snort入侵检测系统详解.docVIP

甘肃政法学院 入侵检测课程设计 题 目 snort入侵检测系统 学院 专业 2011 级 班 学 号： 姓 名： 指导教师： 成 绩：_________________ 完成时间： 2013年 12月 Snort入侵检测系统 一、课程设计目的 （1）通过实验深入理解入侵检测系统的原理和工作方式。 （2）熟悉入侵检测工具snort在Windows操作系统中的安装和配置方法 二．课程设计的原理 入侵检测系统(Intrusion Detection System，简称IDS)是一种从计算机网络或计算机系统中的若干关键点收集入侵者攻击时所留下的痕迹，如异常网络数据包与试图登录的失败记录等信息，通过分析发现是否有来自于外部或内部的违反安全策略的行为或被攻击的迹象。全国的很多企业或团体都很重视自己内部保密文件的泄露与盗取，但网络传输方式有的就存在着漏洞，很多的黑客就是通过一个企业或团体的所拥有的网站通过这些漏洞来拿到这个企业的服务器，竟而获得它的内部保密文件，但是安全部门也通过电脑审计功能或其它的各种方式来对于入侵公司的“人员”获得他们入侵的记录，做出相应的法律措施，来保证每一个企业或团体的文件安全。 随着网络技术的快速发展， 网络入侵行为也越来越严重，本论文主要讨论snort入侵检测系统。Snort是一个免费的IDS(入侵监测系统)软件。它的一些源代码是从著名tcpdump软件发展而来的。它是一个基于libpcap包的网络监控软件，可以作为一个十分有效的网络入侵监测系统。Snort首先根据远端的ip地址建立目录,然后将检测到的包以tcpdump的二进制格式记录或者以自身的解码形式存储到这些目录中.这样一来,你就可以使用snort来监测或过滤你所需要的包.Snort是一个轻量级的入侵检测系统，它具有截取网络数据报文，进行网络数据实时分析、报警,以及日志的能力。snort的报文截取代码是基于libpcap库的，继承了libpcap库的平台兼容性。它能够进行协议分析，内容搜索/匹配，能够用来检测各种攻击和探测，例如：缓冲区溢出、隐秘端口扫描、CGI攻击、SMB探测、OS指纹特征检测等等。snort使用一种灵活的规则语言来描述网络数据报文，因此可以对新的攻击作出快速地翻译。snort具有实时报警能力。可以将报警信息写到syslog、指定的文件、UNIX套接字或者使用WinPopup消息。snort具有良好的扩展能力。它支持插件体系，可以通过其定义的接口，很方便地加入新的功能。snort还能够记录网络数据，其日志文件可以是tcpdump格式，也可以是解码的ASCII格式。Snort对硬件没有特殊的要求，对Snort来说，硬件系统的处理器频率越高越好，不同网络使用的网卡和硬盘空间大小会制约Snort捕捉数据包和存储数据包的功能。 Snort安装1 Snort安装2 Snort安装3 Snort安装4 （2） Winpcap 的安装界面 Winpcap 安装1 Winpcap 安装2 Winpcap 安装3 Winpcap 安装4 2.安装AppServ 启动AppServ安装文件后，出现如图所示的设置服务器信息界面： 在Server Name中输入域名localhost：Administrators Email Address 中输入邮箱地址：1298785661@监听端口设为8080。 点击next，进入下一界面：在出现的界面中输入密码（123）：Character Sets and Collations选择GB 2312Simplified Chinese, 先将C:\Appserv\php5目录下的php.ini-dist 文件改名为php.Ini，然后启动Apache和MySql。点击finish。 在控制面板—》管理—》服务 中查看服务，确保Apache和MySql已启动。 安装完成后可以查看Apache和MySql是不是可以正常运行。 Mysql正常运行 在浏览器中输入http://localhost:8080/ Apache运行成功 （2）测试AppServ 首先查看控制面板/管理/服务,确保Apache和MySQL已经启动，然后，在浏览器中输入http://localhost:8080/phpinfo.php,（下图） 可以了解php的一些信息。 最后打开浏览器，输入http://localhost:8080/phpMyAdmin/index.php下图）输入用户名root和密码，可以浏览数