入侵检测课程设计1

1、 甘肃政法学院入侵检测课程设计题 目：snort入侵检测系统 学 号： 姓 名： 指导教师： 成 绩：_摘要：本文使用抓包库winpcap，入侵探测器snort，web服务器apache，数据库mysql，入侵数据分析控制台acid构建了windows平台下基于snort的网络入侵系统。snort对监控网络中的数据包进行规则匹配，检测入侵行为，并将日志保存至mysql数据库，acid分析数据库数据，生成网络入侵事件日志图表。关键词：入侵检测系统；网络安全；snort基于windows平台的snort入侵检测系统研究与实现引言 随着计算机网络的迅猛发展, 网络安全问题日益严重。防火墙作为主要的安

2、全防范手段, 在很多方面存在弱点, 而入侵检测系统能够提供了对内部、外部攻击和误操作的实时保护, 它能够自动的监控网络的数据流, 迅速发现攻击, 对可疑的事件给予检测和响应。因此, 入侵检测系统愈来愈多的受到人们的关注, 并已经开始在各种不同的环境中发挥重要的作用。 目前市面上充斥着大量的入侵检测系统产品。但是它们大多比较杂, 比较难以掌握, 而且比较昂贵。我们可以通过网络上的开源软件来自己构建一个入侵检测系统。第一章 入侵检测系统简介入侵检测是对系统运行状态进行监视，发现各种攻击企图和行为或者攻击结果，以保证系统资源的机密性、完整性和可用性。入侵检测系统( int rusion detect

3、 ion sy stem, 简称ids)根据检测数据来源分为：基于主机的入侵检测系统从单个主机上提取数据（如审计数据等）作为入侵检测分析的数据源；基于网络的入侵检测系统从网络上提取数据（如网络链路层的数据帧）作为入侵分析的数据源。入侵检测系统按检测方法分为：异常入侵检测根据异常行为和计算机资源情况检测入侵，并试图用定量方式描述可接受的行为特征，以区分正常的、潜在的入侵行为；误用入侵检测指用已知系统和应用软件的弱点攻击模式来检测入侵行为。目前入侵检测技术存在：现有ids 误报警率偏高，很难确定真正的入侵行为；事件响应与恢复机制不完善，不适当的自动响应机制存在很大的安全风险；ids 缺乏国际统一标

4、准，缺乏统一的入侵检测术语和概念框架；ids 本身正在发展和变化，远未成熟，还存在对入侵检测系统自身的攻击；缺少对检测结果作进一步说明和分析的辅助工具，日益增长的网络流量导致检测分析难度加大。第二章 snort 入侵检测系统的构建2 snort原理2.1 入侵检测系统简介 入侵检测系统通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。2.2 入侵检测系统的分类入侵检测系统可分为主机型和网

5、络型主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源，当然也可以通过其他手段（如监督系统调用）从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。 网络型入侵检测系统的数据源则是网络上的数据包。往往将一台机子的网卡设于混杂模式（promiscmode）,监听所有本网段内的数据包并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。2.3 入侵检测的实现技术 可分为两类：一种基于标志（signature-based），另一种基于异常情况(anomaly-based)。 对于基于标识的检测技术来说，首先要定义违背安全策略的事件的特征，如网络数据包的某些头信息。检

6、测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。 而基于异常的检测技术则是先定义一组系统“正常”情况的数值，如cpu利用率、内存利用率、文件校验和等，然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。2.4 snort简介 snort是一个免费的、跨平台的软件包，用作监视小型tcp/ip网的嗅探器、日志记录、侵入探测器。 snort有三种主要模式：信息包嗅探器、信息包记录器或成熟的侵入探测系统。 实验中涉及较多mysql数据库服务器以及snort规则的配置。其中mysql数据库的配置要在window

7、s命令行方式下进行。默认的用户名为root,无密码。连接命令如下：mysqlh 主机地址u 用户名p 用户密码可通过数据库管理命令创建、使用、删除数据库，以及创建、使用、删除表。 snort的配置及使用也需在windows命令行中进行。要启动snort需要指定配置文件和日志文件；配置文件包含了监测规则、内外网ip范围等。第三章 window下的集成安装3.1 安装snort和wincap包3.1.1安装appserv图3.0 安装界面 在server name中输入域名localhost：administrator's email address 中输入邮箱地址：yw19890809监

8、听端口设为8080。图3.1 监听端口界面设置点击next，进入下一界面：在出现的界面中输入密码(enter root password):"character sets and collations"选择"gb 2312simplified chese",下图所示3.2：图3.2 mysql密码设置然后单击"install",进入安装过程，出现下图：图3.3 appserv安装完成安装完成后将c:appservphp5目录下的php.ini-dist 文件改名为php.ini，并启动apache和mysql。图3.4 php.ini

9、-dist 文件在服务器观看是否apache和mysql启动（控制面板管理服务 确保apache和mysql已启动）。如下图3.5：图3.5 apache和mysql启动安装完成后可以查看（mysql启动如下图）图3.6 查看mysql启动在浏览器中输入http:/localhost :8080 出现：图3.7 appserv安装图表示安装成功！（2）测试appserv首先查看"控制面板"/"管理"/"服务",确保apache和mysql已经启动，然后，在浏览器中输入http:/localhost :8080/phpinfo.php,

10、（下图）图3.8 appserv安装图可以了解php的一些信息。最后打开浏览器，输入http:/localhost :8080/phpmyadmin/index.php,（下图）输入用户名root和密码，可以浏览数据库内容图3.9 数据库登录界面图3.10 数据库界面3.1.2配置appserv第一步编辑apache服务器配置文件。打开apache2.2conf文件中的httpd.conf,检查相应的一些值图3.11 打开httpd.conf文件第二步编辑phpmyadmin中的关键文件。打开c:appservwwwphpmyadminlibraries目录下的config.default.p

11、hp文件作如下修改：（1） 搜索$cfg'bloefish_secret'，设定好密码后在这里也要填写，如root密码'123',则设置为$cfg'bloefish_secret'='123'；图3.12打开httpd.conf文件（2） 搜索$cfg'defaultlang'，将其设置为zh-gb2312；图3.13 设置$cfg'defaultlang'（3） 搜索$cfg'defaultcharset'，将其设置为gb2312；图3.14 设置defaultcharset（4）

12、 搜索$cfg'servers'$i'auth_type'，默认config是不安全的，推荐使用cookie，将其设置为$cfg'servers'$i'auth_type'=cookie。图3.15 servers设置假如要设置为config的话，要设置用户和密码。如下图图3.16 user设置图3.17 password设置第三步配置php.ini。打开c:windows|php.ini文件,找到：open_basedir=;做一下修改;图3.18 php.ini文件修改第四步，mysql进行修改。首先需要建立snort运行必需

13、的snort 库和snort_archive库图3.19 建立snort库图3.20 snort_archive库接下来修改c:、snortschemas下的create_mysql文件，修改如下：修改前：图3.21 create_mysq修改前修改后：图3.22 create_mysq修改后第五步，使用c:snortschemas目录下的create_mysql脚本建立snort运行必需的数据表。图3.23 建立create_mysq脚本执行完create_mysq脚本后，用户可以通过在mysql提示符下运行sql语句show table来检验配置的真确性。该用户显示数据库内的所有表。图3.

14、24 执行后结果第六步，必须在appache服务器主机上建立acid和snort用户，并为他们分配相关权限和访问密码，使acid能正常访问后台数据库mysql中与snort相关的数据文件：图3.25 appache服务器主机上对acid和snort设置最后在浏览器中输入http:/localhost :8080/acid/acid-db-setup.php 出现如下界面：图3.26 安装成功界面3.2安装adodb,jpgraph和acid 将adodb到c:appservphp5目录下，生成c:appservphp5adodb目录，再将jpgraph复制c:appservphp5目录下，生成

15、c:appservphp5jpgraph目录，将acid 生成目录放到c:appservwww目录下，生成c:appservwwwacid目录。图3.27 生成c:appservphp5adodb目录图3.28 生成c:appservphp5jpgraph目录图3.29 生成c:appservwwwacid目录接下来修改c:appservwwwacid中的 acid-conf.php文件，如下： 图3.30 修改acid-conf.php文件设定密码：图3.31 设定密码成功。3.3.配置snort修改c：snortetcsnort.conf 主要改绝对路径：修改前：修改后：然后还需要修改引用路径：并设置snort输出alert到mysqlserver：phpmyadmin测试在浏览器中输入http:/localhost:8080/phpmyadmin/index.php出现图3.32 登陆界面使用预设的3个用户名（acid root snort ）和密码登陆即可命令执行界面测试进入界面图3.33 进入界面18.添加规则库解压缩snortrules-snapshot-current.tar.g