实验16Snort入侵检测

呼伦贝尔学院

计算机科学与技术学院

无线网络论文

题目：基于snort的入侵检测方案设计学生姓名： #### 学号： 2008121225 专业班级： 2008级计算机科学与技术二班指导教师：刘仁山

完成时间： 2012年

摘要

由于计算机技术的飞速发展，计算机网络的应用也越来越广泛。然而随之而来的各种病毒的困扰及黑客行为的不断升级，网络安全已经成为了一个非常重要而且是必须考虑的问题之一了。通过对计算机网络安全存在的问题进行深入剖析，并提出了相应的安全防范技术措施。

近年来，随着计算机网络技术的飞速发展，尤其是互联网的应用变得越来越广泛，在带来了前所未有的海量信息的同时，计算机网络的安全性变得日益重要起来，由于计算机网络联接形式的多样性、终端分布的不均匀性、网络的开放性和网络资源的共享性等因素，致使计算机网络容易遭受病毒、黑客、恶意软件和其它不轨行为的攻击。为确保信息的安全与网络畅通，研究计算机网络的安全与防护措施已迫在眉捷。本人结合实际经验，对计算机网络安全与防护措施进行了探讨。

关键词计算机网络；安全；因素；入侵检测

Abstract

Due to the rapid development of computer technology, the computer network is applied more and more extensively. However, the ensuing viral distress and hacking is ceaseless upgrade, network security has become a very important and must be considered one of the problems. Through the computer network security problems in-depth analysis, and put forward the corresponding security measures.

snort入侵检测实验报告

《snort入侵检测实验报告》

摘要：

本实验旨在通过使用snort入侵检测系统，对网络中的入侵行为进行监测和分析。通过搭建实验环境，模拟各种入侵行为，并利用snort系统进行实时监测和报警，最终得出了实验结果并进行了分析。

一、实验背景

随着网络技术的不断发展，网络安全问题也日益突出。入侵检测系统作为网络安全的重要组成部分，扮演着监测和防范网络入侵的重要角色。snort作为一款开源的入侵检测系统，具有灵活性和高效性，被广泛应用于网络安全领域。

二、实验目的

1. 了解snort入侵检测系统的工作原理和基本功能；

2. 掌握snort系统的安装和配置方法；

3. 利用snort系统对网络中的入侵行为进行实时监测和分析；

4. 总结实验结果，提出改进建议。

三、实验环境搭建

1. 硬件环境：PC机一台，网络交换机一台；

2. 软件环境：Ubuntu操作系统，snort入侵检测系统；

3. 实验网络：搭建一个简单的局域网环境，包括多台主机和一个路由器。

四、实验步骤

1. 安装和配置snort系统；

2. 在实验网络中模拟各种入侵行为，如端口扫描、ARP欺骗、DDoS攻击等；

3. 使用snort系统进行实时监测和报警；

4. 收集实验数据，进行分析和总结。

五、实验结果

通过实验，我们成功搭建了snort入侵检测系统，并对网络中的入侵行为进行了监测和分析。实验结果显示，snort系统能够有效地检测到各种入侵行为，并及时发出警报。同时，我们也发现了一些不足之处，如对于一些新型的入侵行为可能无法及时识别和防范。

实验：入侵检测系统（Snort）的安装与配置

一、实验目的

学会WINDOWS下SNORT的安装与配置

二、实验环境

WinXP虚拟机

三、实验步骤与结果

一．在“我的电脑”中C盘中建立文件夹“zhangxiaohong”

二．安装WinPcap，运行WinPcap_4_1_2.zip，默认安装。

三．安装mysql，运行mysql-5.0.22-win32.zip，选择自定义安装选择安装路径

C:\zhangxiaohong\mysql 下，安装时注意：端口设置为3306（以后要用到），密码本实验设置成123

四．安装apache

1.运行apache_

2.2.4-win32-x86-no_ssl.zip，安装到c:\zhangxiaohong\Apache

2.安装Apache，配置成功一个普通网站服务器

3.出现Apache HTTP Server 2.0.55的安装向导界面，点“Next”继续

4.确认同意软件安装使用许可条例，选择“I accept the terms in the license

agreement”，点“Next”继续

5.将Apache安装到Windows上的使用须知，请阅读完毕后，按“Next”继续

6.选择安装类型，Typical为默认安装，Custom为用户自定义安装，我们这里选

择Custom，有更多可选项。按“Next”继续

7.出现选择安装选项界面，如图所示，左键点选“Apache HTTP Server 2.0.55”，

选择“This feature, and all subfeatures, will be installed on local hard drive.”

入侵检测技术实验Snort网络入侵检测

学院：

班级：

姓名：

学号：

一、实验目的

1)掌握数据库的使用方法和MySQLfront的安装使用方法

2)掌握wireshark抓取数据包分析关键特征以及相关格式内容

3)掌握病毒的工作原理和通信过程，交互的信息

4)将这门课的内容结合实际进行分析和实践

二、实验原理

1)实验环境：

WinPcap_4_1_2.exe 网络数据包截取驱动程序

Snort_2_9_1_Installer.exe Windows 版本的Snort 安装包

mysql-5.5.18-win32.msi Windows 版本的mysql安装包

MySQL_Front_Setup.1765185107.exe mysql数据库可视化软件

snortrules-snapshot-CURRENT.tar.gz Snort规则库

Wireshark-win32-1.12.0.1410492379.exe抓包分析工具

2)实验环境的搭建

按照所给文档“Windows XP下安装配置Snort”的提示安装所需的软件，下面几个图片是成功安装的图片：

图（1）建立snort库

图（2）成功建立snort库

图（3）成功启动snort进行检测

至此，实验环境搭配成功。

三、实验内容

1)测试检测效果

测试虽然成功启动snort，但不能确定是否成功，故此测试任意IP端口

进行测试

配置此时的规则，修改local.rules文件，改规则为：alert ip any any -> any any (msg: "IP Packet detected";sid:1000000;)

遵义师范学院计算机与信息科学学院

告验报实

）学期2013—2014学年第1 （

网络安全实验课程名称：

班级：

号：学

姓名：

任课教师：

计算机与信息科学学院．实验报告

1

闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现：监视、分析用户及系统活动··系统构造和弱点的审计·识别反映已知进攻的活动模式并向相关人士报警·异常行为模式的统计分析·评估重要系统和数据文件的完整性·操作系统的审计跟踪管理，并识别用户违反安全策略的行为。对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能给网络安全策略的制订提供指南。更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。而且，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。:

两种特征检测与异常检测入侵检测系统所采用的技术可分为，这一检测假设入侵Misuse detection 特征检测(Signature-based detection) 又称者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。的假设是入侵者活动异常于正常主体的活动。根据这一(Anomaly detection)异常检测理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。异常检测的难题在于如何从而不把正常的操作作为“入侵”或忽略真建立“活动简档”以及如何设计统计算法，

遵义师范学院计算机与信息科学学院

实验报告

（2013—2014学年第1 学期）

课程名称：网络安全实验

班级：

学号：

姓名：

任课教师：

计算机与信息科学学院

实验报告

闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现：

·监视、分析用户及系统活动

· 系统构造和弱点的审计

· 识别反映已知进攻的活动模式并向相关人士报警

· 异常行为模式的统计分析

· 评估重要系统和数据文件的完整性

·操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能给网络安全策略的制订提供指南。更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。而且，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。

入侵检测系统所采用的技术可分为特征检测与异常检测两种:

特征检测(Signature-based detection) 又称Misuse detection ，这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。

异常检测(Anomaly detection)的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为

⼊侵检测软件Snort的使⽤实验

1．安装和配置 IDS 软件 Snort并查看⽹卡信息

从返回的结果可知主机上有哪个物理⽹卡正在⼯作及该⽹卡的详细信息。图中显⽰此计算机只有1个⽹卡，且该⽹卡具有物理地址。

2.输⼊ snort –v –i1命令启⽤ Snort并捕捉到⼀些流量

3. 配置snort

3.1打开 snort配置⽂件，设置 Snort 的内部⽹络和外部⽹络⽹络检测范围。将 Snort.conf ⽂件中的 var HOME_NET any 语句的 any 改为⾃⼰所在的⼦⽹地址，即将Snort 监测的内部⽹络设置为所在的局域⽹。我实验的机器ip地址为192.168.1.131，故⼦⽹地址应该为

192.168.1.0/24

3.2配置⽹段内提供⽹络服务的 IP 地址，只需要把默认的$HOME_NET 改成对应的主机地址即可。

var DNS_SERVERS $HOME_NET

var SMTP_SERVERS HOME N ETvarHTTP S ERVERS HOME_NET

var SQL_SERVERS HOME N ETvarTELNET S ERVERS HOME_NET

var SNMP_SERVERS $HOME_NET

3.3配置动态预处理器库

# path to dynamic preprocessor libraries

dynamicpreprocessor directory c:\Snort\lib\snort_dynamicpreprocessor

dynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_dce2.dll

实验网络入侵检测系统（Snort）实验

一、实验平台的搭建

1）实验软件：

（1）windows server 2003或Windows 2000 Server镜像文件

（2）网络数据包截取驱动程序

WinPcap_4_1_2.zip

http://winpcap.polito.it/

（3）Windows 版本的Snort 安装包

Snort_2_9_0_5_Installer.exe

/

（4）Windows 版本的Apache Web 服务器

apache_2.2.4-win32-x86-no_ssl.zip

/

（5）Windows版本的PHP脚本环境支持

php-5.2.5-Win32.zip

/

（6）Windows 版本的Mysql 数据库服务器

mysql-5.0.22-win32.zip

/

（7）ACID（Analysis Console for Intrusion Databases）基于PHP的入侵检测数据库分析控制台

acid-0.9.6b23.tar.gz

/kb/acid

（8）Adodb（Active Data Objects Data Base）PHP库

adodb504.tgz

/adodb

（9）PHP图形库

jpgraph-2.3.tar.gz

http://www.aditus.nu/jpgraph

（10）snort 规则包

rules20090505.tar.gz

2）安装步骤：

（1）组件的安装：

在c:下建立duoduo的文件夹，再在其下建立duo的文件夹放入所有的安装程序，在后续的安装时，把可以选择安装路径的组件安装在duoduo的文件夹下

入侵检测实验报告

建立snort 运行必须的snort 库和snort_archive 库

C:\Program Files\MySQL\MySQL Server 5.0\bin>mysql -u root -p Enter password: （你安装时设定的密码，这里使用mysql这个密码）mysql>create database snort;

mysql>create database snort_archive;

使用C:\Snort\schemas目录下的create_mysql 脚本建立Snort 运行必须的数据表

c:\mysql\bin\mysql -D snort -u root -p <

c:\snort\schemas\create_mysql

c:\mysql\bin\mysql -D snort_archive -u root -p

附：使用mysql -D snort -u root –p命令进入snort数据库后，使用show tables命令可以查看已创建的表。

建立acid 和snort 用户,在root用户下建立

mysql> grant usage on *.* to "acid"@"localhost" identified by "acidtest";

mysql> grant usage on *.* to "snort"@"localhost" identified by "snorttest";

为acid 用户和snort 用户分配相关权限

mysql> grant select,insert,update,delete,create,alter on snort .* to"snort"@"localhost";

snort 实验报告

Snort实验报告

引言：

网络安全是当今信息时代的重要议题之一。随着互联网的快速发展，网络攻击的威胁也日益增加。为了保护网络和系统的安全，各种安全工具和技术应运而生。Snort作为一款开源的入侵检测系统（IDS），在网络安全领域中扮演着重要的角色。本文将对Snort进行实验研究，探讨其原理、应用以及优缺点。

一、Snort简介

Snort是一款基于规则的入侵检测系统，由Martin Roesch于1998年开发。它主要用于监测和分析网络流量，以便及时发现和阻止潜在的网络攻击。Snort具有开源、灵活、可定制等特点，因此被广泛应用于各种网络环境中。

二、Snort的工作原理

Snort的工作原理主要分为三个步骤：数据包捕获、数据包分析和报警机制。1. 数据包捕获

Snort通过网络接口（如网卡）捕获传入和传出的数据包。它可以在混杂模式下工作，即捕获所有经过网络接口的数据包，而不仅仅是目标主机的数据包。这样可以确保Snort能够检测到所有的网络流量。

2. 数据包分析

捕获到的数据包会经过一系列的分析过程。首先，Snort会对数据包进行解析，提取出其中的各种字段信息，如源IP地址、目标IP地址、协议类型等。然后，Snort会将数据包与事先定义好的规则进行匹配。这些规则可以根据用户的需求进行定制，如检测特定的网络攻击行为或异常流量。如果数据包与规则匹配成

功，Snort将触发相应的报警机制。

3. 报警机制

Snort的报警机制可以根据用户的需求进行配置。当Snort检测到与规则匹配的数据包时，它可以采取多种方式进行报警，如发送电子邮件、生成日志文件或触发其他安全设备的动作。这样可以及时提醒管理员发现潜在的网络攻击。三、Snort的应用场景

snort实验报告

Snort实验报告

引言：

网络安全是当今社会中不可忽视的重要问题之一。随着互联网的普及和发展，

网络攻击事件频繁发生，给个人和组织的信息安全带来了极大的威胁。为了提

高网络的安全性，各种网络安全工具应运而生。本文将介绍一种常用的入侵检

测系统（Intrusion Detection System，简称IDS）工具——Snort，并通过实验评估其性能和效果。

一、Snort概述

Snort是一种自由开源的网络入侵检测系统，由Martin Roesch于1998年开发。它基于规则的机制，能够实时监测网络流量，并根据预定义的规则集进行入侵

检测。Snort具有灵活性和可扩展性，可以在不同的操作系统上运行，并支持多种协议和规则格式。

二、实验环境

本次实验使用了一台基于Linux操作系统的虚拟机作为实验环境。虚拟机的配

置为4核心CPU、8GB内存和100GB硬盘空间。在虚拟机中安装了Snort，并

配置了合适的网络接口。

三、实验步骤

1. 安装Snort：在虚拟机中下载并安装Snort软件包，完成基本的配置。

2. 编写规则：Snort的规则集决定了它能够检测到的入侵行为。根据实际需求，编写一系列规则，如检测网络扫描、恶意软件传播等。

3. 启动Snort：使用命令行启动Snort，并指定需要监测的网络接口。

4. 监测网络流量：Snort开始实时监测网络流量，并根据规则进行入侵检测。当检测到可疑行为时，Snort会生成警报信息。

5. 分析警报：通过分析Snort生成的警报信息，可以了解到网络中的潜在威胁，并采取相应的措施进行防护。

实验：入侵检测系统（Snort的安装与配置

一、实验目的

学会WINDOW下SNORT勺安装与配置

二、实验环境

WinXP虚拟机

三、实验步骤与结果

一.在"我的电脑”中C盘中建立文件夹"zha ngxiaoh ong

二.安装WinPcap,运行，默认安装。

三.安装mysql，运行5.0.22，选择自定义安装选择安装路径C:\zhangxiaohong'mysql

下，安装时注意：端口设置为3306 （以后要用到），密码本实验设置成123

四.安装apache

1. 运行

2.2.4，安装到c:\zhangxiaohong\Apache

2. 安装Apache，配置成功一个普通网站服务器

3. 出现Apache HTTP Server 2.0.55 的安装向导界面，点“ Next”继续

4. 确认同意软件安装使用许可条例，选择"I accept the terms in the license agreeme

nt”，点"Next ”继续

5. 将Apache安装到Windows上的使用须知，请阅读完毕后，按"Next”继续

6. 选择安装类型，Typical 为默认安装，Custom 为用户自定义安装， 我们这里选

择Custom ,有更多可选项。按"Next ”继续

7. 出现选择安装选项界面， 如图所示，左键点选"Apache HTTPServer 2.0.55 ”： 选择"This feature, and all subfeatures, will be in stalled on local hard drive. ”

入侵检测技术

一、实验目的

通过实验深入理解入侵检测系统的原理和工作方式，熟悉入侵检测系统的配置和使用。实验具体要求如下：

3.掌握Snort的安装、配置和使用等实用技术

二、实验原理

1、入侵检测概念及其功能

入侵检测是指对入侵行为的发现、报警和响应，它通过对电脑网络或电脑系统中的假设干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统(intrusion detection system,IDS)是完成入侵检测功能的软件和硬件的集合。

入侵检测的功能主要表达在以下几个方面：

1〕. 监视并分析用户和系统的活动。

2〕. 核查系统配置和漏洞。

3〕. 识别已知的攻击行为并报警。

4〕. 统计分析异常行为。

5〕. 评估系统关键资源和数据文件的完整性。

6〕. 操作系统的审计跟踪管理，并识别违反安全策略的用户行为。

2、入侵检测的分类

根据IDS检测对象和工作方式的不同，可以将IDS分为基于网络的IDS(简称NIDS)和基于主机的IDS(简称HIDS)。NIDS和HIDS互为补充，两者的结合使用使得IDS有了更强的检测能力。

1〕. 基于主机的入侵检测系统。

HIDS历史最久，最早用于审计用户的活动，比方用户登录、命令操作、应用程序使用资源情况等。HIDS主要使用主机的审计记录和日志文件作为输入，某些HIDS也会主动与主机系统进行交互以获得不存在于系统日志的信息。HIDS所收集的信息集中在系统调用和应用层审计上，试图从日志寻找滥用和入侵事件的线索。HIDS用于保护单台主机不受网络攻击行为的侵害，需要安装在保护的主机上。