入侵檢測(cè)課程設(shè)計(jì)1

1、 甘肅政法學(xué)院入侵檢測(cè)課程設(shè)計(jì)題 目：snort入侵檢測(cè)系統(tǒng) 學(xué) 號(hào)： 姓 名： 指導(dǎo)教師： 成 績(jī)：_摘要：本文使用抓包庫(kù)winpcap，入侵探測(cè)器snort，web服務(wù)器apache，數(shù)據(jù)庫(kù)mysql，入侵?jǐn)?shù)據(jù)分析控制臺(tái)acid構(gòu)建了windows平臺(tái)下基于snort的網(wǎng)絡(luò)入侵系統(tǒng)。snort對(duì)監(jiān)控網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行規(guī)則匹配，檢測(cè)入侵行為，并將日志保存至mysql數(shù)據(jù)庫(kù)，acid分析數(shù)據(jù)庫(kù)數(shù)據(jù)，生成網(wǎng)絡(luò)入侵事件日志圖表。關(guān)鍵詞：入侵檢測(cè)系統(tǒng)；網(wǎng)絡(luò)安全；snort基于windows平臺(tái)的snort入侵檢測(cè)系統(tǒng)研究與實(shí)現(xiàn)引言 隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅猛發(fā)展, 網(wǎng)絡(luò)安全問題日益嚴(yán)重。防火墻作為主要的安

2、全防范手段, 在很多方面存在弱點(diǎn), 而入侵檢測(cè)系統(tǒng)能夠提供了對(duì)內(nèi)部、外部攻擊和誤操作的實(shí)時(shí)保護(hù), 它能夠自動(dòng)的監(jiān)控網(wǎng)絡(luò)的數(shù)據(jù)流, 迅速發(fā)現(xiàn)攻擊, 對(duì)可疑的事件給予檢測(cè)和響應(yīng)。因此, 入侵檢測(cè)系統(tǒng)愈來愈多的受到人們的關(guān)注, 并已經(jīng)開始在各種不同的環(huán)境中發(fā)揮重要的作用。 目前市面上充斥著大量的入侵檢測(cè)系統(tǒng)產(chǎn)品。但是它們大多比較雜, 比較難以掌握, 而且比較昂貴。我們可以通過網(wǎng)絡(luò)上的開源軟件來自己構(gòu)建一個(gè)入侵檢測(cè)系統(tǒng)。第一章 入侵檢測(cè)系統(tǒng)簡(jiǎn)介入侵檢測(cè)是對(duì)系統(tǒng)運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖和行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性和可用性。入侵檢測(cè)系統(tǒng)( int rusion detect

3、 ion sy stem, 簡(jiǎn)稱ids)根據(jù)檢測(cè)數(shù)據(jù)來源分為：基于主機(jī)的入侵檢測(cè)系統(tǒng)從單個(gè)主機(jī)上提取數(shù)據(jù)（如審計(jì)數(shù)據(jù)等）作為入侵檢測(cè)分析的數(shù)據(jù)源；基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)從網(wǎng)絡(luò)上提取數(shù)據(jù)（如網(wǎng)絡(luò)鏈路層的數(shù)據(jù)幀）作為入侵分析的數(shù)據(jù)源。入侵檢測(cè)系統(tǒng)按檢測(cè)方法分為：異常入侵檢測(cè)根據(jù)異常行為和計(jì)算機(jī)資源情況檢測(cè)入侵，并試圖用定量方式描述可接受的行為特征，以區(qū)分正常的、潛在的入侵行為；誤用入侵檢測(cè)指用已知系統(tǒng)和應(yīng)用軟件的弱點(diǎn)攻擊模式來檢測(cè)入侵行為。目前入侵檢測(cè)技術(shù)存在：現(xiàn)有ids 誤報(bào)警率偏高，很難確定真正的入侵行為；事件響應(yīng)與恢復(fù)機(jī)制不完善，不適當(dāng)?shù)淖詣?dòng)響應(yīng)機(jī)制存在很大的安全風(fēng)險(xiǎn)；ids 缺乏國(guó)際統(tǒng)一標(biāo)

4、準(zhǔn)，缺乏統(tǒng)一的入侵檢測(cè)術(shù)語和概念框架；ids 本身正在發(fā)展和變化，遠(yuǎn)未成熟，還存在對(duì)入侵檢測(cè)系統(tǒng)自身的攻擊；缺少對(duì)檢測(cè)結(jié)果作進(jìn)一步說明和分析的輔助工具，日益增長(zhǎng)的網(wǎng)絡(luò)流量導(dǎo)致檢測(cè)分析難度加大。第二章 snort 入侵檢測(cè)系統(tǒng)的構(gòu)建2 snort原理2.1 入侵檢測(cè)系統(tǒng)簡(jiǎn)介 入侵檢測(cè)系統(tǒng)通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。2.2 入侵檢測(cè)系統(tǒng)的分類入侵檢測(cè)系統(tǒng)可分為主機(jī)型和網(wǎng)

5、絡(luò)型主機(jī)型入侵檢測(cè)系統(tǒng)往往以系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源，當(dāng)然也可以通過其他手段（如監(jiān)督系統(tǒng)調(diào)用）從所在的主機(jī)收集信息進(jìn)行分析。主機(jī)型入侵檢測(cè)系統(tǒng)保護(hù)的一般是所在的系統(tǒng)。 網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)的數(shù)據(jù)源則是網(wǎng)絡(luò)上的數(shù)據(jù)包。往往將一臺(tái)機(jī)子的網(wǎng)卡設(shè)于混雜模式（promiscmode）,監(jiān)聽所有本網(wǎng)段內(nèi)的數(shù)據(jù)包并進(jìn)行判斷。一般網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)擔(dān)負(fù)著保護(hù)整個(gè)網(wǎng)段的任務(wù)。2.3 入侵檢測(cè)的實(shí)現(xiàn)技術(shù) 可分為兩類：一種基于標(biāo)志（signature-based），另一種基于異常情況(anomaly-based)。 對(duì)于基于標(biāo)識(shí)的檢測(cè)技術(shù)來說，首先要定義違背安全策略的事件的特征，如網(wǎng)絡(luò)數(shù)據(jù)包的某些頭信息。檢

6、測(cè)主要判別這類特征是否在所收集到的數(shù)據(jù)中出現(xiàn)。此方法非常類似殺毒軟件。 而基于異常的檢測(cè)技術(shù)則是先定義一組系統(tǒng)“正常”情況的數(shù)值，如cpu利用率、內(nèi)存利用率、文件校驗(yàn)和等，然后將系統(tǒng)運(yùn)行時(shí)的數(shù)值與所定義的“正?！鼻闆r比較，得出是否有被攻擊的跡象。這種檢測(cè)方式的核心在于如何定義所謂的“正常”情況。2.4 snort簡(jiǎn)介 snort是一個(gè)免費(fèi)的、跨平臺(tái)的軟件包，用作監(jiān)視小型tcp/ip網(wǎng)的嗅探器、日志記錄、侵入探測(cè)器。 snort有三種主要模式：信息包嗅探器、信息包記錄器或成熟的侵入探測(cè)系統(tǒng)。 實(shí)驗(yàn)中涉及較多mysql數(shù)據(jù)庫(kù)服務(wù)器以及snort規(guī)則的配置。其中mysql數(shù)據(jù)庫(kù)的配置要在window

7、s命令行方式下進(jìn)行。默認(rèn)的用戶名為root,無密碼。連接命令如下：mysqlh 主機(jī)地址u 用戶名p 用戶密碼可通過數(shù)據(jù)庫(kù)管理命令創(chuàng)建、使用、刪除數(shù)據(jù)庫(kù)，以及創(chuàng)建、使用、刪除表。 snort的配置及使用也需在windows命令行中進(jìn)行。要啟動(dòng)snort需要指定配置文件和日志文件；配置文件包含了監(jiān)測(cè)規(guī)則、內(nèi)外網(wǎng)ip范圍等。第三章 window下的集成安裝3.1 安裝snort和wincap包3.1.1安裝appserv圖3.0 安裝界面 在server name中輸入域名localhost：administrator's email address 中輸入郵箱地址：yw19890809監(jiān)

8、聽端口設(shè)為8080。圖3.1 監(jiān)聽端口界面設(shè)置點(diǎn)擊next，進(jìn)入下一界面：在出現(xiàn)的界面中輸入密碼(enter root password):"character sets and collations"選擇"gb 2312simplified chese",下圖所示3.2：圖3.2 mysql密碼設(shè)置然后單擊"install",進(jìn)入安裝過程，出現(xiàn)下圖：圖3.3 appserv安裝完成安裝完成后將c:appservphp5目錄下的php.ini-dist 文件改名為php.ini，并啟動(dòng)apache和mysql。圖3.4 php.ini

9、-dist 文件在服務(wù)器觀看是否apache和mysql啟動(dòng)（控制面板管理服務(wù) 確保apache和mysql已啟動(dòng)）。如下圖3.5：圖3.5 apache和mysql啟動(dòng)安裝完成后可以查看（mysql啟動(dòng)如下圖）圖3.6 查看mysql啟動(dòng)在瀏覽器中輸入http:/localhost :8080 出現(xiàn)：圖3.7 appserv安裝圖表示安裝成功?。?）測(cè)試appserv首先查看"控制面板"/"管理"/"服務(wù)",確保apache和mysql已經(jīng)啟動(dòng)，然后，在瀏覽器中輸入http:/localhost :8080/phpinfo.php,

10、（下圖）圖3.8 appserv安裝圖可以了解php的一些信息。最后打開瀏覽器，輸入http:/localhost :8080/phpmyadmin/index.php,（下圖）輸入用戶名root和密碼，可以瀏覽數(shù)據(jù)庫(kù)內(nèi)容圖3.9 數(shù)據(jù)庫(kù)登錄界面圖3.10 數(shù)據(jù)庫(kù)界面3.1.2配置appserv第一步編輯apache服務(wù)器配置文件。打開apache2.2conf文件中的httpd.conf,檢查相應(yīng)的一些值圖3.11 打開httpd.conf文件第二步編輯phpmyadmin中的關(guān)鍵文件。打開c:appservwwwphpmyadminlibraries目錄下的config.default.p

11、hp文件作如下修改：（1） 搜索$cfg'bloefish_secret'，設(shè)定好密碼后在這里也要填寫，如root密碼'123',則設(shè)置為$cfg'bloefish_secret'='123'；圖3.12打開httpd.conf文件（2） 搜索$cfg'defaultlang'，將其設(shè)置為zh-gb2312；圖3.13 設(shè)置$cfg'defaultlang'（3） 搜索$cfg'defaultcharset'，將其設(shè)置為gb2312；圖3.14 設(shè)置defaultcharset（4）

12、 搜索$cfg'servers'$i'auth_type'，默認(rèn)config是不安全的，推薦使用cookie，將其設(shè)置為$cfg'servers'$i'auth_type'=cookie。圖3.15 servers設(shè)置假如要設(shè)置為config的話，要設(shè)置用戶和密碼。如下圖圖3.16 user設(shè)置圖3.17 password設(shè)置第三步配置php.ini。打開c:windows|php.ini文件,找到：open_basedir=;做一下修改;圖3.18 php.ini文件修改第四步，mysql進(jìn)行修改。首先需要建立snort運(yùn)行必需

13、的snort 庫(kù)和snort_archive庫(kù)圖3.19 建立snort庫(kù)圖3.20 snort_archive庫(kù)接下來修改c:、snortschemas下的create_mysql文件，修改如下：修改前：圖3.21 create_mysq修改前修改后：圖3.22 create_mysq修改后第五步，使用c:snortschemas目錄下的create_mysql腳本建立snort運(yùn)行必需的數(shù)據(jù)表。圖3.23 建立create_mysq腳本執(zhí)行完create_mysq腳本后，用戶可以通過在mysql提示符下運(yùn)行sql語句show table來檢驗(yàn)配置的真確性。該用戶顯示數(shù)據(jù)庫(kù)內(nèi)的所有表。圖3.

14、24 執(zhí)行后結(jié)果第六步，必須在appache服務(wù)器主機(jī)上建立acid和snort用戶，并為他們分配相關(guān)權(quán)限和訪問密碼，使acid能正常訪問后臺(tái)數(shù)據(jù)庫(kù)mysql中與snort相關(guān)的數(shù)據(jù)文件：圖3.25 appache服務(wù)器主機(jī)上對(duì)acid和snort設(shè)置最后在瀏覽器中輸入http:/localhost :8080/acid/acid-db-setup.php 出現(xiàn)如下界面：圖3.26 安裝成功界面3.2安裝adodb,jpgraph和acid 將adodb到c:appservphp5目錄下，生成c:appservphp5adodb目錄，再將jpgraph復(fù)制c:appservphp5目錄下，生成

15、c:appservphp5jpgraph目錄，將acid 生成目錄放到c:appservwww目錄下，生成c:appservwwwacid目錄。圖3.27 生成c:appservphp5adodb目錄圖3.28 生成c:appservphp5jpgraph目錄圖3.29 生成c:appservwwwacid目錄接下來修改c:appservwwwacid中的 acid-conf.php文件，如下： 圖3.30 修改acid-conf.php文件設(shè)定密碼：圖3.31 設(shè)定密碼成功。3.3.配置snort修改c：snortetcsnort.conf 主要改絕對(duì)路徑：修改前：修改后：然后還需要修改引用路徑：并設(shè)置snort輸出alert到mysqlserver：phpmyadmin測(cè)試在瀏覽器中輸入http:/localhost:8080/phpmyadmin/index.php出現(xiàn)圖3.32 登陸界面使用預(yù)設(shè)的3個(gè)用戶名（acid root snort ）和密碼登陸即可命令執(zhí)行界面測(cè)試進(jìn)入界面圖3.33 進(jìn)入界面18.添加規(guī)則庫(kù)解壓縮snortrules-snapshot-current.tar.g