入侵检测系统实验

入侵检测系统实验

学习Windows系统下配置和使用入侵检测系统软件Snort

一、实验目的

.1、.通过实验深入理解入侵检测系统的原理和工作方式。

.2、.熟悉入侵检测工具snort在Windows操作系统中的安装和配置方法。

二、实验环境

..实验室所有机器安装了Windows 2000操作系统，并并附带Apache、php、mysql、snort、adodb、acid、窘迫grapg、winpcap等软件的安装包。

三、实验原理

1、..入侵检测系统简介

..入侵检测系统通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。2、..入侵检测系统的分类

..入侵检测系统可分为主机型和网络型

..主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源，当然也可以通过其他手段（如监督系统调用）从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。

..网络型入侵检测系统的数据源则是网络上的数据包。往往将一台机子的网卡设于混杂模式（promiscmode）,监听所有本网段内的数据包并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。

3、..入侵检测的实现技术

..可分为两类：一种基于标志（signature-based），另一种基于异常情况(anomaly-based)。

..对于基于标识的检测技术来说，首先要定义违背安全策略的事件的特征，如网

络数据包的某些头信息。检测主要判别这类特征是

否在所收集到的数据中出现。此方法非常类似杀毒软件。

..而基于异常的检测技术则是先定义一组系统“正常”情况的数值，如CPU利用率、内存利用率、文件校验和等，然后将系统运行时的

数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。

4、..Snort

..Snort是一个免费的、跨平台的软件包，用作监视小型TCP/IP网的嗅探器、日志记录、侵入探测器。

..Snort有三种主要模式：信息包嗅探器、信息包记录器或成熟的侵入探测系统。..实验中涉及较多mysql数据库服务器以及Snort规则的配置。其中mysql数据库的配置要在Windows命令行方式下进行。默认的用户

名为root,无密码。连接命令如下：

mysql–h 主机地址–u 用户名–p 用户密码

可通过数据库管理命令创建、使用、删除数据库，以及创建、使用、删除表。..Snort的配置及使用也需在Windows命令行中进行。要启动snort需要指定配置文件和日志文件；配置文件包含了监测规则、内外网IP

范围等。

四、实验内容和步骤

任务一Windows环境下安装和配置snort

步骤1-安装Apache_2.0.46：

（1）将Apache安装在默认文件夹C:\apache下，将配置文件httpd.conf中的Listen 8080，更改为Listen 50080。

（2）将apache设置为以Windows中的服务方式运行。

步骤2-安装PHP：

（1）将原安装包解压至C:\php。

（2）复制C:\php下php4ts.dll至winnt\system32，phi.ini-dist至winnt\php.ini。（3）添加gb图形库支持，在php.ini中添加extension=php_gd2.dllj。

（4）添加Apache对PHP的支持。

（5）在Windows中启动Apache Web服务。

（6）新建test.php测试文件内容为；测试PHP是否成功安装。

步骤3-安装snort

步骤4-安装配置Mysql数据库

（1）安装Mysql到默认文件夹C:\mysql，并使mysql在Windows中以服务形式运行。

（2）启动mysql服务。

（3）以root用户登录Mysql数据库，采用Create命令，建立Snort运行必须的snort数据库和snort_archive数据库。

（4）退出Mysql后，使用mysql命令在snort数据库和snort_archive数据库中建立snort运行必须的数据表。

（5）再次以root用户登录Mysql数据库，在本地数据库中建立acid（密码为acidtest）和snort（密码为snorttest）两个用户，以备后用。

（6）为新建用户在snort和snort_archive数据库中分配权限。

步骤5-安装adodb

步骤6-安装配置数据控制台acid

（1）解压缩acid软件包至C: \apache\apache2\htdocs\acid目录下。

（2）修改acid目录下的acid_conf.php配置文件。

（3）察看http://127.0.0.1:50080/acid/acid_db_setup.php网页，按照系统提示建立数据库。

步骤7-安装jpgrapg库

步骤8-安装winpcap

步骤9-配置并启动snort

（1）指定snort.conf配置文件中classification.config、reference.config两个文件的绝对路径。

（2）在文件中添加语句指定默认数据库，用户名，主机名，密码，数据库用户等等。

（3）输入命令启动snort。

（4）打开http://127.0.0.1:50080/acid/acid_main.php网页，进入acid分析控制台主界面，检查配置是否正确。

任务二：Windows下Snort的使用

步骤1-完善配置文件：

（1）打开snort.conf配置文件。

（2）设置snort内、外网检测范围。

（3）设置监测包含的规则。

步骤2-使用控制台察看检测结果

（1）启动snort并打开acid的检测控制台主界面。

（2）单击右侧图示中TCP后的数字“80%”，将显示所有检测到的TCP协议日志详细情况。