆天津市河北區(qū)高二物理第二學(xué)期期末學(xué)業(yè)質(zhì)量監(jiān)測試題含解析
- 遼寧省遼陽縣2025屆物理高一下期末學(xué)業(yè)水平測試試題含解析
- 湖南省長沙市雅禮教育集團2025年高一物理第二學(xué)期期末復(fù)習(xí)檢測模擬試題含解析
- 四川省名校2025屆高一物理第二學(xué)期期末聯(lián)考試題含解析
- 四川省成都市高中2025屆物理高二第二學(xué)期期末質(zhì)量檢測模擬試題含解析
- 2025屆山東濟寧市兗州區(qū)物理高二下期末統(tǒng)考試題含解析
- 陜西省專業(yè)技術(shù)人員繼續(xù)教育2025公需課《黨的二十屆三中全會精神解讀與高質(zhì)量發(fā)展》20學(xué)時題庫及答案
- 2024-2025學(xué)年人教版數(shù)學(xué)五年級下學(xué)期期末試卷(含答案)
- 環(huán)保設(shè)施安全風(fēng)險評估報告
- 氣釘槍安全培訓(xùn)教材PPT學(xué)習(xí)教案
- 小學(xué)數(shù)學(xué)圖形與幾何知識點歸納匯總
- APQP培訓(xùn)教材PPT課件
- JC∕T 1083-2008 水泥與減水劑相容性試驗方法
- 食品工程原理(李云飛)第二章ppt 傳熱
- 二氧化碳氣體保護焊.ppt
- 儀表工程質(zhì)量控制點等級劃分表
- 廣東某高層小區(qū)屋面飄板模板工程專項施工方案
評論
0/150
提交評論