实验三 Snort入侵检测系统部署
- 格式:doc
- 大小:458.00 KB
- 文档页数:9
下载文档原格式
合集下载
部署和管理NIDS
部署和管理NIDS应用场景snort 是一个基于 libpcap 的轻量级网络入侵检测系统。
根据 ,轻量级入侵检测系统是这样定义的:首先它能够方便地安装和配置在网络的任何一个节点上,而且不会对网络运行产生太大的影响,同时轻量级入侵检测系统还应该具有跨系统平台操作,最小的系统要求以及易于部署和配置等特征, 并且管理员能够利用它在短时间内通过修改配置进行实时的安全响应。
Snort 是一个典型的轻量级入侵检测系统,首先可以运行在多种操作系统平台,例如UNIX 系列和Win9X ,Win2000(需要 libpcap for Win32 的支持) ,与很多商业产品相比,它对操作系统的依赖性比较低。
它的分发源码文件压缩包大约只有 100KB ,在一台一般性能的计算机上编译安装时大约只需几分钟的时间,另外配置激活也大约只需要十几分钟的时间,安装以后即便不对它进行维护也能长时间稳定运行。
其次用户可以根据自己的需要及时在短时间内调整检测策略。
就检测攻击的种类来说,据最新的规则包文件 snortrules-stable.tar.gz ,接下来本实验将讲解如何在windows 下安装和配置snort 。
实验目标:1. 了解基本的入侵检测知识2. 学会在windows 下配置snort实验环境虚拟机:Windows XP ,以及snort 等软件实验过程指导1 安装appserv-win32-2.5.10.exe在输入服务器地址的时候填写“localhost ”,端口改为“8080”邮箱任意; 为后续配置方便,此时输入数据库根用户密码为123456VM2 测试是否安装成功在C:\AppServ\www下新建test.php,内容为“<?phpinfo();?>”重启apache服务器,打开浏览器,地址为http://localhost:8080/test,效果如下图所示:3 安装WinPcap_4_1_2.exe采取默认安装即可。
(完整版)Snort详细安装步骤
Snort使用报告一、软件安装安装环境:windows 7 32bit软件:Snort 2.9.5.5、WinPcap 4.1.1规则库: snortrules-snapshot-2970.tar.gz二、实验内容熟悉入侵检测软件Snort的安装与使用三、实验原理Snort是一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS四.安装步骤1.下载实验用的软件Snort、Snort的规则库snortrules 和WinPcap.本次实验使用的具体版本是Snort 2.9.5.5、snortrules-snapshot-2970.tar.gz 和WinPcap 4.1.3首先点击Snort安装点击I Agree.同意软件使用条款,开始下一步,选择所要安装的组件:全选后,点击下一步:选择安装的位置,默认的路径为c:/Snort/,点击下一步,安装完成。
软件跳出提示需要安装WinPcap 4.1.1以上2.安装WinPcap点击WinPcap安装包进行安装点击下一步继续:点击同意使用条款:选择是否让WinPcap自启动,点击安装:安装完成点击完成。
此时为了看安装是否成功,进入CMD,找到d:/Snort/bin/如下图:(注意这个路径是你安装的路径,由于我安装在d盘的根目录下,所以开头是d:)输入以下命令snort –W,如下显示你的网卡信息,说明安装成功了!别高兴的太早,这只是安装成功了软件包,下面还要安装规则库:3.安装Snort规则库首先我们去Snort的官网下载Snort的规则库,必须先注册成会员,才可以下载。
具体下载地址为https:///downloads,往下拉到Rules,看见Registered是灰色的,我们点击Sign in:注册成功后,返回到这个界面就可以下载了。
基于Snort的入侵检测系统研究
随着互联 网技术 的快 速发展 ,对计算机 网络 的攻击 已经成
为一个 严重 的问题 。防火墙是计算机 网络 防护 的重要应用设备 , 防火墙 的部署能够对部分 网络攻击行 为进行 阻断与控制 ,但 是
防火墙对于主动侦测与主动预警还存在许 多不足之处 。相对 于 防火墙 , 网络入侵 检测 系统 ( N I D S ) i f  ̄ 够 自动地监 控网络 的数 据 流和主机 的 日志等 ,迅速发现攻击 ,对 可疑事件给予检测 和响 应, 因此 , 入侵检测在计算机 网络安全防护领域的重要地位就 突
进 行 了研 究 , 给 出 了以 L i n u x为 平 台的 S n o a入 侵 检 测 系统 的设 计 、 部 署 以 及 规 则 设 计
与模型改进等具体 方案, 为入侵检 测 系统的设计与开发提 供 了参考。
关键词 : 入 侵 检 测 系统 ; S n o  ̄; 规 则 集 中 图分 类 号 : T P 3 9 3 . 0 8 文献标识码 : A
行为 、 网络应, 入侵检测系统会做 出相应判断 , 并采取 防御方法。 我们不难 看出 ,通常情况下基于标志 的判 断能够 防御已知
算机 中数据 信息的收集与主动获取 ,根据事先制定 的规则集与 智 能库 , 进行 比对 与分析 , 从 而发现 网络 中潜 在 的隐患与风 险 ,
从应用 范围来说 ,入 侵检 测系统可分为主机应用 型与网络 应 用型。主机应用系统是 以主机系统 日志 、 应用软件 日志等作为
分析对象 , 进行针对 主机 的分析与防范。网络应用 系统是 目前入 侵检测 系统应用较为广泛的类型 ,也是通常意义 的入侵检测 系
Re s e a r c h o n t h e Un i v e r s i t y S p o r t s I n f o r ma t i o n Re s o u r c e s
Snort入侵检测系统算法分析研究论文
Snort入侵检测系统的算法分析研究摘要:本文对snom入侵检测系统的几种算法进行了介绍和分析,分析了各种不同的算法对入侵检测系统效率的影响,通过改进匹配算法来提高匹配的效率,使检测系统的效率得到了提高。
关键词:snort;ac算法;kmp算法;bm算法中图分类号:tp393.08 文献标识码:a 文章编号:1006-3315(2011)12-177-002随着网络技术的不断发展和网络用户的不断增加,人们得益于网络带来的便利的同时,计算机和网络系统的安全问题也越显突出。
目前的网络安全技术如:防火墙、信息加密,作为网络安全的第一道防线远不能有效阻止来自网络上的入侵。
针对网络系统攻击的普遍性,攻击手法的复杂性,入侵检测技术也随着网络技术和相关学科的发展日趋成熟,成为网络安全的第二道防线。
它对计算机和网络资源上的恶意使用行为进行识别和响应,它不仅可以检测到来自外部的入侵,也可以监督内部用户的未授权活动。
一、入侵检测系统snonsnort是由sourcefire公司mar-tyroeseh等人开发的一个基于libpcap的轻量级入侵检测系统,是一个开放源代码的网络安全解决方案,是一个多功能的轻量级网络入侵检测系统。
从检测机制上看,它不仅具有基于规则的误用检测方法,而且还有基于异常的检测方法预处理功能。
从体系结构上看,它充分考虑到扩展的需求,大量使用了插件机制。
从功能模块上看,各个模块功能明晰,相对独立,设计合理。
从编码上看,具有很好的设计风格和详细的注释,易于理解的体系结构功能模块设计独立,功能明晰。
sno,总体模块图[1]如下图1所示:二、入侵检测系统snort算法1.ac算法aho-corasick[2]算法简称(ac)算法,是多模式检测算法之一,该算法的基本思想是:在预处理阶段,有限自动机算法建立三个函数,转向函数goto,失效函数failure和输出函数output,由此构造一个树型有限自动机。
构建基于Snort的分布式入侵检测系统
个组件 是输 出插 件 , 对 可 疑行 为 产生 警 报 。 图 1 它 是 S ot n r的体 系结构示 图 。
设计与实现 , S otA I , h , S L A ah 由 n r, CD p p My Q , pc 构成的基于 S ot n r 的分布式人侵检测系统 。
2 S ot 析 nr剖
数据包 记录 器模式 把数 据包记 录到硬 盘上 。网路 入 侵检测 模式 是最 复杂 的 , 而且 是可 配置 的 。 2 2 S ot . n r 组成
S o t 以分成 5个 主 要 的 组件 : 捕 获/ 码 n r可 包 解
者水平也在不断提高 , 攻击工具 与攻击手法 日趋复 杂多样 , 促使网络安全产品不断更新换代, 使得 I S D 产品从 一个 简单机 械 的产品发 展成为 综合 各种技 术 的智 能化产 品 。我 们需 要做 的就是 如何将 这些 技术 有效的融合在入侵检测系统中, 并且能够做到与其 他 网络安 全设备 协 同工 作 , 高整个 系统 的安 全性 。 提 本 文讨 论 一 种 基 于 S ot的分 布 式 入 侵 检 测 系统 nr
维普资讯
计 算机科 学 20 Vo.3o 1( 0 6 L3 N. 2增刊 )
构 建 基 于 S ot n r 的分 布 式 入 侵 检 测 系统
廖光忠 陈志凤
( 汉科技 大学 计算机 科 学与技 术 学院 武 汉 4 08 ) 武 30 1
摘 要 分布式入 侵检测是 入侵检测 发展 的一 个新 方向, 文讨论 了一种基 于 S ot协 同使 用 ACI My QL, 本 n r, D, S
D DS Di r ue n r s n D tcin S se 的 I ( s i td Itu i eet ytm) tb o o
设计与实现 , S otA I , h , S L A ah 由 n r, CD p p My Q , pc 构成的基于 S ot n r 的分布式人侵检测系统 。
2 S ot 析 nr剖
数据包 记录 器模式 把数 据包记 录到硬 盘上 。网路 入 侵检测 模式 是最 复杂 的 , 而且 是可 配置 的 。 2 2 S ot . n r 组成
S o t 以分成 5个 主 要 的 组件 : 捕 获/ 码 n r可 包 解
者水平也在不断提高 , 攻击工具 与攻击手法 日趋复 杂多样 , 促使网络安全产品不断更新换代, 使得 I S D 产品从 一个 简单机 械 的产品发 展成为 综合 各种技 术 的智 能化产 品 。我 们需 要做 的就是 如何将 这些 技术 有效的融合在入侵检测系统中, 并且能够做到与其 他 网络安 全设备 协 同工 作 , 高整个 系统 的安 全性 。 提 本 文讨 论 一 种 基 于 S ot的分 布 式 入 侵 检 测 系统 nr
维普资讯
计 算机科 学 20 Vo.3o 1( 0 6 L3 N. 2增刊 )
构 建 基 于 S ot n r 的分 布 式 入 侵 检 测 系统
廖光忠 陈志凤
( 汉科技 大学 计算机 科 学与技 术 学院 武 汉 4 08 ) 武 30 1
摘 要 分布式入 侵检测是 入侵检测 发展 的一 个新 方向, 文讨论 了一种基 于 S ot协 同使 用 ACI My QL, 本 n r, D, S
D DS Di r ue n r s n D tcin S se 的 I ( s i td Itu i eet ytm) tb o o
Snort系统的动态配置研究
侵 检测 规则 的动态配 置 , 析 了 sot 分 nr的规 则解 析 模式 , 将配 置 线 程 与检 测 线 程 分离 , 设计 并实 现 了
入侵检测 规则 的动 态配 置.实验 表 明 , 规 则 的动 在
态更 新过程 中未发生 丢包 现象 , 没有 对 系统 运行 且
带 来 明显影 响 , 显示 了所设 计的方法 的可行性.
新 的话 , 则可 能造 成入 侵 的漏 报 现象 .
要解 决 上 述 问 题 , 种 可能 的方 法 是 通 过 入 一
侵 检测 规则 的动 态 更 新 , 不 影 响 已有 的入 侵 检 在 测 系统 的运 行 情 况下 , 现 入 侵 检 测 规 则 的 动 态 实
收稿 日期 : 0 6—0 2 20 5— 3
侵 , 也意 味着 同一 个检 测 对 象 , 能需 要 经 过更 但 可 多 的处理 步骤 , 才能 确定 是否 与入 侵特 征相关 .值 得 注意 的是 , 一种入 侵 手段 常常 与漏洞 利 用 相关 ,
一
调用模 式 匹配算 法 , 分析 网络 包负 载 .由于带攻 击 特征 的网络 包 占整 个 网络 包 的 比例 较 小 , 部 分 大 网络包 的检 测 , 只需要 对 包 头数 据 进 行 分析 , 可 就
维普资讯
第 6卷 第 1 期
20 0 7年 2月
广 州大学 学报 ( 自然科 学版 )
Junl f unzo nvr t( aua S i c d i ) ora o aghuU i sy N trl c neE io G ei e tn
恽
俊 等 :n r 系统 的动态 配置 研究 So t
2 l
作为 开 源 的 基 于 网 络 的 入 侵 检 测 系 统 ,
一种基于Snort的三层入侵检测系统的设计和应用
林 丽娜 ,魏德 志 , 吴 旭
( 集美 大学 诚 毅学 院 ,福建 厦 门 3 0 1 612 )
摘 要 :近年来 ,随着互联 网技 术的不断 发展 ,基 于网络 的计算 机 系统在现代社会 中发挥着越来越重要 的作 用。在 享受着网络 技术 带来的方便 的同时 ,人们 也 面临着 由于非法入 侵 系统而 引发的一 系列安 全问题 的 困扰 。在校 园网的环境 下,提 出 了一种
用 了三 层体 系结构 ,主要 包 括 网络入 侵 检 测层 、数 据库 服 务器 层 和 日志 分析 控 制 台层 。系 统 的三层 体
系结 构如 图 1 所示 。
报 警 数 据 进 行 组 织 管 理 是 最 实 用 的方 法 。 报 警 存 入 关 系数 据 库 后 能 对 其 进 行 分 类 ,查 询 和 按 优 先 级组 织排 序 等。在 本 系统 中我 们采 用 M y QL数据 S 库 。M yS QL是一 个快 速 的客 户机 /服务 器结 构 的
LN L—n , E e ’ u I i a W ID —zjWU X h
(d/U/r  ̄ kn lCl>,/ o, J e no i Ce y"o < X m nF P sy g /e  ̄ o : .# 0 1Ci)  ̄ 12 ka k
Ab ta t ]e e t e r sr c :  ̄ cn y as, wih h c niu u d v lp n o Itr e t cn lg t te o t o s e e me t f nen t e hoo y, nt r - b sd o u e s se i n o ewo k ae c mp tr y t m n moen oit i lyn d r scey s a i p g
( 集美 大学 诚 毅学 院 ,福建 厦 门 3 0 1 612 )
摘 要 :近年来 ,随着互联 网技 术的不断 发展 ,基 于网络 的计算 机 系统在现代社会 中发挥着越来越重要 的作 用。在 享受着网络 技术 带来的方便 的同时 ,人们 也 面临着 由于非法入 侵 系统而 引发的一 系列安 全问题 的 困扰 。在校 园网的环境 下,提 出 了一种
用 了三 层体 系结构 ,主要 包 括 网络入 侵 检 测层 、数 据库 服 务器 层 和 日志 分析 控 制 台层 。系 统 的三层 体
系结 构如 图 1 所示 。
报 警 数 据 进 行 组 织 管 理 是 最 实 用 的方 法 。 报 警 存 入 关 系数 据 库 后 能 对 其 进 行 分 类 ,查 询 和 按 优 先 级组 织排 序 等。在 本 系统 中我 们采 用 M y QL数据 S 库 。M yS QL是一 个快 速 的客 户机 /服务 器结 构 的
LN L—n , E e ’ u I i a W ID —zjWU X h
(d/U/r  ̄ kn lCl>,/ o, J e no i Ce y"o < X m nF P sy g /e  ̄ o : .# 0 1Ci)  ̄ 12 ka k
Ab ta t ]e e t e r sr c :  ̄ cn y as, wih h c niu u d v lp n o Itr e t cn lg t te o t o s e e me t f nen t e hoo y, nt r - b sd o u e s se i n o ewo k ae c mp tr y t m n moen oit i lyn d r scey s a i p g
基于Snort入侵检测系统的研究与设计
特 征 比 Sgauebsd 会 先 针 对 入 侵 特征 i t —ae) n r
护 这啦 郜通过它执行 以下任务来实现 : ①监视 、 分
建立一 异常特征 资料库” 只要 N D 侦测到的 , IS 数据包内 与资料库的某个特征相符 ,系 即会识 容 统
煽户及 系统活动 ; 系统构造和弱点的审计 ; ② ③识
砉
二 了
= 0
络流量 如重组数据 包, 分段与重组 T Ps em、 C ra 编 t 码 的转换等) ,以使 网络流量能精确地被检 测引擎
( e co nie解析及 匹配特征 码。 D t tn g ) ei E n (3D t t nE gn(检 测模 组 ) D tcinE 一 ) ee i n ie co : eet n o ge i 主要功能在 于规 则分析与特征检测 ,将 S o n nr t 的规则文件 引入 , 并按照规则文件 中的规 则, 逐一比
监 听 网络通信 , 是 实 际能监 听到什 么样 的数 据 流 但
图二 S o 检 测 流 程 图 nr t
取 决于所在 网络 的拓 扑 结构 。如果 网关设备 为一 台
交换 机 时, 么 S ot 能 看 到发 向 S otDS的 数 那 nr只 n rI
(1P ce eoe ) akt cd(数据 包解 码 器) 当 So 取 D : nr t
择也 尤为 重要 。 当前 的 网络 结构 中,大 多数 公 司 的网关设备 选
检 测方 式 , 即属 于特 征 比对 的方 式。
用的设备都为交换机设备 , 因此针 对实际情况 , 了 为 能够对 内部 网络的入侵检测,需对交换机进行特殊
配置 。 当前 , 多可控 制 的交换机 都 给 管理 员提供 了 很
Snort入侵检测系统的使用与测试
第32卷第4期集宁师专学报Vol.32,No.42010年12月Journal of JiningTeachers College Dec.2010收稿日期:作者简介:马永强(—),男,内蒙古商都县人,讲师,研究方向:多媒体技术及网络安全。
Snor t 入侵检测系统的使用与测试马永强1,刘娟2(1.集宁师范学院计算机系,内蒙古乌兰察布市0120002.1.集宁师范学院英语系,内蒙古乌兰察布市012000)摘要:入侵检测技术是一种主动保护计算机系统和网络资源的安全技术。
本文详细叙述了配置入侵检测系统的步骤,本系统能将s nort 捕获到的入侵情况传送到M ySQ L 中,并能在B A SE 中以网页的形式观察有问题的数据包,方便管理员对网络入侵情况的观察,并及时作出相应的处理。
关键词:入侵检测系统;Snort 校园网;网络安全中图分类号:G 2文献识别码:B 文章编号:1009-7171(2010)04-0048-04校园网作为高校教育科研的重要基础设施,担当着学校教学、科研、管理等重要角色,做好对入侵攻击的检测与防范,很好地保障计算机系统、网络及整个信息基础设施的安全已经成为当前重要的课题。
随着入侵技术的不断发展、攻击手段与方法的日趋复杂化和多样化,防火墙技术、加密技术、身份认证技术以及访问控制技术等传统的安全防御体系已经远远不能满足当前安全状况的需要。
在这种情况下,入侵检测系统(I nt r usi on D et ect i on Syst e m ,I D S)就应运而生。
然而,目前我国对入侵检测系统的框架结构和理论的研究比较多,但是真正具体的实际应用的却很少,这势必会造成了理论和实践的脱节。
Snor t 虽然功能强大,但是由于没有图形界面的支持,也很难让我们普通使用者理解它的工作原理,如何将我们现有的入侵检测系统应用到我们的计算机系统中,如何将snor t 捕获的数据传送到W eb 页面,如何搭建适合我们自己的入侵检测系统,是本文基本出发点。
Snort入侵检测系统的构建
S ot nr入侵检 测系统 的构建 , 并通过测试 , 证实 了该 系统 的有 效性。 关键 词 : 侵检测 ; 入 计算机安全 ; 击 攻
中 图分 类 号 :P 9 0 T 3 3・ 8 文 献 标 识 码 :A 文 章 编 号 : 62— 19 2 1 ) 3— 0 1 3 17 7 6 (0 0 0 0 6 —0
第 7卷
第 3期
华北科技学 院学报
21 0 0年 7月
2 2 3 数 据存 储子 系统的构 建 .. 数据存储子系统是用来存放从人侵检测系统 中 收集 的报警数据 , 将这些数据存放 到关系数据库 中。 s ot nr支持 多种 数据 库 , 系 统采 用 M S L数 据 J本 yQ 库 。因为 M S L功 能强 大 、 活性好 、 yQ 灵 应用 编程 接
比较 昂贵 。我们 可 以通 过 网络上 的 开源 软件 来 自
己构建 一个 人侵 检测 系统 。
复杂的数据库 , 以是简单 的文本文件 。 也可
1 入 侵 检 测 系统 简 介
入 侵是 所有 试 图破 坏 网络 信 息 的 完 整 性 、 保 密性、 可用性 、 可信 任性 的行 为 。人 侵是 一个 广义
在 很 多方 面存 在 弱 点 , 入 侵 检 测 系 统 能 够 提 供 而
了对内部 、 外部攻击和误操作 的实时保护 , 它能够 自动 的监控 网络 的数据 流 , 迅速 发 现攻 击 , 可 疑 对
的事件 给予 检 测 和 响应 。因 此 , 侵 检测 系 统愈 入
vn) et。事 件产生器 即检 测器 , 整个计 算环境 中 它从 获得事件 , 向系统的其它部分提供 此事件 ; 并 事件分 析器分析得到 的数据 , 生分析结 果 ; 并产 响应单元则
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.1.1安装apache选择custom安装,指定安装目录c:\apache,运行apache安装端,一直ne xt,直到安装完成。
我们验证一下:图3-1 apache安装成功界面如出现图3-1这种情况,表明安装成功。
1.1.2安装php解压php-5.2.4-Win32到c:\php。
复制c:\php\php5ts.dll和c:\php\lib mysql.dll文件到c:\windows\system32,复制c:\php\php.ini-dist到c:\win dows\并重命名为php.ini,修改php.ini,分别删去“extension=php_gd2.dll”“extension=php_mysql.dll”前的分号,并指定extension_dir="c:\php\ext ",同时复制c:\php\ext下的php_gd2.dll与php_mysql.dll到c:\windows\sy stem32。
在C:\apache\conf\httpd.conf中添加在下面语句中后面添加(回车)#Load Module ssl_module modules/mod_ssl.so115行LoadModule php5_module "c:/ php/php5apache2_2.dll"和在下面语句中后面添加(回车)ScriptAlias /cgi-bin/ "C:/apache/cgi-bin/"385行AddType application/x-httpd-php .php(此处应注意空格),并重启Apache服务。
在C:\apache\htdocs目录下新建webinf. php(文件内容为:<?phpinfo();?>)并使用http://127.0.0.1/webinf.php访问测试是否能够显示当前Apache服务器的信息,如果能够显示表明Apache和p hp工作基本正常重新启动apache服务,点stop再点击start,使用http://12 7.0.0.1/w e b i n f.p h p测试是否安装成功,成功的界面,如图3-2:图3-2 安装成功界面1.1.3安装winpcap与snort按照向导提示安装一路默认安装即可,安装完成后使用下面命令测试是否安装成功。
在命令控制台进入snort根目录,输入命令:c:\snort\bin> snort -W (W为大写)当你看到左上角有个小猪图形,表明安装成功。
如图3-3:图3-3安装成功界面1.1.4安装和配置mysql安装一路next就可以按照成功,注意设置个root的密码,然后打开MySQL 的客户端,将c:\snort\schemas目录下的create_mysql复制到C:\Program Files\MySQL\MySQL Server 5.0\bin目录下,在MySQL的dos控制台中建立snort 库和snort_archive库。
代码如下:mysql> create database snort;mysql> create database snort_archive;mysql> use snortmysql> source create_mysqlmysql> show tables;mysql> use snort_archivemysql> source create_mysqlmysql> show tables;为mysql建立snort和acid账号,使idscenter或acid能访问mysql中与snort有关的数据库文件。
使用语句:mysql> grant usage on *.* to "acid"@"localhost" identified by "ac idtest";mysql> grant usage on *.* to "snort"@"localhost" identified by "s norttest";再为snort和acid账户分配相关权限,语句:mysql> grant select,insert,update,delete,create,alter on snort .* to "snort"@"localhost";mysql> grant select,insert,update,delete,create,alter on snort .* to "acid"@"localhost";mysql> grant select,insert,update,delete,create,alter on snort_ar chive .* to "snort"@"localhost";mysql> grant select,insert,update,delete,create,alter on snort_ar chive .* to "acid"@"localhost";启用php对MySQL的支持,修改php.ini,找到"extension=php_mysql.dll",去掉前面的";",复制c:\php\ext下的php_mysql.dll文件到c:\windows下复制c:\php下的libmysql.dll文件到c:\windows\system32下。
1.1.5安装adodb解压缩adodb498.tgz到c:\php\adodb目录下。
1.1.6安装jpgraph解压缩jpgraph-2.1.4.tar.gz到c:\php\jpgraph。
1.1.7安装acid解压缩acid-0.9.6b23.tar.gz到c:\apache\htdocs\acid目录下。
修改acid_conf.php为下列格式,(用写字板打开)$DBlib_path = "c:\php\adodb";$DBtype = "mysql"$alert_dbname = "snort";$alert_host = "localhost";$alert_port = "3306";$alert_user = "snort";$alert_password = "snorttest"$archive_dbname = "snort_archive";$archive_host = "localhost";$archive_port = "3306";$archive_user ="acid";$archive_password = "acidtest";$ChartLib_path = "c:\php\jpgraph\src";重启apache服务。
使用浏览器打开http://127.0.0.1/acid/acid_db_setu p.php建立acid运行必须的数据库。
如图3-4:图3-4 ACID显示成功鼠标点击create ACID AG。
如图3-5:图3-5点击后显示的界面1.2配置snort编辑c:\snort\etc\snort.conf文件,用写字板打开,如下:include classification.configinclude reference.config修改为include c:\snort\etc\classification.configinclude c:\snort\etc\reference.config设置snort输出 alert到MySQL serveroutputdatabase:alert,mysql,hos t=localhostuser=root password=123 dbna-me=snort encoding=hex detail=f ull修改“Dynamicpreprocessor directory/usr/local/lib/snort_Dynamicp reprocessor”为“Dynamicpreprocessor directory c:\snort\lib\snort_dyn amicpreproces-sor”。
修改“dynamicengine/usr/local/lib/snort_dynamicegine/libsf_engine. so”为“dynamicengine c:\snort\lib\snort_dynamicengine\sf_engine.dll”。
如图3-6:图3-6 调整位置1.2.1添加规则库解压缩snortrules-snapshot-CURRENT.tar.gz文件到c:\snort目录下面,覆盖原文件,并使用下列语句来测试:c:\snort\bin>snort -c "c:\snort\etc\snort.conf" -l "c:\snort\log" -d -e -X -i 2浏览器打开http://127.0.0.1/acid会看到类似于以下的界面,如图3-7:图3-7 snort安装配置成功显示这样便宣告snort安装及配置完毕。
1.2.2简单的使用分别用以下命令测试Snort是否工作正常:c:\>snort -dev,能看到一只正在奔跑的小猪证明工作正常;c:\>snort -W,查看本地网络适配器编号。
c:\>s nort –c c:\snort\etc\snort.conf –l c:\snort\log –devX,测试配置文件能够支持工作,但是,在使用过程中snortrules-snapshot-CURRENT.tar包中的web-misc.rules有问题,所以为了其他内容能后正常进行入侵检测,修改c: \Snort\etc\snort.conf,在include $RULE_PATH/web-misc.rules前加#号将其注释掉可以选用IDSCenter配置snort项,采用默认安装IDSCenter11rc4来完成。