入侵檢測課程設(shè)計1

1、 甘肅政法學(xué)院入侵檢測課程設(shè)計題 目：snort入侵檢測系統(tǒng) 學(xué) 號： 姓 名： 指導(dǎo)教師： 成 績：_摘要：本文使用抓包庫winpcap，入侵探測器snort，web服務(wù)器apache，數(shù)據(jù)庫mysql，入侵?jǐn)?shù)據(jù)分析控制臺acid構(gòu)建了windows平臺下基于snort的網(wǎng)絡(luò)入侵系統(tǒng)。snort對監(jiān)控網(wǎng)絡(luò)中的數(shù)據(jù)包進行規(guī)則匹配，檢測入侵行為，并將日志保存至mysql數(shù)據(jù)庫，acid分析數(shù)據(jù)庫數(shù)據(jù)，生成網(wǎng)絡(luò)入侵事件日志圖表。關(guān)鍵詞：入侵檢測系統(tǒng)；網(wǎng)絡(luò)安全；snort基于windows平臺的snort入侵檢測系統(tǒng)研究與實現(xiàn)引言 隨著計算機網(wǎng)絡(luò)的迅猛發(fā)展, 網(wǎng)絡(luò)安全問題日益嚴(yán)重。防火墻作為主要的安

2、全防范手段, 在很多方面存在弱點, 而入侵檢測系統(tǒng)能夠提供了對內(nèi)部、外部攻擊和誤操作的實時保護, 它能夠自動的監(jiān)控網(wǎng)絡(luò)的數(shù)據(jù)流, 迅速發(fā)現(xiàn)攻擊, 對可疑的事件給予檢測和響應(yīng)。因此, 入侵檢測系統(tǒng)愈來愈多的受到人們的關(guān)注, 并已經(jīng)開始在各種不同的環(huán)境中發(fā)揮重要的作用。 目前市面上充斥著大量的入侵檢測系統(tǒng)產(chǎn)品。但是它們大多比較雜, 比較難以掌握, 而且比較昂貴。我們可以通過網(wǎng)絡(luò)上的開源軟件來自己構(gòu)建一個入侵檢測系統(tǒng)。第一章 入侵檢測系統(tǒng)簡介入侵檢測是對系統(tǒng)運行狀態(tài)進行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖和行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機密性、完整性和可用性。入侵檢測系統(tǒng)( int rusion detect

3、 ion sy stem, 簡稱ids)根據(jù)檢測數(shù)據(jù)來源分為：基于主機的入侵檢測系統(tǒng)從單個主機上提取數(shù)據(jù)（如審計數(shù)據(jù)等）作為入侵檢測分析的數(shù)據(jù)源；基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)從網(wǎng)絡(luò)上提取數(shù)據(jù)（如網(wǎng)絡(luò)鏈路層的數(shù)據(jù)幀）作為入侵分析的數(shù)據(jù)源。入侵檢測系統(tǒng)按檢測方法分為：異常入侵檢測根據(jù)異常行為和計算機資源情況檢測入侵，并試圖用定量方式描述可接受的行為特征，以區(qū)分正常的、潛在的入侵行為；誤用入侵檢測指用已知系統(tǒng)和應(yīng)用軟件的弱點攻擊模式來檢測入侵行為。目前入侵檢測技術(shù)存在：現(xiàn)有ids 誤報警率偏高，很難確定真正的入侵行為；事件響應(yīng)與恢復(fù)機制不完善，不適當(dāng)?shù)淖詣禹憫?yīng)機制存在很大的安全風(fēng)險；ids 缺乏國際統(tǒng)一標(biāo)

4、準(zhǔn)，缺乏統(tǒng)一的入侵檢測術(shù)語和概念框架；ids 本身正在發(fā)展和變化，遠未成熟，還存在對入侵檢測系統(tǒng)自身的攻擊；缺少對檢測結(jié)果作進一步說明和分析的輔助工具，日益增長的網(wǎng)絡(luò)流量導(dǎo)致檢測分析難度加大。第二章 snort 入侵檢測系統(tǒng)的構(gòu)建2 snort原理2.1 入侵檢測系統(tǒng)簡介 入侵檢測系統(tǒng)通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。2.2 入侵檢測系統(tǒng)的分類入侵檢測系統(tǒng)可分為主機型和網(wǎng)

5、絡(luò)型主機型入侵檢測系統(tǒng)往往以系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源，當(dāng)然也可以通過其他手段（如監(jiān)督系統(tǒng)調(diào)用）從所在的主機收集信息進行分析。主機型入侵檢測系統(tǒng)保護的一般是所在的系統(tǒng)。 網(wǎng)絡(luò)型入侵檢測系統(tǒng)的數(shù)據(jù)源則是網(wǎng)絡(luò)上的數(shù)據(jù)包。往往將一臺機子的網(wǎng)卡設(shè)于混雜模式（promiscmode）,監(jiān)聽所有本網(wǎng)段內(nèi)的數(shù)據(jù)包并進行判斷。一般網(wǎng)絡(luò)型入侵檢測系統(tǒng)擔(dān)負(fù)著保護整個網(wǎng)段的任務(wù)。2.3 入侵檢測的實現(xiàn)技術(shù) 可分為兩類：一種基于標(biāo)志（signature-based），另一種基于異常情況(anomaly-based)。 對于基于標(biāo)識的檢測技術(shù)來說，首先要定義違背安全策略的事件的特征，如網(wǎng)絡(luò)數(shù)據(jù)包的某些頭信息。檢

6、測主要判別這類特征是否在所收集到的數(shù)據(jù)中出現(xiàn)。此方法非常類似殺毒軟件。 而基于異常的檢測技術(shù)則是先定義一組系統(tǒng)“正?！鼻闆r的數(shù)值，如cpu利用率、內(nèi)存利用率、文件校驗和等，然后將系統(tǒng)運行時的數(shù)值與所定義的“正?！鼻闆r比較，得出是否有被攻擊的跡象。這種檢測方式的核心在于如何定義所謂的“正常”情況。2.4 snort簡介 snort是一個免費的、跨平臺的軟件包，用作監(jiān)視小型tcp/ip網(wǎng)的嗅探器、日志記錄、侵入探測器。 snort有三種主要模式：信息包嗅探器、信息包記錄器或成熟的侵入探測系統(tǒng)。 實驗中涉及較多mysql數(shù)據(jù)庫服務(wù)器以及snort規(guī)則的配置。其中mysql數(shù)據(jù)庫的配置要在window

7、s命令行方式下進行。默認(rèn)的用戶名為root,無密碼。連接命令如下：mysqlh 主機地址u 用戶名p 用戶密碼可通過數(shù)據(jù)庫管理命令創(chuàng)建、使用、刪除數(shù)據(jù)庫，以及創(chuàng)建、使用、刪除表。 snort的配置及使用也需在windows命令行中進行。要啟動snort需要指定配置文件和日志文件；配置文件包含了監(jiān)測規(guī)則、內(nèi)外網(wǎng)ip范圍等。第三章 window下的集成安裝3.1 安裝snort和wincap包3.1.1安裝appserv圖3.0 安裝界面 在server name中輸入域名localhost：administrator's email address 中輸入郵箱地址：yw19890809監(jiān)

8、聽端口設(shè)為8080。圖3.1 監(jiān)聽端口界面設(shè)置點擊next，進入下一界面：在出現(xiàn)的界面中輸入密碼(enter root password):"character sets and collations"選擇"gb 2312simplified chese",下圖所示3.2：圖3.2 mysql密碼設(shè)置然后單擊"install",進入安裝過程，出現(xiàn)下圖：圖3.3 appserv安裝完成安裝完成后將c:appservphp5目錄下的php.ini-dist 文件改名為php.ini，并啟動apache和mysql。圖3.4 php.ini

9、-dist 文件在服務(wù)器觀看是否apache和mysql啟動（控制面板管理服務(wù) 確保apache和mysql已啟動）。如下圖3.5：圖3.5 apache和mysql啟動安裝完成后可以查看（mysql啟動如下圖）圖3.6 查看mysql啟動在瀏覽器中輸入http:/localhost :8080 出現(xiàn)：圖3.7 appserv安裝圖表示安裝成功！（2）測試appserv首先查看"控制面板"/"管理"/"服務(wù)",確保apache和mysql已經(jīng)啟動，然后，在瀏覽器中輸入http:/localhost :8080/phpinfo.php,

10、（下圖）圖3.8 appserv安裝圖可以了解php的一些信息。最后打開瀏覽器，輸入http:/localhost :8080/phpmyadmin/index.php,（下圖）輸入用戶名root和密碼，可以瀏覽數(shù)據(jù)庫內(nèi)容圖3.9 數(shù)據(jù)庫登錄界面圖3.10 數(shù)據(jù)庫界面3.1.2配置appserv第一步編輯apache服務(wù)器配置文件。打開apache2.2conf文件中的httpd.conf,檢查相應(yīng)的一些值圖3.11 打開httpd.conf文件第二步編輯phpmyadmin中的關(guān)鍵文件。打開c:appservwwwphpmyadminlibraries目錄下的config.default.p

11、hp文件作如下修改：（1） 搜索$cfg'bloefish_secret'，設(shè)定好密碼后在這里也要填寫，如root密碼'123',則設(shè)置為$cfg'bloefish_secret'='123'；圖3.12打開httpd.conf文件（2） 搜索$cfg'defaultlang'，將其設(shè)置為zh-gb2312；圖3.13 設(shè)置$cfg'defaultlang'（3） 搜索$cfg'defaultcharset'，將其設(shè)置為gb2312；圖3.14 設(shè)置defaultcharset（4）

12、 搜索$cfg'servers'$i'auth_type'，默認(rèn)config是不安全的，推薦使用cookie，將其設(shè)置為$cfg'servers'$i'auth_type'=cookie。圖3.15 servers設(shè)置假如要設(shè)置為config的話，要設(shè)置用戶和密碼。如下圖圖3.16 user設(shè)置圖3.17 password設(shè)置第三步配置php.ini。打開c:windows|php.ini文件,找到：open_basedir=;做一下修改;圖3.18 php.ini文件修改第四步，mysql進行修改。首先需要建立snort運行必需

13、的snort 庫和snort_archive庫圖3.19 建立snort庫圖3.20 snort_archive庫接下來修改c:、snortschemas下的create_mysql文件，修改如下：修改前：圖3.21 create_mysq修改前修改后：圖3.22 create_mysq修改后第五步，使用c:snortschemas目錄下的create_mysql腳本建立snort運行必需的數(shù)據(jù)表。圖3.23 建立create_mysq腳本執(zhí)行完create_mysq腳本后，用戶可以通過在mysql提示符下運行sql語句show table來檢驗配置的真確性。該用戶顯示數(shù)據(jù)庫內(nèi)的所有表。圖3.

14、24 執(zhí)行后結(jié)果第六步，必須在appache服務(wù)器主機上建立acid和snort用戶，并為他們分配相關(guān)權(quán)限和訪問密碼，使acid能正常訪問后臺數(shù)據(jù)庫mysql中與snort相關(guān)的數(shù)據(jù)文件：圖3.25 appache服務(wù)器主機上對acid和snort設(shè)置最后在瀏覽器中輸入http:/localhost :8080/acid/acid-db-setup.php 出現(xiàn)如下界面：圖3.26 安裝成功界面3.2安裝adodb,jpgraph和acid 將adodb到c:appservphp5目錄下，生成c:appservphp5adodb目錄，再將jpgraph復(fù)制c:appservphp5目錄下，生成

15、c:appservphp5jpgraph目錄，將acid 生成目錄放到c:appservwww目錄下，生成c:appservwwwacid目錄。圖3.27 生成c:appservphp5adodb目錄圖3.28 生成c:appservphp5jpgraph目錄圖3.29 生成c:appservwwwacid目錄接下來修改c:appservwwwacid中的 acid-conf.php文件，如下： 圖3.30 修改acid-conf.php文件設(shè)定密碼：圖3.31 設(shè)定密碼成功。3.3.配置snort修改c：snortetcsnort.conf 主要改絕對路徑：修改前：修改后：然后還需要修改引用路徑：并設(shè)置snort輸出alert到mysqlserver：phpmyadmin測試在瀏覽器中輸入http:/localhost:8080/phpmyadmin/index.php出現(xiàn)圖3.32 登陸界面使用預(yù)設(shè)的3個用戶名（acid root snort ）和密碼登陸即可命令執(zhí)行界面測試進入界面圖3.33 進入界面18.添加規(guī)則庫解壓縮snortrules-snapshot-current.tar.g