IDS SNORT ACID搭建流程

S n o r t详细安装步骤Prepared on 21 November 2021Snort使用报告一、软件安装安装环境:windows 7 32bit二、软件:Snort 、WinPcap 规则库: 实验内容熟悉入侵检测软件Snort的安装与使用三、实验原理Snort是一个多平台(Multi-Platform),实时(Real-Time)流量分析，网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS四.安装步骤1.下载实验用的软件Snort、Snort的规则库snortrules 和WinPcap.本次实验使用的具体版本是Snort 、和WinPcap 首先点击Snort安装点击I Agree.同意软件使用条款，开始下一步，选择所要安装的组件：全选后，点击下一步：选择安装的位置，默认的路径为c:/Snort/,点击下一步，安装完成。

软件跳出提示需要安装WinPcap 以上2.安装WinPcap点击WinPcap安装包进行安装点击下一步继续：点击同意使用条款：选择是否让WinPcap自启动，点击安装：安装完成点击完成。

此时为了看安装是否成功，进入CMD，找到d：/Snort/bin/如下图：（注意这个路径是你安装的路径，由于我安装在d盘的根目录下，所以开头是d:）输入以下命令snort –W，如下显示你的网卡信息，说明安装成功了！别高兴的太早，这只是安装成功了软件包，下面还要安装规则库：3.安装Snort规则库首先我们去Snort的官网下载Snort的规则库，必须先注册成会员，才可以下载。

具体下载地址为，往下拉到Rules，看见Registered是灰色的，我们点击Sign in：注册成功后，返回到这个界面就可以下载了。

下载成功后将压缩包解压到Snort的安装文件夹内：点击全部是，将会替换成最新的规则库。

实验九 snort入侵检测系统软件的使用【实验目的】（1）理解入侵检测的作用和检测原理。

（2）理解误用检测和异常检测的区别。

（3）掌握Snort的安装、配置。

（4）掌握用Snort作为基于主机的入侵检测系统(HIDS)的使用。

【实验内容】（1）安装和配置入侵检测软件。

【实验环境】WindowsXP以上操作系统【实验步骤】（1）安装数据包截取驱动程序。

双击安装文件winpcap.exe ，一直单击“NEXT”按钮完成安装。

（2）安装snort 入侵检测系统：运行snort.exe ，按照安装向导提示完成安装。

其中在installation options窗口中选择第一个选项，表示不将报警数据日志写入到数据库或将日志写入到snort 支持的windows版本的数据库MYSQL和其他ODBC数据库中。

在choose components窗口中，建议将三个组件都选中。

（3）安装the appserv open object ：运行appserv.exe ，按照安装向导提示完成安装。

其中apache HTTP Server窗口中输入WEB服务器的域名主机名称和IP 地址、管理员的EMAIL地址、WEB 服务的端口号。

在弹出的MYSQL Database 窗口中输入MYSQL的相关信息，MYSQL 数据库用户的用户和密码等。

安装完成后，WWW目录为默认的WEB页的发布目录。

在开始菜单中启动APACHE 服务器和MYSQL数据库服务器，在本地计算机的浏览器中输入http://127.0.0.1 ，若出现教材中图7-16 的窗口表示APACHE服务器工作正常。

（4）ACID软件包的安装：解压缩acid.rar 数据包，解压缩到c:\appserv\www\acid 目录中。

（5）ADODB软件包的安装：解压缩adodb.rar 数据包，解压缩到c:\appserv\www\adodb 目录中。

（6）PHP图形库的安装：解压缩jpgraph.rar 数据包，解压缩到c:\appserv\www\jpgraph 目录中。

贵州大学实验报告学院：计信学院专业：班级:（10 ）测试snort的入侵检测相关功能实（1）装有Windows2000 或WindowsXP 操作系统的PC机；验（2）Apache_2.0.46、php-4.3.2、snort2.0.0、Mysql 、adodb、acid、jpgraph 库、仪win pcap 等软件。

器（1）Apache_2.0.46 的安装与配置（2）php-4.3.2 的安装与配置（3）sn ort2.0.0 的安装与配置实（4）Mysql数据库的安装与配置验（5）adodb的安装与配置步（6）数据控制台acid的安装与配置骤（7）jpgraph 库的安装（8）win pcap的安装与配置（9）snort规则的配置（10 ）测试snort的入侵检测相关功能（一）windows 环境下snort 的安装实1、安装 Apache_2.0.46验（1）双击 Apache_2.0.46-win32-x86-no_src.msi ，安装在默认文件夹C:\apache 内下。

安装程序会在该文件夹下自动产生一个子文件夹apache2 。

容Php)3、安装 snort安装snort-2_0_0.exe , snort 的默认安装路径在 C:\snort安装配置Mysql 数据库(1)安装Mysql 到默认文件夹 C:\mysql ，并在命令行方式下进入C:\mysql\bin ,输入下面命令： C:\mysql\bin\mysqld - install 这将使 mysql 在 Windows 中以服务方式运行。

(2)在命令行方式下输入 net start mysql ，启动mysql 服务(3 )进入命令行方式，输入以下命令 C:\mysql\b in> mysql -u root -p如下图:出现Enter Password 提示符后直接按"回车”，这就以默认的没有密码的 root 用户 登录mysql 数据库。

标题：Snort入侵检测系统的配置安装作者：CmdH4ck工作平台：VMware虚拟机服务平台：windows server2003（安装snort）辅助平台：windows xp（进行入侵测试）工具：Apache服务器Php语言Winpcap网络驱动Snort入侵检测系统MY SQL数据库adodb组件jgraph组件acid组件snort规则包具体操作步骤：在C盘新建一个IDS文件夹，所需的工具软件安装在此文件夹内1.安装Apache服务器（图1——图5）安装时先将iss的服务关闭，防止造成端口冲突，如图.1图1关闭IIS服务后即可安装Apache服务器（没有截图的，默认点击下一步）图2图3图4安装完成之后，打开浏览器，输入http://localhost，出现以下内容，则表示安装成功图52．安装php解压php-5.2.6-win32.zip到c:\ids\php5\下，如图6图6复制c:\ids\php5\目录下的php5ts.dll到C:\WINDOWS\system32目录下复制c:\ids\php5\目录下的php.ini-dist到c:\windows目录下，并重命名为php.ini。

修改C:\ids\apache\conf\httpd.conf文件，加入apache对php的支持。

加入loadmodule php5_module c:/ids/php5/php5apache2_2.dll(如图7)图7添加类型：加入:addtype application/x-httpd-php .php （如图8）图8修改c:\windows\php.ini文件，去掉extension=php_gd2.dll前面的分号，使之支持gd2图9复制c:\ids\php5\ext文件夹下的php_gd2.dll文件到c:\windows文件夹下以上配置完成后，重启下apache服务器。

然后在apache网页存放目录下(C:\ids\apache\htdocs)编写test.php,内容为<?php phpinfo(); ?> （用记事本编写，后缀改为php即可）图10然后打开浏览器，输入地址http://localhost/test.php，如果出现图11，则一切正常。

网络攻击检测系统的配置步骤网络攻击已经成为现代社会安全领域的一个重大威胁。

为了保护网络安全，企业和组织通常会采用网络攻击检测系统（Intrusion Detection System，简称IDS）来监测和识别网络中的异常活动。

本文将介绍网络攻击检测系统的配置步骤，帮助读者了解如何正确设置和部署IDS来确保网络的安全性。

1.明确目标和需求在配置网络攻击检测系统之前，首先需要明确目标和需求。

不同的组织可能有不同的需求，例如检测特定类型的攻击、实时响应攻击或者记录并审计攻击日志。

明确目标和需求可以帮助决定配置哪种类型的IDS以及如何进行具体的设置。

2.选择合适的IDS选择合适的IDS是配置网络攻击检测系统的关键一步。

市场上有许多不同的IDS可供选择，包括基于网络流量的IDS和基于主机的IDS。

根据自己的需求和预算，选择适合的IDS产品或方案。

3.部署IDS一旦确定了合适的IDS，就可以开始部署系统。

首先，需要根据网络拓扑图和架构确定合适的部署位置。

常见的部署位置包括入侵检测网关（Intrusion Detection Gateway）和内部服务器。

然后，在每个部署位置上安装IDS软件和硬件。

在部署过程中，还需要确保IDS与其他网络设备和系统的兼容性。

4.配置IDS规则配置IDS规则是确保系统准确识别和报告攻击的关键一步。

IDS根据预定义的规则或签名来检测网络中的攻击活动。

规则可以包括具体的攻击特征、异常行为或传输协议规范等。

根据自己的需求，可以使用默认规则库或自定义规则来配置IDS。

5.优化和调试配置网络攻击检测系统后，需要进行一系列的优化和调试工作以确保正常运行。

首先，需要对IDS进行性能测试，以确定其是否能够满足预期的流量和吞吐量。

随后，可以通过模拟攻击或使用已知的攻击样本来验证IDS的有效性。

在这个过程中，需要注意检查系统日志和报警功能是否正常工作。

6.更新和维护网络安全环境不断变化，因此定期更新和维护IDS是保持网络安全的关键。

入侵检测系统实验学习Windows系统下配置和使用入侵检测系统软件Snort一、实验目的.1、.通过实验深入理解入侵检测系统的原理和工作方式。

.2、.熟悉入侵检测工具snort在Windows操作系统中的安装和配置方法。

二、实验环境..实验室所有机器安装了Windows 2000操作系统，并并附带Apache、php、mysql、snort、adodb、acid、窘迫grapg、winpcap等软件的安装包。

三、实验原理1、..入侵检测系统简介..入侵检测系统通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

2、..入侵检测系统的分类..入侵检测系统可分为主机型和网络型..主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源，当然也可以通过其他手段（如监督系统调用）从所在的主机收集信息进行分析。

主机型入侵检测系统保护的一般是所在的系统。

..网络型入侵检测系统的数据源则是网络上的数据包。

往往将一台机子的网卡设于混杂模式（promiscmode）,监听所有本网段内的数据包并进行判断。

一般网络型入侵检测系统担负着保护整个网段的任务。

3、..入侵检测的实现技术..可分为两类：一种基于标志（signature-based），另一种基于异常情况(anomaly-based)。

..对于基于标识的检测技术来说，首先要定义违背安全策略的事件的特征，如网络数据包的某些头信息。

检测主要判别这类特征是否在所收集到的数据中出现。

此方法非常类似杀毒软件。

..而基于异常的检测技术则是先定义一组系统“正常”情况的数值，如CPU利用率、内存利用率、文件校验和等，然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。

⽹络⼊侵检测系统（IDS）的安装部署安装snort⼊侵检测系统1、登录ids系统登录实验机后，打开桌⾯上的putty程序，输⼊10.1.1.106，再点击Open.。

输⼊⽤户名：root，密码：bjhit2、安装LAMP环境（省略）在putty⾥⾯输⼊如下命令进⾏安装apt-get install mysql-server libapache2-mod-php5 php5-mysql libphp-adodb注意：因为下载时间太长，会耽误过多的时间，所以提前已经安装好了。

这⾥给mysql的root⽤户，设置的密码是123456。

3、安装snort软件包(已安装)#apt-get install snort-mysql在安装过程中会提⽰下图所⽰信息。

（这⾥是填写监听的⽹段）4、创建snortdb数据库登录mysql mysql -u root -p123456进⼊数据库后，创建⼀个数据库命名为snortdb。

create database snortdb;grant create, insert, select, update on snortdb.* to snort@localhost;set password for snort@localhost=password('snortpassword');创建⼀个数据库⽤户，⽤户名为snort，密码为snortpassword。

将snort-mysql⾃带的软件包中附带的sql⽂件，导⼊到数据库中。

cd /usr/share/doc/snort-mysql/zcat create_mysql.gz | mysql snortdb -u snort -psnortpasswordrm /etc/snort/db-pending-config5、配置snort配置好了数据库后，需要配置Snort配置⽂件（/etc/snort/snort.conf），告诉snort以后⽇志写⼊到snortdb数据库中。

网络安全中的入侵检测系统构建教程随着互联网的普及和发展，网络安全问题日益引起人们的关注。

恶意攻击和入侵行为给个人和组织的信息安全带来了威胁。

因此，构建一个高效的入侵检测系统成为了保障网络安全的重要环节。

本文将介绍构建入侵检测系统的基本步骤和相关技术，帮助读者了解入侵检测的概念和方法，并为构建安全的网络环境提供指导。

一、入侵检测系统概述入侵检测系统是一种能够监控和分析网络流量的系统，通过识别和响应潜在的入侵行为，帮助阻止攻击者对系统的破坏和信息的窃取。

入侵检测系统分为两种类型：基于网络的入侵检测系统（NIDS）和基于主机的入侵检测系统（HIDS）。

NIDS主要监控网络流量，识别异常行为和攻击模式；而HIDS则运行在主机上，检测主机上的异常活动和入侵行为。

二、构建入侵检测系统的基本步骤1. 确定系统需求：在构建入侵检测系统之前，需要明确系统的具体需求。

这包括确定要保护的网络和主机、目标攻击类型和频率等。

只有了解了自己的需求，才能更好地选择合适的入侵检测系统和技术。

2. 选择入侵检测系统：根据系统需求，选择合适的入侵检测系统。

常见的入侵检测系统有开源软件如Snort、Suricata等，也有商业产品如防火墙设备中集成的入侵检测功能。

在选择时需考虑系统的可扩展性、准确性和易用性等因素。

3. 部署和配置系统：部署入侵检测系统需要按照设备和软件的要求进行配置。

这包括安装和设置相关软件、配置网络设备、定义监控策略和规则等。

4. 监控和检测：一旦入侵检测系统部署完成，就可以开始监控和检测网络流量了。

系统会自动分析流量数据，并根据设定的规则和策略判断是否存在入侵行为。

当系统检测到异常活动时，会触发警报或采取相应的响应措施。

5. 安全事件响应：及时响应安全事件是入侵检测系统的重要环节。

当系统检测到入侵行为或异常活动时，应及时采取措施应对。

这包括信息报告、封堵攻击源、修复漏洞等。

三、入侵检测系统的关键技术1. 网络流量分析：网络流量分析是入侵检测的核心技术之一。

《计算机网络安全》实验报告实验序号： 2 实验项目名称：snort与其基础环境的安装配置学号姓名专业班级20网络工程实验地点指导教师实验时间2022-10-13 snort与其基础环境的安装配置【实验目的】1)熟悉基础环境的搭建和snort的安装配置【实验原理】1)Snort能够对网络上的数据包进行抓包分析，但区别于其它嗅探器的是，它能根据所定义的规则进行响应及处理。

Snort 通过对获取的数据包，进行各规则的分析后，根据规则链，可采取Activation（报警并启动另外一个动态规则链）、Dynamic（由其它的规则包调用）、Alert（报警），Pass（忽略），Log （不报警但记录网络流量）五种响应的机制。

Snort有数据包嗅探，数据包分析，数据包检测，响应处理等多种功能，每个模块实现不同的功能，各模块都是用插件的方式和Snort相结合，功能扩展方便。

例如，预处理插件的功能就是在规则匹配误用检测之前运行，完成TIP碎片重组，http解码，telnet解码等功能，处理插件完成检查协议各字段，关闭连接，攻击响应等功能，输出插件将得理后的各种情况以日志或警告的方式输出。

【实验环境】CentOS6.5：192.168.1.2【实验步骤】一、安装snort+barnyard21.1进入/home/software目录，解压libpcap-1.0.0.tar.gz。

如图1所示图11.2进入目录libpcap-1.0.0的目录执行“./configure”命令进行配置。

如图2所示图21.3执行命令“make && make install”，进行libpcap的编译安装。

如图3所示图31.4进入目录“/home/software”，ls查看文件，执行命令“tar zxvf daq-2.0.4.tar.gz”，解压daq-2.0.4.tar.gz文件。

如图4所示图41.5使用cd命令切换到daq-2.0.4的目录下。

1．在Windows环境下安装snort。

（1）安装Apache_2.0.46①双击apache_2.0.46-win32-x86-no_src.msi，安装在文件夹C:\apache下。

安装程序会在该文件夹下自动产生一个子文件夹apache2。

②为了避免Apache Web服务器的监听端口与Windows IIS中的Web服务器的80监听端口发生冲突，这里需要将Apache Web服务器的监听端口进行修改。

打开配置文件C:\apache\apache2\conf\httpd.conf，将其中的Listen 80，更改为Listen50080。

如图3.34所示。

图3.34修改apache的监听端口③单击“开始”按钮，选择“运行”，输入cmd，进入命令行方式。

输入下面的命令：C:\>cd apache\apache2\binC:\apache\apache2\bin\apache –k install这是将apache设置为以Windows中的服务方式运行。

如图3.35所示。

图3.35Apache以服务方式运行（2）安装PHP①解压缩php-4.3.2-Win32.zip里面的文件至C:\php\。

②复制C:\php下php4ts.dll至%systemroot%\System32，复制C:\php下php.ini-dist 至%systemroot%\，然后修改文件名为：php.ini。

③添加gd图形库支持，把C:\php\extensions\ php_gd2.dll拷贝到%systemroot%\System32，在php.ini中添加extension=php_gd2.dll。

如果php.ini有该句，将此语句前面的“；”注释符去掉。

如图3.36所示图3.36修改php.ini配置文件④添加Apache对PHP的支持。

在C:\apache\apache2\conf\httpd.conf中添加：LoadModule php4_module "C:/php/sapi/php4apache2.dll"AddType application/x-httpd-php .php如图3.37和图3.38所示。

《网络安全技术》实验报告姓名系别实验地点A406学号年级班实验时间2012-5-24 成绩评定教师签字实验项目一、实验目的1. 通过实验进一步理解IDS的原理和作用；2. 学习安装、配置和使用Snort入侵检测系统；3. 学习分析Snort警报文件；4. 结合指定的攻击特征，学习如何创建检测规则。

二、实验内容1. 学习Snort基础知识；2. 安装工具软件（snort、winpcap和nmap）扫描工具；3. 使用snort进行Xmax扫描检测和目录遍历攻击；4. 创建和测试规则；三、实验步骤（一）软件安装1. 打开计算机安装nmap，安装时全部按照默认设置直至安装成功。

2. 如果计算机上没有安装winpcap4.1或以上版本，则需要安装，安装时全部按照默认设置直至安装成功。

3. 打开虚拟机，启动windows server 2003，安装snort，将snort安装在C盘，安装时全部按照默认设置直至安装成功。

4. 在虚拟机上安装winpcap，安装时全部按照默认设置直至安装成功。

（二）将snort用作嗅探器snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。

嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。

数据包记录器模式把数据包记录到硬盘上。

网路入侵检测模式是最复杂的，而且是可配置的。

我们可以让snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。

在虚拟机上（IP：172.28.15.150）：1.单击[开始]-[运行]并输入cmd进入命令行。

2.在命令行中键入cd c:\snort\bin，回车确认。

3．键入snort –h，回车确认，这将显示可以与snort一起使用的命令行选项的帮助文件（认真看一下每一个选项的涵义）。

3.键入snort –vde，并回车确认。

在宿主机上（IP：172.28.15.151）：5.单击[开始]-[运行]并输入cmd进入命令行。

Snort配置实验简要步骤1.安装apache2：安装 PHP5：3）安装winpcap4）安装snort5）安装和设置mysql5）安装adodb: 146）安装jpgrapg 库7）安装acid8）建立acid 运行必须的数据库9）解压 snortrules-snapshot-CURRENT.tar.gz到c:\snort目录下10）启动snort11）测试snort部分安装过程截图安装完成使用下列命令行验证是否成功C:\Snort\bin>snort.exe -W （也可以看到所有网卡的Interface 列表）出现小猪标志表示安装成功安装结束后进行配置并启动snort（1）打开C:\snort\etc\snort.conf文件，将文件中的下列语句： include classification.config include reference.config 修改为绝对路径：include C:\snort\etc\classfication.config include C:\snort\etc\reference.config（2）在该文件的最后加入下面语句：Output database: alert,mysql,host=localhost user=snort password=snorttest dbnam e=snort encoding=hex detail=full（3）进入命令行方式，输入下面的命令：C:\snort\bin>snort –c “C:\snort\etc\snort.conf”–l “C:\snort\log”–d –e –X（4）打开http://127.0.0.1:50080/acid/acid_main.php网页10.打开C:\snort\etc\snort.conf（1）配置snort的内、外网检测范围。

将snort.conf文件中var Home_NET any语句中的any改为自己所在的子网地址，即将snort监测的内网设置为本机所在局域网。

Snort企业部署实战Snort企业部署实战1 背景我们知道企业⽹络⽬前威胁来⾃两个位置：⼀个是内部，⼀个是外部。

来⾃外部的威胁都能被防⽕墙所阻⽌，但内部攻击都不好防范。

因为公司内部⼈员对系统了解很深且有合法访问权限，所以内部攻击更容易成功。

IDS为信息提供保护，已经成为深度防御策略中的重要部分。

IDS与现实世界⾥的防窃报警装置类似。

他们都对⼊侵进⾏监控，当发现可疑⾏为时，就向特定的当事⼈发出警报。

IDS分为两类：主机IDS(HIDS)和⽹络IDS(NIDS)。

HIDS安装在受监控主机上，拥有对敏感⽂件的访问特权。

HIDS利⽤这⼀访问特权对异常⾏为进⾏监控。

NIDS存在于⽹络中，通过捕获发往其他主机的流量来保护⼤量⽹络设施。

HIDS和NIDS都有各⾃的优点和缺点，完整的安全解决⽅案应包括这两种IDS，对于这⼀点⽐较难做到。

不了解这⼀领域的⼈常常认为IDS就像⼀把万能钥匙，能解决所有安全问题。

例如有的单位花了⼤笔的钱购置了商业IDS由于配置不当反⽽搞得练练误报⼀下⼦就把数据库塞满了，⼤量丢包，进⽽崩溃。

这种态度使⼈们以为只要将IDS随便安放在⽹络中就万事⼤吉了，不必担⼼任何问题，实际上远⾮如此。

没有⼈会认为Email服务器直接连在Internet上就能正确运作。

同样，你也需要正确的计划IDS策略，传感器的放置。

下⽂以开源软件Snort的安装与维护为例，介绍正确地安装和维护IDS的思路和⽅法。

2 安装Snort2.1安装准备⼯作我们在安装前我们要知道我们需要监控的内容，理想的状况是对⼀切进⾏监控。

所有⽹络设备和任何从外部到企业的连接都处在Snort的监视之下。

尽管这⼀计划对⼩公司只有⼏⼗台机器是很可能实现的，但是当⼤型企业中连接上天台⽹络设备时，这成了难以施展的艰巨任务。

为了加强snort检测的安全性，最好能为监控⽹段提供独⽴的智能交换机，如果你需要配置分布式的配置，可以吧服务器和控制台接在⼀个交换机上，⼆其他传感器放置在不同的物理位置，但这样的成本会有所增加。

搭建Snort+SQL SERVER+acid入侵检测环境
张志华;刘彬
【期刊名称】《湖南工业职业技术学院学报》
【年(卷),期】2008(008)001
【摘要】本文叙述了配置入侵检测系统的步骤,将snort捕获的入侵情况关联到SQL SERVER 中,实现在acid中动态观察拦截数据包的情况,实现自己的友好的图形界面.
【总页数】2页(P23-24)
【作者】张志华;刘彬
【作者单位】湖南工业职业技术学院,信息工程系,湖南,长沙,410208;长沙市福利彩票发行中心
【正文语种】中文
【中图分类】TP102
【相关文献】
1.APN网络和WIFI网络环境的安全系统搭建——仓库WIFI环境和现场PDA环境安全网络的搭建 [J], 郝伟
2.使用Snort+BASE快速搭建校园网入侵检测平台 [J], 姜开达
3.轻量级入侵检测系统搭建与应用 [J], 蒲晓川
4.“软件人”入侵检测系统平台搭建 [J], 郑军
5.环境设计专业实践教学探索——以环境设计专业空间搭建课程教学为例 [J], 刘晨
因版权原因，仅展示原文概要，查看原文内容请购买。

实验7 基于snort的IDS配置实验1．实验目的通过配置和使用Snort，了解入侵检测的基本概念和方法，掌握入侵检测工具的使用方法，能够对其进行配置。

2．实验原理2.1 入侵检测基本概念入侵检测系统（Intrusion Detection System简称为IDS）工作在计算机网络系统中的关键节点上，通过实时地收集和分析计算机网络或系统中的信息，来检查是否出现违反安全策略的行为和是否存在入侵的迹象，进而达到提示入侵、预防攻击的目的。

入侵检测系统作为一种主动防护的网络安全技术，有效扩展了系统维护人员的安全管理能力，例如安全审计、监视、攻击识别和响应的能力。

通过利用入侵检测系统，可以有效地防止或减轻来自网络的威胁，它已经成为防火墙之后的又一道安全屏障，并在各种不同的环境中发挥关键作用。

1．入侵检测系统分类根据采集数据源的不同，IDS可分为基于网络的入侵检测系统（Network-based IDS，简称NIDS）和基于主机的入侵检测系统（Host-based IDS，简称HIDS）。

NIDS使用监听的方式，在网络通信的原始数据包中寻找符合网络入侵模版的数据包。

NIDS的网络分析引擎放置在需要保护的网段内，独立于被保护的机器之外，不会影响这些机器的CPU、I/O与磁盘等资源的使用，也不会影响业务系统的性能。

NIDS一般保护的是整个网段。

HIDS安装在被保护的机器上，在主机系统的审计日志或系统操作中查找信息源进行智能分析和判断，例如操作系统日志、系统进程、文件访问和注册表访问等信息。

由于HIDS 安装在需要保护的主机系统上，这将影响应用系统的运行效率。

HIDS对主机系统固有的日志与监视能力有很高的依赖性，它一般保护的是其所在的系统。

NIDS和HIDS各有优缺点，联合使用这两种方式可以实现更好的检测效果。

2．入侵检测系统的实现技术入侵检测系统的实现技术可以简单的分为两大类：基于特征的检测（Signature-based）和基于异常的检测（Anomaly-based）。

如何构建一个入侵检测系统(IDS)通常来说，一个企业或机构准备进军此领域时，往往选择从基于网络的IDS入手，因为网上有很多这方面的开放源代码和资料，实现起来比较容易，并且，基于网络的IDS适应能力强。

有了简单网络IDS的开发经验，再向基于主机的IDS、分布式IDS、智能IDS等方面迈进的难度就小了很多。

在此，笔者将以基于网络的IDS为例，介绍典型的IDS开发思路。

根据CIDF规范，我们从功能上将入侵检测系统划分为四个基本部分：数据采集子系统、数据分析子系统、控制台子系统、数据库管理子系统，如附图所示。

具体实现起来，一般都将数据采集子系统（又称探测器）和数据分析子系统在Linux或Unix平台上实现，我们称之为数据采集分析中心;将控制台子系统在Windows NT或2000上实现，数据库管理子系统基于Access或其他功能更强大的数据库，多跟控制台子系统结合在一起，我们称之为控制管理中心。

本文以Linux和Windows NT平台为例介绍数据采集分析中心和控制管理中心的实现。

可以按照如下步骤构建一个基本的入侵检测系统。

第一步获取libpcap和tcpdump审计踪迹是IDS的数据来源，而数据采集机制是实现IDS的基础，否则，巧妇难为无米之炊，入侵检测就无从谈起。

数据采集子系统位于IDS的最底层，其主要目的是从网络环境中获取事件，并向其他部分提供事件。

目前比较流行的做法是：使用libpcap和tcpdump，将网卡置于“混杂”模式，捕获某个网段上所有的数据流。

libpcap是Unix或Linux从内核捕获网络数据包的必备工具，它是独立于系统的API接口，为底层网络监控提供了一个可移植的框架，可用于网络统计收集、安全监控、网络调试等应用。

tcpdump是用于网络监控的工具，可能是Unix上最著名的sniffer了，它的实现基于libpcap接口，通过应用布尔表达式打印数据包首部，具体执行过滤转换、包获取和包显示等功能。

snort+acid【简介】/intrusion-detection-with-snort-mysql-apache2-on-ubuntu-7.10Snort是个轻便的网络入侵检测系统，能完成实时流量分析和对网络上的IP包登录进行测试等功能，能完成协议分析，内容查找／匹配，能用来探测多种攻击和嗅探（如缓冲区溢出、秘密断口扫描、CGI攻击、SMB嗅探、拇纹采集尝试等）。

前提：Apache要支持PHP，这样我们才能在浏览器上通过acid分析日志，喜欢看文本日志的除外more /var/log/snort/alert需要的软件包：①httpd-2.0.52.tar.gz，/download.cgi②mysql-standard-4.1.9-pc-linux-gnu-i686.tar.gz，/get/Downloads/MySQL-4.1/mysql-standard-4.1.9-pc-linux-gnu-i686.tar.gz/f rom/pick③php-4.3.10.tar.gz，/downloads.php④snort+acid+adodb+jpgraph+libpcap+pcre这些包我已打包好放我网站里了，地址：/squall/snort_soft.tar.bz2apache+mysql+php这里不介绍了，不清晰的到我那拿PDF的吧。

（这里说明一下，最新的snort-2.3.3.tar.gz的contrib目录里非常多重要文件都没有，所以按照参考教程又下了一个snort-2.0.0.tar.gz）一、准备工作# 把所有tar包放到/usr/local/src/下。

# tar zxvf libpcap-0.7.2.tar.gz# cd libpcap-0.7.2# ./configure# make# make install# cd ..# tar zxvf pcre-5.0.tar.gz# ./configure# make# make install# 我这里没有安装zlib，因为我的系统里有，如果你要安装新的zlib包，请先卸载自带的包。