基于snort的入侵检测系统 - read.doc

基于Snort的入侵检测系统 用Snort,Apache,MySQL,PHP及ACID构建高级IDS 入侵检测系统及Snort介绍 在当今的企业应用环境中，安全是所有网络面临的大问题。黑客和入侵者已成功的入侵了一些大公司的网络及网站。目前已经存在一些保护网络架构及通信安全的方法，例如防火墙、虚拟专用网（VPN）、数据加密等。入侵检测是最近几年出现的相对较新的网络安全技术。利用入侵检测技术，我们可以从已知的攻击类型中发现是否有人正在试图攻击你的网络或者主机。利用入侵监测系统收集的信息，我们可以加固自己的系统，及用作其他合法用途。目前市场中也有很多弱点检测工具，包括商品化的和开放源码形式的，可以用来评估网络中存在的不同类型的安全漏洞。 一个全面的安全系统包括很多种工具： 防火墙：用来阻止进入及走出网络的信息流。防火墙在商业化产品和开放源码产品中都有很多。最著名的商业化防火墙产品有Checkpoint (), Cisco ()及Netscreen()。最著名的开放源码防火墙是Netfilter/Iptables()。 入侵检测系统（IDS）：用来发现是否有人正在侵入或者试图侵入你的网络。最著名的IDS是Snort,可以在下载。 弱点评估工具：用来发现并堵住网络中的安全漏洞。弱点评估工具收集的信息可以指导我们设置恰当的防火墙规则，以挡住恶意的互联网用户。现在有许多弱点评估工具，比如Nmap(/)和Nessus(/). 以上这些工具可以配合使用，交互信息。一些产品将这些功能捆绑在一起，形成一个完整的系统。 Snort是一个开放源码的网络入侵检测系统（NIDS）,可以免费得到。NIDS是用来检测网络上的信息流的入侵检测系统（IDS）。IDS也包括安装在特定的主机上并检测攻击目标是主机的行为的系统。IDS迄今为止还是一门相当新的技术，而Snort在IDS中处于领先的地位。 本书由入侵检测介绍及相关概念入手，你将学习如何安装及管理Snort以及与Snort协同工作的其他产品。这些产品包括MySQL数据库（）、入侵数据库分析管理工具ACID（/kb/acid）。Snort能够将日志数据（例如告警和其他日志消息）记录到数据库中。MySQL用作存储所有这些数据的数据库引擎。利用ACID及Apache ()Web服务器，我们可以分析这些数据。Snort、Apache、MySQL及ACID的共同协作，使我们可以将入侵检测数据记录到数据库，然后用web界面察看和分析这些数据。 此书的组织结构使读者能够跟着随后的章节一步一步的建立一个完整的入侵检测系统。安装及整合各种工具的步骤将在如下的章节逐步介绍： 第二章将介绍编译及安装Snort的基本知识。在这一章中，你将能够用基本安装及默认规则建立一个能够工作的IDS，同时能够建立可以记录入侵活动的日志文件。 第三章介绍Snort规则的有关知识，Snort规则的组成及如何根据你的系统环境及需要建立自己的规则。建立良好的规则是构建入侵检测系统的关键，因此本章非常重要。本章同时也介绍Snort不同版本间规则的不同。 第四章介绍input及output插件。插件与Snort一同编译，并用来调整检测引擎的输入和输出部分。Input插件用在实际检测过程发生前准备好捕获的数据包。Output插件用来将数据数据格式化，以用于特定的目的，例如一种output插件可以将输出的检测信息转换成SNMP trap信息，而另外一种output插件可以将信息转换成数据库信息。这一章将详细介绍如何配置及使用这些插件。 第五章介绍MySQL数据库与Snort的共同工作。MySQL插件使Snort能够将日志数据记录到数据库以便随后的分析。在这一章中，你将了解如何在MySQL中建立数据库，如何配置数据库插件，以及将日志数据记录到数据库中。 第六章介绍ACID,以及如何用ACID取得你在第五章建立的数据库中的信息，并用Apache服务器显示它。ACID一种提供丰富的数据分析能力的重要工具，你可以用它来取得攻击频率、攻击类别、察看这些攻击方法的相关资源等等。ACID用PHP脚本语言、图形显示库（GD library）和PHPLOT(一种用来绘制图表的工具)来工作，可以分析SQL中的数据并绘制图表。 第七章主要介绍可以和Snort一起工作的其他一些有用的工具。 在读完此书后，你将建立一个完整的，具有多个组件的系统，如图1-1所示。 在图中你可以看到，Snort捕获并分析数据，然后用output插件将数据储存在MySQL数据库中。Apache服务器在ACID,PHP、GD library及PHP包的帮助下使连接到服务器的用户能够通过浏览器显示数据。用户可以在网页上应用不同的查询来分析、备份、删除数据或者显示图表。 基本上，你可以将S