当前位置:文档之家 › 实验三 Snort入侵检测系统部署

实验三 Snort入侵检测系统部署

  • 格式:doc
  • 大小:458.00 KB
  • 文档页数:9

下载文档原格式

  / 9

合集下载

部署和管理NIDS

部署和管理NIDS

部署和管理NIDS应用场景snort 是一个基于 libpcap 的轻量级网络入侵检测系统。

根据 ,轻量级入侵检测系统是这样定义的:首先它能够方便地安装和配置在网络的任何一个节点上,而且不会对网络运行产生太大的影响,同时轻量级入侵检测系统还应该具有跨系统平台操作,最小的系统要求以及易于部署和配置等特征, 并且管理员能够利用它在短时间内通过修改配置进行实时的安全响应。

Snort 是一个典型的轻量级入侵检测系统,首先可以运行在多种操作系统平台,例如UNIX 系列和Win9X ,Win2000(需要 libpcap for Win32 的支持) ,与很多商业产品相比,它对操作系统的依赖性比较低。

它的分发源码文件压缩包大约只有 100KB ,在一台一般性能的计算机上编译安装时大约只需几分钟的时间,另外配置激活也大约只需要十几分钟的时间,安装以后即便不对它进行维护也能长时间稳定运行。

其次用户可以根据自己的需要及时在短时间内调整检测策略。

就检测攻击的种类来说,据最新的规则包文件 snortrules-stable.tar.gz ,接下来本实验将讲解如何在windows 下安装和配置snort 。

实验目标:1. 了解基本的入侵检测知识2. 学会在windows 下配置snort实验环境虚拟机:Windows XP ,以及snort 等软件实验过程指导1 安装appserv-win32-2.5.10.exe在输入服务器地址的时候填写“localhost ”,端口改为“8080”邮箱任意; 为后续配置方便,此时输入数据库根用户密码为123456VM2 测试是否安装成功在C:\AppServ\www下新建test.php,内容为“<?phpinfo();?>”重启apache服务器,打开浏览器,地址为http://localhost:8080/test,效果如下图所示:3 安装WinPcap_4_1_2.exe采取默认安装即可。

(完整版)Snort详细安装步骤

(完整版)Snort详细安装步骤

Snort使用报告一、软件安装安装环境:windows 7 32bit软件:Snort 2.9.5.5、WinPcap 4.1.1规则库: snortrules-snapshot-2970.tar.gz二、实验内容熟悉入侵检测软件Snort的安装与使用三、实验原理Snort是一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS四.安装步骤1.下载实验用的软件Snort、Snort的规则库snortrules 和WinPcap.本次实验使用的具体版本是Snort 2.9.5.5、snortrules-snapshot-2970.tar.gz 和WinPcap 4.1.3首先点击Snort安装点击I Agree.同意软件使用条款,开始下一步,选择所要安装的组件:全选后,点击下一步:选择安装的位置,默认的路径为c:/Snort/,点击下一步,安装完成。

软件跳出提示需要安装WinPcap 4.1.1以上2.安装WinPcap点击WinPcap安装包进行安装点击下一步继续:点击同意使用条款:选择是否让WinPcap自启动,点击安装:安装完成点击完成。

此时为了看安装是否成功,进入CMD,找到d:/Snort/bin/如下图:(注意这个路径是你安装的路径,由于我安装在d盘的根目录下,所以开头是d:)输入以下命令snort –W,如下显示你的网卡信息,说明安装成功了!别高兴的太早,这只是安装成功了软件包,下面还要安装规则库:3.安装Snort规则库首先我们去Snort的官网下载Snort的规则库,必须先注册成会员,才可以下载。

具体下载地址为https:///downloads,往下拉到Rules,看见Registered是灰色的,我们点击Sign in:注册成功后,返回到这个界面就可以下载了。

基于Snort的入侵检测系统研究

基于Snort的入侵检测系统研究


随着互联 网技术 的快 速发展 ,对计算机 网络 的攻击 已经成
为一个 严重 的问题 。防火墙是计算机 网络 防护 的重要应用设备 , 防火墙 的部署能够对部分 网络攻击行 为进行 阻断与控制 ,但 是
防火墙对于主动侦测与主动预警还存在许 多不足之处 。相对 于 防火墙 , 网络入侵 检测 系统 ( N I D S ) i f  ̄ 够 自动地监 控网络 的数 据 流和主机 的 日志等 ,迅速发现攻击 ,对 可疑事件给予检测 和响 应, 因此 , 入侵检测在计算机 网络安全防护领域的重要地位就 突
进 行 了研 究 , 给 出 了以 L i n u x为 平 台的 S n o a入 侵 检 测 系统 的设 计 、 部 署 以 及 规 则 设 计
与模型改进等具体 方案, 为入侵检 测 系统的设计与开发提 供 了参考。
关键词 : 入 侵 检 测 系统 ; S n o  ̄; 规 则 集 中 图分 类 号 : T P 3 9 3 . 0 8 文献标识码 : A
行为 、 网络应, 入侵检测系统会做 出相应判断 , 并采取 防御方法。 我们不难 看出 ,通常情况下基于标志 的判 断能够 防御已知
算机 中数据 信息的收集与主动获取 ,根据事先制定 的规则集与 智 能库 , 进行 比对 与分析 , 从 而发现 网络 中潜 在 的隐患与风 险 ,
从应用 范围来说 ,入 侵检 测系统可分为主机应用 型与网络 应 用型。主机应用系统是 以主机系统 日志 、 应用软件 日志等作为
分析对象 , 进行针对 主机 的分析与防范。网络应用 系统是 目前入 侵检测 系统应用较为广泛的类型 ,也是通常意义 的入侵检测 系
Re s e a r c h o n t h e Un i v e r s i t y S p o r t s I n f o r ma t i o n Re s o u r c e s
Snort入侵检测系统算法分析研究论文

Snort入侵检测系统算法分析研究论文

Snort入侵检测系统的算法分析研究摘要:本文对snom入侵检测系统的几种算法进行了介绍和分析,分析了各种不同的算法对入侵检测系统效率的影响,通过改进匹配算法来提高匹配的效率,使检测系统的效率得到了提高。

关键词:snort;ac算法;kmp算法;bm算法中图分类号:tp393.08 文献标识码:a 文章编号:1006-3315(2011)12-177-002随着网络技术的不断发展和网络用户的不断增加,人们得益于网络带来的便利的同时,计算机和网络系统的安全问题也越显突出。

目前的网络安全技术如:防火墙、信息加密,作为网络安全的第一道防线远不能有效阻止来自网络上的入侵。

针对网络系统攻击的普遍性,攻击手法的复杂性,入侵检测技术也随着网络技术和相关学科的发展日趋成熟,成为网络安全的第二道防线。

它对计算机和网络资源上的恶意使用行为进行识别和响应,它不仅可以检测到来自外部的入侵,也可以监督内部用户的未授权活动。

一、入侵检测系统snonsnort是由sourcefire公司mar-tyroeseh等人开发的一个基于libpcap的轻量级入侵检测系统,是一个开放源代码的网络安全解决方案,是一个多功能的轻量级网络入侵检测系统。

从检测机制上看,它不仅具有基于规则的误用检测方法,而且还有基于异常的检测方法预处理功能。

从体系结构上看,它充分考虑到扩展的需求,大量使用了插件机制。

从功能模块上看,各个模块功能明晰,相对独立,设计合理。

从编码上看,具有很好的设计风格和详细的注释,易于理解的体系结构功能模块设计独立,功能明晰。

sno,总体模块图[1]如下图1所示:二、入侵检测系统snort算法1.ac算法aho-corasick[2]算法简称(ac)算法,是多模式检测算法之一,该算法的基本思想是:在预处理阶段,有限自动机算法建立三个函数,转向函数goto,失效函数failure和输出函数output,由此构造一个树型有限自动机。

构建基于Snort的分布式入侵检测系统

构建基于Snort的分布式入侵检测系统

个组件 是输 出插 件 , 对 可 疑行 为 产生 警 报 。 图 1 它 是 S ot n r的体 系结构示 图 。
设计与实现 , S otA I , h , S L A ah 由 n r, CD p p My Q , pc 构成的基于 S ot n r 的分布式人侵检测系统 。
2 S ot 析 nr剖
数据包 记录 器模式 把数 据包记 录到硬 盘上 。网路 入 侵检测 模式 是最 复杂 的 , 而且 是可 配置 的 。 2 2 S ot . n r 组成
S o t 以分成 5个 主 要 的 组件 : 捕 获/ 码 n r可 包 解
者水平也在不断提高 , 攻击工具 与攻击手法 日趋复 杂多样 , 促使网络安全产品不断更新换代, 使得 I S D 产品从 一个 简单机 械 的产品发 展成为 综合 各种技 术 的智 能化产 品 。我 们需 要做 的就是 如何将 这些 技术 有效的融合在入侵检测系统中, 并且能够做到与其 他 网络安 全设备 协 同工 作 , 高整个 系统 的安 全性 。 提 本 文讨 论 一 种 基 于 S ot的分 布 式 入 侵 检 测 系统 nr
维普资讯
计 算机科 学 20 Vo.3o 1( 0 6 L3 N. 2增刊 )
构 建 基 于 S ot n r 的分 布 式 入 侵 检 测 系统
廖光忠 陈志凤
( 汉科技 大学 计算机 科 学与技 术 学院 武 汉 4 08 ) 武 30 1
摘 要 分布式入 侵检测是 入侵检测 发展 的一 个新 方向, 文讨论 了一种基 于 S ot协 同使 用 ACI My QL, 本 n r, D, S
D DS Di r ue n r s n D tcin S se 的 I ( s i td Itu i eet ytm) tb o o
Snort系统的动态配置研究

Snort系统的动态配置研究


侵 检测 规则 的动态配 置 , 析 了 sot 分 nr的规 则解 析 模式 , 将配 置 线 程 与检 测 线 程 分离 , 设计 并实 现 了
入侵检测 规则 的动 态配 置.实验 表 明 , 规 则 的动 在
态更 新过程 中未发生 丢包 现象 , 没有 对 系统 运行 且
带 来 明显影 响 , 显示 了所设 计的方法 的可行性.
新 的话 , 则可 能造 成入 侵 的漏 报 现象 .
要解 决 上 述 问 题 , 种 可能 的方 法 是 通 过 入 一
侵 检测 规则 的动 态 更 新 , 不 影 响 已有 的入 侵 检 在 测 系统 的运 行 情 况下 , 现 入 侵 检 测 规 则 的 动 态 实
收稿 日期 : 0 6—0 2 20 5— 3
侵 , 也意 味着 同一 个检 测 对 象 , 能需 要 经 过更 但 可 多 的处理 步骤 , 才能 确定 是否 与入 侵特 征相关 .值 得 注意 的是 , 一种入 侵 手段 常常 与漏洞 利 用 相关 ,

调用模 式 匹配算 法 , 分析 网络 包负 载 .由于带攻 击 特征 的网络 包 占整 个 网络 包 的 比例 较 小 , 部 分 大 网络包 的检 测 , 只需要 对 包 头数 据 进 行 分析 , 可 就
维普资讯
第 6卷 第 1 期
20 0 7年 2月
广 州大学 学报 ( 自然科 学版 )
Junl f unzo nvr t( aua S i c d i ) ora o aghuU i sy N trl c neE io G ei e tn

俊 等 :n r 系统 的动态 配置 研究 So t
2 l
作为 开 源 的 基 于 网 络 的 入 侵 检 测 系 统 ,
一种基于Snort的三层入侵检测系统的设计和应用

一种基于Snort的三层入侵检测系统的设计和应用

林 丽娜 ,魏德 志 , 吴 旭
( 集美 大学 诚 毅学 院 ,福建 厦 门 3 0 1 612 )
摘 要 :近年来 ,随着互联 网技 术的不断 发展 ,基 于网络 的计算 机 系统在现代社会 中发挥着越来越重要 的作 用。在 享受着网络 技术 带来的方便 的同时 ,人们 也 面临着 由于非法入 侵 系统而 引发的一 系列安 全问题 的 困扰 。在校 园网的环境 下,提 出 了一种
用 了三 层体 系结构 ,主要 包 括 网络入 侵 检 测层 、数 据库 服 务器 层 和 日志 分析 控 制 台层 。系 统 的三层 体
系结 构如 图 1 所示 。
报 警 数 据 进 行 组 织 管 理 是 最 实 用 的方 法 。 报 警 存 入 关 系数 据 库 后 能 对 其 进 行 分 类 ,查 询 和 按 优 先 级组 织排 序 等。在 本 系统 中我 们采 用 M y QL数据 S 库 。M yS QL是一 个快 速 的客 户机 /服务 器结 构 的
LN L—n , E e ’ u I i a W ID —zjWU X h
(d/U/r  ̄ kn lCl>,/ o, J e no i Ce y"o < X m nF P sy g /e  ̄ o : .# 0 1Ci)  ̄ 12 ka k
Ab ta t ]e e t e r sr c :  ̄ cn y as, wih h c niu u d v lp n o Itr e t cn lg t te o t o s e e me t f nen t e hoo y, nt r - b sd o u e s se i n o ewo k ae c mp tr y t m n moen oit i lyn d r scey s a i p g
基于Snort入侵检测系统的研究与设计

基于Snort入侵检测系统的研究与设计


特 征 比 Sgauebsd 会 先 针 对 入 侵 特征 i t —ae) n r
护 这啦 郜通过它执行 以下任务来实现 : ①监视 、 分
建立一 异常特征 资料库” 只要 N D 侦测到的 , IS 数据包内 与资料库的某个特征相符 ,系 即会识 容 统
煽户及 系统活动 ; 系统构造和弱点的审计 ; ② ③识

二 了
= 0
络流量 如重组数据 包, 分段与重组 T Ps em、 C ra 编 t 码 的转换等) ,以使 网络流量能精确地被检 测引擎
( e co nie解析及 匹配特征 码。 D t tn g ) ei E n (3D t t nE gn(检 测模 组 ) D tcinE 一 ) ee i n ie co : eet n o ge i 主要功能在 于规 则分析与特征检测 ,将 S o n nr t 的规则文件 引入 , 并按照规则文件 中的规 则, 逐一比
监 听 网络通信 , 是 实 际能监 听到什 么样 的数 据 流 但
图二 S o 检 测 流 程 图 nr t
取 决于所在 网络 的拓 扑 结构 。如果 网关设备 为一 台
交换 机 时, 么 S ot 能 看 到发 向 S otDS的 数 那 nr只 n rI
(1P ce eoe ) akt cd(数据 包解 码 器) 当 So 取 D : nr t
择也 尤为 重要 。 当前 的 网络 结构 中,大 多数 公 司 的网关设备 选
检 测方 式 , 即属 于特 征 比对 的方 式。
用的设备都为交换机设备 , 因此针 对实际情况 , 了 为 能够对 内部 网络的入侵检测,需对交换机进行特殊
配置 。 当前 , 多可控 制 的交换机 都 给 管理 员提供 了 很
Snort入侵检测系统的使用与测试

Snort入侵检测系统的使用与测试

第32卷第4期集宁师专学报Vol.32,No.42010年12月Journal of JiningTeachers College Dec.2010收稿日期:作者简介:马永强(—),男,内蒙古商都县人,讲师,研究方向:多媒体技术及网络安全。

Snor t 入侵检测系统的使用与测试马永强1,刘娟2(1.集宁师范学院计算机系,内蒙古乌兰察布市0120002.1.集宁师范学院英语系,内蒙古乌兰察布市012000)摘要:入侵检测技术是一种主动保护计算机系统和网络资源的安全技术。

本文详细叙述了配置入侵检测系统的步骤,本系统能将s nort 捕获到的入侵情况传送到M ySQ L 中,并能在B A SE 中以网页的形式观察有问题的数据包,方便管理员对网络入侵情况的观察,并及时作出相应的处理。

关键词:入侵检测系统;Snort 校园网;网络安全中图分类号:G 2文献识别码:B 文章编号:1009-7171(2010)04-0048-04校园网作为高校教育科研的重要基础设施,担当着学校教学、科研、管理等重要角色,做好对入侵攻击的检测与防范,很好地保障计算机系统、网络及整个信息基础设施的安全已经成为当前重要的课题。

随着入侵技术的不断发展、攻击手段与方法的日趋复杂化和多样化,防火墙技术、加密技术、身份认证技术以及访问控制技术等传统的安全防御体系已经远远不能满足当前安全状况的需要。

在这种情况下,入侵检测系统(I nt r usi on D et ect i on Syst e m ,I D S)就应运而生。

然而,目前我国对入侵检测系统的框架结构和理论的研究比较多,但是真正具体的实际应用的却很少,这势必会造成了理论和实践的脱节。

Snor t 虽然功能强大,但是由于没有图形界面的支持,也很难让我们普通使用者理解它的工作原理,如何将我们现有的入侵检测系统应用到我们的计算机系统中,如何将snor t 捕获的数据传送到W eb 页面,如何搭建适合我们自己的入侵检测系统,是本文基本出发点。

Snort入侵检测系统的构建

Snort入侵检测系统的构建


S ot nr入侵检 测系统 的构建 , 并通过测试 , 证实 了该 系统 的有 效性。 关键 词 : 侵检测 ; 入 计算机安全 ; 击 攻
中 图分 类 号 :P 9 0 T 3 3・ 8 文 献 标 识 码 :A 文 章 编 号 : 62— 19 2 1 ) 3— 0 1 3 17 7 6 (0 0 0 0 6 —0
第 7卷
第 3期
华北科技学 院学报
21 0 0年 7月
2 2 3 数 据存 储子 系统的构 建 .. 数据存储子系统是用来存放从人侵检测系统 中 收集 的报警数据 , 将这些数据存放 到关系数据库 中。 s ot nr支持 多种 数据 库 , 系 统采 用 M S L数 据 J本 yQ 库 。因为 M S L功 能强 大 、 活性好 、 yQ 灵 应用 编程 接
比较 昂贵 。我们 可 以通 过 网络上 的 开源 软件 来 自
己构建 一个 人侵 检测 系统 。
复杂的数据库 , 以是简单 的文本文件 。 也可
1 入 侵 检 测 系统 简 介
入 侵是 所有 试 图破 坏 网络 信 息 的 完 整 性 、 保 密性、 可用性 、 可信 任性 的行 为 。人 侵是 一个 广义
在 很 多方 面存 在 弱 点 , 入 侵 检 测 系 统 能 够 提 供 而
了对内部 、 外部攻击和误操作 的实时保护 , 它能够 自动 的监控 网络 的数据 流 , 迅速 发 现攻 击 , 可 疑 对
的事件 给予 检 测 和 响应 。因 此 , 侵 检测 系 统愈 入
vn) et。事 件产生器 即检 测器 , 整个计 算环境 中 它从 获得事件 , 向系统的其它部分提供 此事件 ; 并 事件分 析器分析得到 的数据 , 生分析结 果 ; 并产 响应单元则
基于snort技术分析

基于snort技术分析

1.信息与计算科学系课程设计报告基于SNORT的入侵检测系统的分析绪论1.1 研究目的与意义随着网络技术的飞速发展,其应用领域也在不断的扩展,网络技术的应用已将从传统的小型业务系统逐渐扩展到大型的关键业务系统中,比如说金融业务系统、电子商务系统等等第。

然而,随着网络技术的迅速发展,网络安全问题也日益突出。

比如说金融系统、政府信息系统等受到外界的攻击与破坏,信息容易被窃取和修改等网络安全问题越来越严重。

所以说网络安全问题已经成为各国政府、企业以及广大网络用户关心的问题之一。

任何试图破坏网络活动正常化的问题都可以称为网络安全问题。

过去保护网络安全做常用、最传统的方法就是防火墙,但是防护墙只是一种被动防御性的网络安全工具,随着科学技术的不断发展,网络日趋复杂化,传统防火墙是不足以满足如今复杂多变的网络安全问题,在这种情况下,逐渐产生了入侵检测系统,入侵检测系统不仅能够为网络安全提供及时的入侵检测以及采取响应的防护手段,它还可以识别针对计算机或网络资源的恶意企图和行为,并对此做出反应,它提供了对系统受到内部攻击、外部攻击和误操作的实时保护,能够帮助系统对付网络攻击。

入侵检测系统能很好的弥补防火墙的不足,是防火墙的合理完善。

入侵检测系统具有以下几个特点:1)从系统的不同环节收集各种信息2)分析收集到的信息并试图寻找入侵信息活动的特征3)自动对检测到的行为做出响应4)记录并报告检测结果入侵检测系统的主要功能有1)监测并分析用户和系统的活动2)核查系统配置及其漏洞3)评估系统重要资源和数据文件是否完整4)识别己知的入侵行为5)统计分析不正常行为6)根据操作系统的管理日志,识别违反安全策略的用户活动入侵检测技术是一种积极主动地安全防护技术,其核心在于它的检测引擎,如何实现高效快速的检测,是入侵检测技术的一个重要研究重点。

目前入侵检测技术主要分为两大类,分别是基于异常的入侵检测和基于规则的入侵检测。

由于目前的攻击主要是针对网络的攻击,因此检测入侵和攻击的最主要的方法是捕获和分析网络数据包,使用相应的软件来提取入侵者所发出的攻击包的特征,然后将这些特征攻击包和入侵检测系统的特征库进行对比匹配,如果在特征库中检测到相应的攻击包,就会发出入侵报警。

基于Snort入侵检测系统的分析与实现


应用三个方面分析 了 Sot nr 网络入侵检测 系统 , 出了其在项 目中的具体实现及结果。 给
关键 词 入侵检测系统 S ot 规 则 定 义 网络 安 全 nr
ANALYS S AND I REALI ZATI N o oF NoRT. S BAS ED NTRUS oN I I DETECTI N o SYSTEM
维普资讯
第2 3卷 第 8期
20 0 6年 8月
计 算机 应 用与软 件
Co u e pl ai n n o t r mp trAp i to sa d S fwa e c
Vo. 3, . 1 2 No 8 Au . 0 6 g20
1 引 言
随着计算机 网络和信息 化技术 的发展 , 越来越 多的 电子 商
务系统 、 企业信息化平 台建筑在互联 网上 , 人们在享 受网络带 来
种 。著名的开放源代 码 的入侵 检测 系统 S ot nr 就是 一个 基 于 网络的 、 特征规则匹配 的入侵检测系统 。
的资源共享及信息交流 的同时 , 不得不 面对黑客 和网络入 侵 也

pe e ta b e t d cin t h a i o c p n x n my o . n r t a e w r - a e tu in d tc in s s m s n lz d fo r s n r f n r u t ot e b sc c n e t d t o o f DS S o t h t s an t o k b s d i r so e e t y t i ay e r m i i o o a a I i n o e a
Ke wo d y rs I tu i n d t cin s se n r so ee t y t m S o t Ru e d f i o New r e u t o nr l e i t n ni tok sc r y i

入侵检测系统Snort工作原理简析

网络通讯及安全本栏目责任编辑:冯蕾Computer Knowledge and Technology 电脑知识与技术第5卷第25期(2009年9月)入侵检测系统Snort 工作原理简析晏金,苗放(成都理工大学信息工程学院,四川成都610059)摘要:Snort 是基于特征检测的IDS (Intrusion Detection System),使用规则的定义来检查网络中有问题的数据包。

Snort 主要由四个软件模块组成,这些模块使用插件模式和Snort 结合,扩展起来非常方便。

这四个主要部件包括包捕获/解码引擎、预处理器、检测引擎、输出插件。

主要介绍了Snort 的处理过程以及Snort 的四个主要部件的工作原理。

关键词:Snort;括包捕获/解码引擎;预处理器;检测引擎;输出插件中图分类号:TP393文献标识码:A 文章编号:1009-3044(2009)25-7105-03Analyse the Working Principle of Intrusion Detection System with SnortYAN Jin,MIAO Fang(College of Information Engineering,Chengdu University of Technology,Chengdu 610059,China)Abstract:Snort is a signature-based IDS (Intrusion Detection System),uses rules to check for errant packets in network.Snort has four components,most of which take plug-ins to customize Snort implementation.These components include packet capture/decoder engine,preprocessor,detection engine,output plug-ins.This paper porvides a detail introduction of Snort process and the four main components of Snort.Key words :Snort;packet capture/decoder engine;preprocessor;detection engine;output plug-ins随着计算机及网络的飞速发展,当越来越多的公司及个人成为Internet 用户后,计算机网络安全作为一个无法回避的问题呈现在人们面前。

在Windows环境下建立Snort+BASE入侵检测系统

版权申明:本文版权为Stanley所有,仅限于非盈利性网站、BSS、BLOG转载和收藏,未经允许,严禁用于商业用途。

转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明。

Snort是一套非常优秀的开放源代码网络监测系统,在网络安全界有着非常广泛的应用。

其基本原理基于网络嗅探,即抓取并记录经过检测节点以太网接口的数据包并对其进行协议分析,筛选出符合危险特征的或是特殊的流量。

网络管理员可以根据警示信息分析网络中的异常情况,及时发现入侵网络的行为。

其名称Snort(喷鼻息)也是来源于―嗅探‖(snif f)的反义词。

Snort最开始是针对于Unix/Linux平台开发的开源IDS软件,后来才加入了对Windows平台的支持。

但直至现在对于Snort的应用(尤其是Snort的前端传感部分)主要还是基于Unix/Linux平台的,因为现在的普遍观点都支持Unix内核的网络效率要大大高于Windows内核。

不过由于Windows平台的易用性和普及性,在Windows Server上建立开放而又便宜的Snort IDS对于网络研究及辅助分析还是非常有意义的。

第一次在Windows系统下部署基于Snort的IDS是一个非常痛苦的过程,网络上充斥着过时的文档和以讹传讹的借鉴心得,一开始我就走了不少弯路。

不过假如能够理清思路其实并不困难。

I.系统结构基于Snort和BASE的入侵检测系统通常采用―传感器—数据库—分析平台‖的三层架构体系。

传感器即网络数据包捕获转储程序。

WinPcap作为系统底层网络接口驱动,Snort作为数据报捕获、筛选和转储程序,二者即可构成IDS的传感器部件。

为了完整覆盖监控可以根据网络分布情况在多个网络关键节点上分别部署IDS传感器。

Snort获得记录信息后可以存储到本地日志也可以发送到Syslog服务器或是直接存储到数据库中,数据库可以是本地也可以是远程的,Snort2.8.0支持MySQL、MSSQL、PostgreSQL、ODBC、Oracle等数据库接口,扩展性非常好。

Snort入侵检测系统

甘肃政法学院入侵检测课程设计题目Snort入侵检测系统计算机科学学院计算机科学与技术专业09 级计算科学与技术本科班学号: 200981010118姓名:_____刘利刚____指导教师:金涛成绩:_______________完成时间:_2011 年 _12 月摘要:入侵检测已经日益成为网络安全中不可或缺的一部分,它为网络提供了一个防御层,在这一层中我们可以预先定义可能的入侵行为以便对网络活动进行监视,当发现在可能的入侵行为时就会报警通知系统管理员。

现在计算机安全市场上有许多入侵检测系统,但它们都面临一个共同的问题,就是难于配置而且一般价格不菲,Snort相对于它们来说在这方面有相当大的优势。

关键词:IDS;入侵检测系统;SnortAbstract: Intrusion Detection System (IDS) is an important part of network security architecture. They provide a layer of defense, which monitors network traffic for predefined suspicious activity, and alert system administrators when potential hostile traffic is detected. There are many commercial Intrusion Detection Systems nowadays, but almost all of them have the commonalities that they share such as complex deployment and high monetary cost. Snort has more advantage than them.Key words: IDS;Intrusion Detection System;Snort.第一章绪论snort是一个免费的基于libpcap的轻量级网络入侵检测系统。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

1.1.1安装apache选择custom安装,指定安装目录c:\apache,运行apache安装端,一直ne xt,直到安装完成。

我们验证一下:图3-1 apache安装成功界面如出现图3-1这种情况,表明安装成功。

1.1.2安装php解压php-5.2.4-Win32到c:\php。

复制c:\php\php5ts.dll和c:\php\lib mysql.dll文件到c:\windows\system32,复制c:\php\php.ini-dist到c:\win dows\并重命名为php.ini,修改php.ini,分别删去“extension=php_gd2.dll”“extension=php_mysql.dll”前的分号,并指定extension_dir="c:\php\ext ",同时复制c:\php\ext下的php_gd2.dll与php_mysql.dll到c:\windows\sy stem32。

在C:\apache\conf\httpd.conf中添加在下面语句中后面添加(回车)#Load Module ssl_module modules/mod_ssl.so115行LoadModule php5_module "c:/ php/php5apache2_2.dll"和在下面语句中后面添加(回车)ScriptAlias /cgi-bin/ "C:/apache/cgi-bin/"385行AddType application/x-httpd-php .php(此处应注意空格),并重启Apache服务。

在C:\apache\htdocs目录下新建webinf. php(文件内容为:<?phpinfo();?>)并使用http://127.0.0.1/webinf.php访问测试是否能够显示当前Apache服务器的信息,如果能够显示表明Apache和p hp工作基本正常重新启动apache服务,点stop再点击start,使用http://12 7.0.0.1/w e b i n f.p h p测试是否安装成功,成功的界面,如图3-2:图3-2 安装成功界面1.1.3安装winpcap与snort按照向导提示安装一路默认安装即可,安装完成后使用下面命令测试是否安装成功。

在命令控制台进入snort根目录,输入命令:c:\snort\bin> snort -W (W为大写)当你看到左上角有个小猪图形,表明安装成功。

如图3-3:图3-3安装成功界面1.1.4安装和配置mysql安装一路next就可以按照成功,注意设置个root的密码,然后打开MySQL 的客户端,将c:\snort\schemas目录下的create_mysql复制到C:\Program Files\MySQL\MySQL Server 5.0\bin目录下,在MySQL的dos控制台中建立snort 库和snort_archive库。

代码如下:mysql> create database snort;mysql> create database snort_archive;mysql> use snortmysql> source create_mysqlmysql> show tables;mysql> use snort_archivemysql> source create_mysqlmysql> show tables;为mysql建立snort和acid账号,使idscenter或acid能访问mysql中与snort有关的数据库文件。

使用语句:mysql> grant usage on *.* to "acid"@"localhost" identified by "ac idtest";mysql> grant usage on *.* to "snort"@"localhost" identified by "s norttest";再为snort和acid账户分配相关权限,语句:mysql> grant select,insert,update,delete,create,alter on snort .* to "snort"@"localhost";mysql> grant select,insert,update,delete,create,alter on snort .* to "acid"@"localhost";mysql> grant select,insert,update,delete,create,alter on snort_ar chive .* to "snort"@"localhost";mysql> grant select,insert,update,delete,create,alter on snort_ar chive .* to "acid"@"localhost";启用php对MySQL的支持,修改php.ini,找到"extension=php_mysql.dll",去掉前面的";",复制c:\php\ext下的php_mysql.dll文件到c:\windows下复制c:\php下的libmysql.dll文件到c:\windows\system32下。

1.1.5安装adodb解压缩adodb498.tgz到c:\php\adodb目录下。

1.1.6安装jpgraph解压缩jpgraph-2.1.4.tar.gz到c:\php\jpgraph。

1.1.7安装acid解压缩acid-0.9.6b23.tar.gz到c:\apache\htdocs\acid目录下。

修改acid_conf.php为下列格式,(用写字板打开)$DBlib_path = "c:\php\adodb";$DBtype = "mysql"$alert_dbname = "snort";$alert_host = "localhost";$alert_port = "3306";$alert_user = "snort";$alert_password = "snorttest"$archive_dbname = "snort_archive";$archive_host = "localhost";$archive_port = "3306";$archive_user ="acid";$archive_password = "acidtest";$ChartLib_path = "c:\php\jpgraph\src";重启apache服务。

使用浏览器打开http://127.0.0.1/acid/acid_db_setu p.php建立acid运行必须的数据库。

如图3-4:图3-4 ACID显示成功鼠标点击create ACID AG。

如图3-5:图3-5点击后显示的界面1.2配置snort编辑c:\snort\etc\snort.conf文件,用写字板打开,如下:include classification.configinclude reference.config修改为include c:\snort\etc\classification.configinclude c:\snort\etc\reference.config设置snort输出 alert到MySQL serveroutputdatabase:alert,mysql,hos t=localhostuser=root password=123 dbna-me=snort encoding=hex detail=f ull修改“Dynamicpreprocessor directory/usr/local/lib/snort_Dynamicp reprocessor”为“Dynamicpreprocessor directory c:\snort\lib\snort_dyn amicpreproces-sor”。

修改“dynamicengine/usr/local/lib/snort_dynamicegine/libsf_engine. so”为“dynamicengine c:\snort\lib\snort_dynamicengine\sf_engine.dll”。

如图3-6:图3-6 调整位置1.2.1添加规则库解压缩snortrules-snapshot-CURRENT.tar.gz文件到c:\snort目录下面,覆盖原文件,并使用下列语句来测试:c:\snort\bin>snort -c "c:\snort\etc\snort.conf" -l "c:\snort\log" -d -e -X -i 2浏览器打开http://127.0.0.1/acid会看到类似于以下的界面,如图3-7:图3-7 snort安装配置成功显示这样便宣告snort安装及配置完毕。

1.2.2简单的使用分别用以下命令测试Snort是否工作正常:c:\>snort -dev,能看到一只正在奔跑的小猪证明工作正常;c:\>snort -W,查看本地网络适配器编号。

c:\>s nort –c c:\snort\etc\snort.conf –l c:\snort\log –devX,测试配置文件能够支持工作,但是,在使用过程中snortrules-snapshot-CURRENT.tar包中的web-misc.rules有问题,所以为了其他内容能后正常进行入侵检测,修改c: \Snort\etc\snort.conf,在include $RULE_PATH/web-misc.rules前加#号将其注释掉可以选用IDSCenter配置snort项,采用默认安装IDSCenter11rc4来完成。