網(wǎng)絡(luò)入侵與入侵檢測

網(wǎng)絡(luò)入侵與入侵檢測第一頁，共一百零八頁，編輯于2023年，星期三1第9章入侵檢測系統(tǒng)本章要點基本的入侵檢測知識入侵檢測的基本原理和重要技術(shù)幾種流行的入侵檢測產(chǎn)品第二頁，共一百零八頁，編輯于2023年，星期三2入侵檢測系統(tǒng)是什么入侵檢測系統(tǒng)（Intrusion-detectionsystem，下稱“IDS”）是一種對網(wǎng)絡(luò)傳輸進(jìn)行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處在于，IDS是一種積極主動的安全防護(hù)技術(shù)。入侵檢測作為動態(tài)安全技術(shù)的核心技術(shù)之一，是防火墻的合理補(bǔ)充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進(jìn)攻識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性，是安全防御體系的一個重要組成部分。第三頁，共一百零八頁，編輯于2023年，星期三3理解入侵檢測系統(tǒng)(IDS)監(jiān)控室=控制中心后門保安=防火墻攝像機(jī)=探測引擎CardKey第四頁，共一百零八頁，編輯于2023年，星期三49.1入侵檢測概述首先，入侵者可以找到防火墻的漏洞，繞過防火墻進(jìn)行攻擊。其次，防火墻對來自內(nèi)部的攻擊無能為力。它所提供的服務(wù)方式是要么都拒絕，要么都通過，不能檢查出經(jīng)過它的合法流量中是否包含著惡意的入侵代碼，這是遠(yuǎn)遠(yuǎn)不能滿足用戶復(fù)雜的應(yīng)用要求的。入侵檢測技術(shù)正是根據(jù)網(wǎng)絡(luò)攻擊行為而進(jìn)行設(shè)計的，它不僅能夠發(fā)現(xiàn)已知入侵行為，而且有能力發(fā)現(xiàn)未知的入侵行為，并可以通過學(xué)習(xí)和分析入侵手段，及時地調(diào)整系統(tǒng)策略以加強(qiáng)系統(tǒng)的安全性。第五頁，共一百零八頁，編輯于2023年，星期三59.1.1入侵檢測概念1.入侵檢測與P2DR模型P2DR是Policy(安全策略)、Protection(防護(hù))、Detection(檢測)、Response(響應(yīng))的縮寫。其體系框架如圖6-1所示。其中各部分的含義如下。1) 安全策略(Policy)2) 防護(hù)(Protection)3) 檢測(Detection)4) 響應(yīng)(Response)第六頁，共一百零八頁，編輯于2023年，星期三69.1.1入侵檢測概念2.入侵檢測的作用入侵檢測技術(shù)是通過對計算機(jī)網(wǎng)絡(luò)和主機(jī)系統(tǒng)中的關(guān)鍵信息進(jìn)行實時采集和分析，從而判斷出非法用戶入侵和合法用戶濫用資源的行為，并做出適當(dāng)反應(yīng)的網(wǎng)絡(luò)安全技術(shù)。它在傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)上，實現(xiàn)了檢測與反應(yīng)，起主動防御的作用。這使得對網(wǎng)絡(luò)安全事故的處理，由原來的事后發(fā)現(xiàn)發(fā)展到了事前報警、自動響應(yīng)，并可以為追究入侵者的法律責(zé)任提供有效證據(jù)。第七頁，共一百零八頁，編輯于2023年，星期三79.1.1入侵檢測概念3.入侵檢測的概念入侵檢測是指“通過對行為、安全日志或?qū)徲嫈?shù)據(jù)或其他網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測到對系統(tǒng)的闖入或闖入的企圖”(參見國標(biāo)GB/T18336)。入侵檢測系統(tǒng)的作用如圖6-2所示。第八頁，共一百零八頁，編輯于2023年，星期三89.1.1入侵檢測概念4.入侵檢測系統(tǒng)的發(fā)展歷史1980年4月，JamesAnderson為美國空軍作了一份題為ComputerSecurityThreatMonitoringandSurveillance(計算機(jī)安全威脅監(jiān)控與監(jiān)視)的技術(shù)報告，這份報告被公認(rèn)為入侵檢測技術(shù)的開山鼻祖。1987年，喬治敦大學(xué)的DorothyDenning提出了第一個實時入侵檢測系統(tǒng)模型，取名為IDES。1988年的Morris蠕蟲事件發(fā)生之后，網(wǎng)絡(luò)安全才真正引起了軍方、學(xué)術(shù)界和企業(yè)的高度重視。1990年是入侵檢測系統(tǒng)發(fā)展史上的一個分水嶺，在這之前，所有的入侵檢測系統(tǒng)都是基于主機(jī)的，他們對于活動的檢查局限于操作系統(tǒng)審計蹤跡數(shù)據(jù)及其他以主機(jī)為中心的數(shù)據(jù)源。從20世紀(jì)90年代至今，對入侵檢測系統(tǒng)的研發(fā)工作已呈現(xiàn)出百家爭鳴的繁榮局面，并在智能化和分布式兩個方向取得了長足的進(jìn)展。第九頁，共一百零八頁，編輯于2023年，星期三99.1.2入侵檢測功能入侵檢測的主要功能包括以下幾個方面。對網(wǎng)絡(luò)流量的跟蹤與分析功能。對已知攻擊特征的識別功能。對異常行為的分析、統(tǒng)計與響應(yīng)功能。特征庫的在線和離線升級功能。數(shù)據(jù)文件的完整性檢查功能。自定義的響應(yīng)功能。系統(tǒng)漏洞的預(yù)報警功能。IDS探測器集中管理功能。第十頁，共一百零八頁，編輯于2023年，星期三109.1.2入侵檢測功能其工作原理如下:(1) 信息收集信息的來源一般來自以下四個方面。系統(tǒng)和網(wǎng)絡(luò)日志文件。目錄和文件中的不期望的改變。程序執(zhí)行中的不期望行為。物理形式的入侵信息。(2) 信息分析(3) 響應(yīng)第十一頁，共一百零八頁，編輯于2023年，星期三119.1.3入侵檢測系統(tǒng)分類1.根據(jù)數(shù)據(jù)來源和系統(tǒng)結(jié)構(gòu)分類1) 基于主機(jī)的入侵檢測系統(tǒng)HIDS2) 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)NIDS3) 分布式入侵檢測系統(tǒng)DIDS第十二頁，共一百零八頁，編輯于2023年，星期三12基于主機(jī)的入侵檢測系統(tǒng)（HIDS）主要用于保護(hù)運行關(guān)鍵應(yīng)用的服務(wù)器。它通過監(jiān)視與分析主機(jī)的審計記錄和日志文件來監(jiān)測入侵。除了對審計記錄和日志文件的監(jiān)測外，還有對特定端口、檢驗系統(tǒng)文件和數(shù)據(jù)文件的校驗和。第十三頁，共一百零八頁，編輯于2023年，星期三13優(yōu)點：能確定攻擊是否成功。監(jiān)控粒度更細(xì)。配置靈活。用于加密的以及交換的環(huán)境。對網(wǎng)絡(luò)流量不敏感。不需要額外的硬件。缺點：它會占用主機(jī)的資源，在服務(wù)器上產(chǎn)生額外的負(fù)載。缺乏平臺支持，可移植性差，因而應(yīng)用范圍受到嚴(yán)重限制?；谥鳈C(jī)的入侵檢測系統(tǒng)（HIDS）第十四頁，共一百零八頁，編輯于2023年，星期三14基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS）主要用于實時監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息，它偵聽網(wǎng)絡(luò)上的所有分組來采集數(shù)據(jù)，分析可疑現(xiàn)象。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)使用原始網(wǎng)絡(luò)包作為數(shù)據(jù)源?；诰W(wǎng)絡(luò)的IDS通常利用一個運行在混雜模式下的網(wǎng)卡來實時監(jiān)控并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)。第十五頁，共一百零八頁，編輯于2023年，星期三15基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS）優(yōu)點:監(jiān)測速度快。隱蔽性好。視野更寬。較少的監(jiān)測器。攻擊者不易轉(zhuǎn)移證據(jù)。操作系統(tǒng)無關(guān)性?？梢耘渲迷趯Ｓ玫臋C(jī)器上，不會占用被保護(hù)的設(shè)備上的任何資源。缺點：只能監(jiān)視本網(wǎng)段的活動，精確度不高。在交換環(huán)境下難以配置。防入侵欺騙的能力較差。難以定位入侵者。第十六頁，共一百零八頁，編輯于2023年，星期三16分布式表現(xiàn)在兩個方面：首先數(shù)據(jù)包過濾的工作由分布在各網(wǎng)絡(luò)設(shè)備（包括聯(lián)網(wǎng)主機(jī)）上的探測代理完成；其次探測代理認(rèn)為可疑的數(shù)據(jù)包將根據(jù)其類型交給專用的分析層設(shè)備處理，這樣對網(wǎng)絡(luò)信息進(jìn)行分流，既提高了檢測速度，解決了檢測效率問題，又增加了DIDS本身抗擊拒絕服務(wù)攻擊的能力。分布式入侵檢測系統(tǒng)（DIDS）第十七頁，共一百零八頁，編輯于2023年，星期三179.1.3入侵檢測系統(tǒng)分類2.根據(jù)檢測方法分類1) 誤用檢測模型(MisuseDetection)2) 異常檢測模型(AnomalyDetection)3.根據(jù)系統(tǒng)各個模塊運行的分布方式分類1) 集中式入侵檢測系統(tǒng)2) 分布式入侵檢測系統(tǒng)第十八頁，共一百零八頁，編輯于2023年，星期三189.2入侵檢測技術(shù)本節(jié)介紹誤用檢測、異常檢測和高級檢測技術(shù)。在介紹入侵檢測技術(shù)的同時，也將對入侵響應(yīng)技術(shù)進(jìn)行介紹。第十九頁，共一百零八頁，編輯于2023年，星期三199.2.1誤用檢測技術(shù)誤用檢測對于系統(tǒng)事件提出的問題是：這個活動是惡意的嗎？誤用檢測涉及對入侵指示器已知的具體行為的描述信息，然后為這些指示器過濾事件數(shù)據(jù)。其模型如圖所示。第二十頁，共一百零八頁，編輯于2023年，星期三209.2.1誤用檢測技術(shù)基于規(guī)則的專家系統(tǒng)專家系統(tǒng)是誤用檢測技術(shù)中運用最多的一種方法.用專家系統(tǒng)對入侵進(jìn)行檢測,經(jīng)常是針對有特征的入侵行為.所謂的規(guī)則,即是知識,不同的系統(tǒng)與設(shè)置具有不同的規(guī)則,將有關(guān)入侵的知識轉(zhuǎn)化為if-then結(jié)構(gòu),if部分為入侵特征,then部分是系統(tǒng)防范措施.當(dāng)其中某個或某部分條件滿足時,系統(tǒng)就會判斷為入侵行為發(fā)生.運用專家系統(tǒng)防范入侵行為的有效性完全取決于專家系統(tǒng)知識庫的完備性,而建立一個完備性的知識庫對于一個大型網(wǎng)絡(luò)系統(tǒng)往往是很難的.第二十一頁，共一百零八頁，編輯于2023年，星期三219.2.1誤用檢測技術(shù)2.模式匹配系統(tǒng)模式匹配首先根據(jù)已知的入侵定義由獨立的事件、事件的序列、事件臨界值等通用規(guī)則組成入侵模式，然后觀察能與入侵模式相匹配的事件數(shù)據(jù)，達(dá)到發(fā)現(xiàn)入侵的目的。該過程可以很簡單（如通過字符串匹配以尋找一個簡單的條目或指令），也可以很復(fù)雜（如利用正規(guī)的數(shù)學(xué)表達(dá)式來表示安全狀態(tài)的變化）。該技術(shù)的缺點是需要不斷升級以對付不斷出現(xiàn)的黑客攻擊手法,且不能監(jiān)測到從未出現(xiàn)過的黑客攻擊手段.著名的開源的snort就是采用了這種檢測手段.第二十二頁，共一百零八頁，編輯于2023年，星期三229.2.1誤用檢測技術(shù)3.狀態(tài)轉(zhuǎn)換分析系統(tǒng)狀態(tài)轉(zhuǎn)換圖是貫穿模型的圖形化表示。如圖所示第二十三頁，共一百零八頁，編輯于2023年，星期三239.2.2異常檢測技術(shù)基于異常的入侵檢測方法主要來源于這樣的思想：任何人的正常行為都有一定的規(guī)律，并且可以通過分析這些行為產(chǎn)生的日志信息總結(jié)出這些規(guī)律，而入侵行為通常和正常的行為存在嚴(yán)重的差異，通過檢查出這些差異就可以檢測出這些入侵。異常檢測模型如圖6-8所示。第二十四頁，共一百零八頁，編輯于2023年，星期三249.2.2異常檢測技術(shù)1.基于統(tǒng)計的異常入侵檢測1) 操作模型2) 方差模型3) 多元模型馬爾柯夫過程模型2.基于神經(jīng)網(wǎng)絡(luò)的入侵檢測第二十五頁，共一百零八頁，編輯于2023年，星期三259.2.3高級檢測技術(shù)它們不一定是檢測入侵的方法，有的是為解決入侵檢測其他方面的問題提出的。1.免疫系統(tǒng)方法2.遺傳算法3.數(shù)據(jù)挖掘方法4.數(shù)據(jù)融合第二十六頁，共一百零八頁，編輯于2023年，星期三269.2.4入侵誘騙技術(shù)1.概念2.蜜罐技術(shù)及其基本原理1) 單機(jī)蜜罐系統(tǒng)2) 蜜網(wǎng)系統(tǒng)3.分布式入侵誘騙4.虛擬入侵誘騙第二十七頁，共一百零八頁，編輯于2023年，星期三279.2.5入侵響應(yīng)技術(shù)當(dāng)IDS分析出入侵行為或可疑現(xiàn)象后，系統(tǒng)需要采取相應(yīng)手段，及時做出反應(yīng)，將入侵造成的損失降到最低程度。一般可以通過生成事件報警、電子郵件或短信息來通知管理員。1.入侵響應(yīng)的重要性2.入侵響應(yīng)系統(tǒng)的分類1) 通知和警報響應(yīng)系統(tǒng)2) 人工手動響應(yīng)系統(tǒng)3) 自動響應(yīng)系統(tǒng)第二十八頁，共一百零八頁，編輯于2023年，星期三289.2.5入侵響應(yīng)技術(shù)自動響應(yīng)系統(tǒng)結(jié)構(gòu)如下圖所示。第二十九頁，共一百零八頁，編輯于2023年，星期三299.2.5入侵響應(yīng)技術(shù)3.入侵響應(yīng)方式1) 主動響應(yīng)方式(1) 針對入侵行為采取必要措施(2) 重新修正配置系統(tǒng)(3) 設(shè)計網(wǎng)絡(luò)陷阱以收集更為詳盡的信息2) 被動響應(yīng)方式(1) 警報和通知第三十頁，共一百零八頁，編輯于2023年，星期三309.3入侵檢測分析入侵檢測技術(shù)是一種當(dāng)今非常重要的動態(tài)安全技術(shù)，如果與傳統(tǒng)的靜態(tài)安全技術(shù)共同使用，可以大大提高系統(tǒng)的安全防護(hù)水平。本節(jié)將介紹入侵檢測的特點、缺點及其和防火墻的比較。第三十一頁，共一百零八頁，編輯于2023年，星期三319.3.1入侵檢測特點分析在人很少干預(yù)的情況下，能連續(xù)運行。當(dāng)系統(tǒng)由于事故或惡意攻擊而崩潰時，具有容錯能力。當(dāng)系統(tǒng)重新啟動時，入侵檢測系統(tǒng)能自動恢復(fù)自己的狀態(tài)。必須能抗攻擊。入侵檢測系統(tǒng)必須能監(jiān)測自己的運行，檢測自身是否被修改。運行時，盡可能少地占用系統(tǒng)資源，以免干擾系統(tǒng)的正常運行。對被監(jiān)控系統(tǒng)的安全策略，可以進(jìn)行配置。必須能適應(yīng)系統(tǒng)和用戶行為的變化。如增加新的應(yīng)用，或改變用戶應(yīng)用。當(dāng)要實時監(jiān)控大量主機(jī)時，系統(tǒng)應(yīng)能進(jìn)行擴(kuò)展。入侵檢測系統(tǒng)一些部件因為某些原因停止工作時，應(yīng)盡量減少對其他部分的影響。系統(tǒng)應(yīng)能允許動態(tài)配置。當(dāng)系統(tǒng)管理員修改配置時，不需要重新啟動系統(tǒng)。第三十二頁，共一百零八頁，編輯于2023年，星期三329.3.2入侵檢測與防火墻1.防火墻的局限 防火墻作為訪問控制設(shè)備，無法檢測或攔截嵌入到普通流量中的惡意攻擊代碼，比如針對Web服務(wù)的注入攻擊等。防火墻無法發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)中的攻擊行為。2.入侵檢測系統(tǒng)與防火墻的關(guān)系入侵檢測系統(tǒng)(IntrusionDetectionSystem)是對防火墻有益的補(bǔ)充，入侵檢測系統(tǒng)被認(rèn)為是防火墻之后的第二道安全閘門，對網(wǎng)絡(luò)進(jìn)行檢測，提供對內(nèi)部攻擊、外部攻擊和誤操作的實時監(jiān)控，提供動態(tài)保護(hù)，大大提高了網(wǎng)絡(luò)的安全性。入侵檢測工作的主要特點有以下幾個方面。事前警告事中防護(hù)事后取證第三十三頁，共一百零八頁，編輯于2023年，星期三339.3.3入侵檢測系統(tǒng)的缺陷1.當(dāng)前入侵檢測系統(tǒng)存在的問題和面臨的挑戰(zhàn)1) 對未知攻擊的識別能力差2) 誤警率高2.入侵檢測系統(tǒng)的發(fā)展趨勢1) 分布式入侵檢測2) 智能化入侵檢測3) 網(wǎng)絡(luò)安全技術(shù)相結(jié)合第三十四頁，共一百零八頁，編輯于2023年，星期三349.4常用入侵檢測產(chǎn)品介紹IDS的硬件主要產(chǎn)品第三十五頁，共一百零八頁，編輯于2023年，星期三359.4常用入侵檢測系統(tǒng)9.4.11．綠盟科技“冰之眼”IDS第三十六頁，共一百零八頁，編輯于2023年，星期三362．聯(lián)想網(wǎng)御IDS第三十七頁，共一百零八頁，編輯于2023年，星期三373．瑞星入侵檢測系統(tǒng)RIDS-100第三十八頁，共一百零八頁，編輯于2023年，星期三384．McAfeeIntruShieldIDS第三十九頁，共一百零八頁，編輯于2023年，星期三399.4常用入侵檢測產(chǎn)品介紹IDS的軟件主要產(chǎn)品第四十頁，共一百零八頁，編輯于2023年，星期三409.4常用入侵檢測產(chǎn)品介紹CASessionWallComputerAssociates公司的SessionWall-3，現(xiàn)在常稱為eTrustIntrusionDetection是業(yè)界領(lǐng)先的功能非常強(qiáng)大的基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。1.入侵檢測功能2.會話記錄、攔截功能3.防止網(wǎng)絡(luò)濫用4.活動代碼和病毒防護(hù)5.與其他安全產(chǎn)品集成與配合6.集中管理第四十一頁，共一百零八頁，編輯于2023年，星期三419.4常用入侵檢測系統(tǒng)Snort應(yīng)用一個綜合的Snort系統(tǒng)所需軟件有Windows平臺的Snort、windows版本的抓包驅(qū)動WinPcap、windows版本的數(shù)據(jù)庫服務(wù)器mysql、基于PHP的入侵檢測數(shù)據(jù)庫分析控制臺ACID、用于為php服務(wù)的活動數(shù)據(jù)對象數(shù)據(jù)庫adodb（Active2DataObjectsDataBaseforPHP）、Windows版本的apacheWEB服務(wù)器apache2、Windows版本的PHP腳本環(huán)境、支持php的圖形庫jpgraph等第四十二頁，共一百零八頁，編輯于2023年，星期三42winpcapsnortMysqlAdobeApachePHPacid網(wǎng)絡(luò)jpgraph第四十三頁，共一百零八頁，編輯于2023年，星期三43上述軟件可根據(jù)下列次序依次安裝配置1.安裝apache指定安裝目錄c:\ids\apache,下載apache，下載網(wǎng)址/httpd/binaries/win32/，運行下載好的“apache_2.0.63-win32-x86-no_ssl.msi”第四十四頁，共一百零八頁，編輯于2023年，星期三44第四十五頁，共一百零八頁，編輯于2023年，星期三45第四十六頁，共一百零八頁，編輯于2023年，星期三46第四十七頁，共一百零八頁，編輯于2023年，星期三47第四十八頁，共一百零八頁，編輯于2023年，星期三48第四十九頁，共一百零八頁，編輯于2023年，星期三49第五十頁，共一百零八頁，編輯于2023年，星期三50第五十一頁，共一百零八頁，編輯于2023年，星期三51第五十二頁，共一百零八頁，編輯于2023年，星期三52第五十三頁，共一百零八頁，編輯于2023年，星期三53第五十四頁，共一百零八頁，編輯于2023年，星期三54第五十五頁，共一百零八頁，編輯于2023年，星期三55安裝完成后，需測試按默認(rèn)配置運行的網(wǎng)站界面，看Apache是否安裝成功。打開IE瀏覽器，在IE地址欄打確認(rèn)，如看到圖9-21所示頁面，表示Apache服務(wù)器已安裝成功。第五十六頁，共一百零八頁，編輯于2023年，星期三56第五十七頁，共一百零八頁，編輯于2023年，星期三57Apache服務(wù)器安裝成功后，還需配置Apache服務(wù)器，如果不配置，安裝目錄下的Apache2\htdocs文件夾就是網(wǎng)站的默認(rèn)根目錄，在里面放入文件就可以了。這里還是看一下配置過程。如圖9-22所示，單擊“開始”→“所有程序”→“ApacheHTTPServer2.0”→“ConfigureApacheServer”→“EdittheApachehttpdconfConfigurationfile”，打開配置文件第五十八頁，共一百零八頁，編輯于2023年，星期三58Apache配置文件網(wǎng)站根目錄配置第五十九頁，共一百零八頁，編輯于2023年，星期三592、安裝php下載php，下載網(wǎng)址/downloads.php，將下載的php安裝文件php-5.2.8-Win32.zip右鍵解壓縮第六十頁，共一百零八頁，編輯于2023年，星期三60查看解壓縮后的文件夾C:\ids\PHP，找到“php.ini-dist”文件，將其重命名為“php.ini”，打開編輯第六十一頁，共一百零八頁，編輯于2023年，星期三61第六十二頁，共一百零八頁，編輯于2023年，星期三62需要說明的是，要選擇加載的模塊，需去掉前面的“;”，功能就是使php能夠直接調(diào)用其模塊，比如訪問mysql，去掉“;extension=php_mysql.dll”前的“;”，就表示要加載此模塊，加載的越多，占用的資源也就越多。所有的模塊文件都放在php解壓縮目錄的“ext”之下，前面的“;”沒去掉的，是因為“ext”目錄下默認(rèn)沒有此模塊，加載會提示找不到文件而出錯。比如在此還沒有安裝mysql，所以“;extension=php_mysql.dll”前的“;”還不能去掉，安裝完mysql后再加來重新配置“php.ini”文件第六十三頁，共一百零八頁，編輯于2023年，星期三63如果前面配置加載了其它模塊，要指明模塊的位置，否則重啟Apache的時候會提示“找不到指定模塊”的錯誤。簡單的方法是，直接將php安裝路徑、以及php安裝路徑下ext路徑指定到windows系統(tǒng)路徑中。在“我的電腦”上單擊右鍵，打開對話框“屬性”，選擇“高級”標(biāo)簽，單擊【環(huán)境變量】，在“系統(tǒng)變量”下找到“Path”變量，選擇，點擊“編輯”，打開編輯系統(tǒng)變量對話框，將“c:\ids\PHP;c:\ids\PHP\ext”加到原有值的后面，如圖9-29所示，全部確定。系統(tǒng)路徑添加好后要重啟電腦才能生效，可以現(xiàn)在重啟，也可以在所有軟件安裝或配置好后重啟。第六十四頁，共一百零八頁，編輯于2023年，星期三643．將php以module方式與Apache相結(jié)合安裝php后，將php以module方式與Apache相結(jié)合，使php融入Apache，依前面講述的方法打開Apache的配置文件，查找“LoadModule”，在找到的“LoadModule”后面添加“LoadModulephp5_modulec:/ids/PHP/php5apache2.dll”,指以module方式加載php，添加“PHPIniDir"c:/ids/PHP"”是指明php的配置文件php.ini的位置第六十五頁，共一百零八頁，編輯于2023年，星期三65第六十六頁，共一百零八頁，編輯于2023年，星期三66

測試結(jié)合是否成功。在C:\ids\Apache\Apache2\htdocs文件夾下編寫test.php文件，內(nèi)容為<?php

phpinfo();

?>。打開瀏覽器輸入http://lcoalhsot/test.php，如果瀏覽到了php的信息則說明一切正常第六十七頁，共一百零八頁，編輯于2023年，星期三67第六十八頁，共一百零八頁，編輯于2023年，星期三684．安裝winpcap在瀏覽器中輸入/install/bin/WinPcap_4_0_2.exe，下載WinPcap_4_0_2.exe文件。雙擊開始安裝界面安裝完后，采取默認(rèn)值即可。第六十九頁，共一百零八頁，編輯于2023年，星期三695．安裝snort下載“Snort_2_8_3_1_Installer.exe”文件，下載網(wǎng)址為/dl/binaries/win32。雙擊“Snort_2_8_3_1_Installer.exe”，打開snort認(rèn)證許可界面，指定安裝路徑為c:\ids\snort文件夾第七十頁，共一百零八頁，編輯于2023年，星期三70第七十一頁，共一百零八頁，編輯于2023年，星期三71圖9-42snort安裝成功界面測試snort安裝是否正確。運行“cmd“命令，打開cmd窗口，進(jìn)入C:\ids\snort\snort\bin路徑，執(zhí)行“snort.exe

–W”命令，如果安裝snort成功會出現(xiàn)一個可愛的小豬第七十二頁，共一百零八頁，編輯于2023年，星期三72第七十三頁，共一百零八頁，編輯于2023年，星期三736．安裝mysql在網(wǎng)站/Downloads可下載mysql，在此下載的mysql指定路徑為“mysql-5.0.22-win32.zip”，打開下載的mysql安裝文件“mysql-5.0.22-win32.zip”，雙擊解壓縮，運行“setup.exe”第七十四頁，共一百零八頁，編輯于2023年，星期三74第七十五頁，共一百零八頁，編輯于2023年，星期三75第七十六頁，共一百零八頁，編輯于2023年，星期三76第七十七頁，共一百零八頁，編輯于2023年，星期三77第七十八頁，共一百零八頁，編輯于2023年，星期三78第七十九頁，共一百零八頁，編輯于2023年，星期三79第八十頁，共一百零八頁，編輯于2023年，星期三80第八十一頁，共一百零八頁，編輯于2023年，星期三81軟件安裝完成后，出現(xiàn)上界面，它提供了一個很好的功能，mysql配置向?qū)?，不用自己手動配置my.ini，這為很多非專業(yè)人士提供了方便。將“ConfiguretheMysqlServernow”勾選，點【Finish】結(jié)束軟件的安裝同時啟動mysql配置向?qū)У诎耸?，共一百零八頁，編輯?023年，星期三82第八十三頁，共一百零八頁，編輯于2023年，星期三83第八十四頁，共一百零八頁，編輯于2023年，星期三84第八十五頁，共一百零八頁，編輯于2023年，星期三85第八十六頁，共一百零八頁，編輯于2023年，星期三86第八十七頁，共一百零八頁，編輯于2023年，星期三87第八十八頁，共一百零八頁，編輯于2023年，星期三88第八十九頁，共一百零八頁，編輯于2023年，星期三89第九十頁，共一百零八頁，編輯于2023年，星期三90第九十一頁，共一百零八頁，編輯于2023年，星期三91第九十二頁，共一百零八頁，編輯于2023年，星期三92第九十三頁，共一百零八頁，編輯于2023年，星期三93第九十四頁，共一百零八頁，編輯于2023年，星期三94設(shè)置完畢后，會有圖9-62界面出現(xiàn)，按【Finish】結(jié)束mysql的安裝與配置。如果不能“Startservice”，先檢查以前安裝的mysql服務(wù)器是否徹底卸掉；如果確信在本次數(shù)據(jù)庫安裝前，上一次安裝的數(shù)據(jù)庫已卸載，再檢查之前的密碼是否有修改，如果依然有問題，將mysql安裝目錄下的data文件夾備份，然后徹底刪除數(shù)據(jù)庫，重新安裝，重新安裝后將安裝生成的data文件夾刪除，備份的data文件夾移回來，再重啟mysql服務(wù)。第九十五頁，共一百零八頁，編輯于2023年，星期三957．與Apache及php相結(jié)合前面已講過，Apache與php的結(jié)合，mysql與Apache及php相結(jié)合，基本是相似的。在php安裝目錄下，找到先前重命名并編輯過的php.ini，把“;extension=php_mysql.dll”前的“;”去掉，加載mysql模塊。保存，關(guān)閉。第九十六頁，共一百零八頁，編輯于2023年，星期三968．創(chuàng)建snort數(shù)據(jù)庫的表復(fù)制c:\ids\snort\schames文件夾下的create_mysql文件到c:\ids\mysql\bin文件夾下。執(zhí)行“開始”→“程序”→“MySQL”→“MySQLServer5.0”→“MySQLCommmandLineClient”，打開mysql的客戶端圖9-63打開mysql的客戶端執(zhí)行如下命令：Create

database

snort;Create

database

snort_archive;Use

snort;Source

create_mysql;Use

snort_archive;Source

create_mysql;Grant

all

on

*.*

to

“root”@”localhost”第九十七頁，共一百零八頁，編輯于2023年，星期三979.安裝adodb下載

adodb504.gz，在瀏覽器地址中輸入/sourceforge/adodb/adodb504.tgz即可提示下載，把下載的adodb504.gz解壓縮到C:\ids\PHP\adodb5文件夾下。第九十八頁，共一百零八頁，編輯于2023年，星期三98

10．安裝jgraph下載jpgraph，下載地址http://www.aditus.nu/jpgraph/jpdownload.php，解壓縮jpgraph到c:\ids\PHP\jpgraph文件夾下。第九十九頁，共一百零八頁，編輯于2023年，星期三9911．安裝acid下載acid，下載地址/，解壓縮acid到C:\ids\PHP\jpgraph-1.26文件夾下。在C:\ids\Apache\Apache2\htdocs\acid目錄下，打