NIDS的构建与应用.docVIP

　　免费NIDS的构建与应用～教育资源库 　　一般说来，一个典型的网络攻击是以大量的端口扫描等手段获取所攻击对象的信息的，这个过程必然产生大量异常的网络流量，它预示着即将到来的真正攻击。这就要求网管人员对网络运行状态进行实时监控，以便随时发现可能的入侵行为，并进行具体分析，及时、主动地进行干预，从而取得防患于未然的效果。完成这种功能的安全产品之一是网络入侵检测系统（Nets，NIDS）。 　　目前，NIDS产品可分为硬件和软件两种类型，但无论选择哪种，都有一个共同的特点: 昂贵。即便在单点安装的情况下，无论是硬件类型的费用，还是软件类型的许可费，动辄数万元乃至十余万元。相对于规模不是很大、费用支出有限的企业，承受起来勉为其难。是不是安全防御可以不搞了？答案是否定的。 　　事实上，互联网在给我们带来挑战的同时，也给我们带来无数的宝贵资源，只等我们去开发、利用。开放源代码软件（Open Source S/0.7.1 MySQL入侵事件数据库./3.23.49 Apacheod_ssl为Apache提供SSL加密功能的模块./2.8.8 OpenSSL开放源代码的SSL加密库，为mod_ssl所依赖./0.9.6d MM为Apache的模块提供共享内存服务.engelschall.1.1.3 ACID基于ySQL数据库。 　　（1）创建Snort入侵事件数据库和存档数据库。 　　#/usr/local/bin/mysqladmin -u root -p create snort 　　#/usr/local/bin/mysqladmin -u root -p create snort_archive 　　（2）执行Snort源码树下Contrib目录下的Create_mysql SQL脚本文件，创建相关表。 　　#/usr/local/bin/mysql -u root -D snort -p lt; create_mysql 　　#/usr/local/bin/mysql -u root -D snort_archive -p lt; create_mysql 　　（3）编辑/etc/snort.conf文件，在Output Plugin 段中加入如下一行： 　　output database: alert, mysql, user=root passe=snort host=localhost 　　3．安装M库 　　按照缺省配置将MM库安装在/usr/local目录下。 　　（2）安装OpenSSL 　　按照缺省设置将OpenSSL安装在/usr/local目录下。 　　（3）为Apache扩展mod_ssl代码 　　#gzip -d -c apache-1.3.24.tar.gz 　 tar xvf - 　　#gzip -d -c mod_ssl-2.8.8-1.3.24.tar.gz 　 tar xvf - 　　#cd mod_ssl-2.8.8-1.3.24 　　#./configure --odule=so 　　 --enable-module=ssl --prefix=/usr/local 　　#make 　　#make certificate 　　#make install其中，Make certificate命令是为mod_ssl生成所需的安全证书，按照提示输入相应信息即可。这样，Apache就被安装在/usr/local目录下。 　　4．安装实现语言PHP 　　按照缺省配置，将为PHP提供即时生成PNG和JPG图像功能的GD库安装到/usr/local目录下; 然后采用PHP的Apache DSO安装模式将其安装到/usr/local/libexec目录，成为Apache的动态共享模块。另外，不要忘记把对MySQL的支持和GD库也编译到模块里。 　　5．安装分析控制台ACID 　　该部分的安装工作具体包括3个软件包：Adodb200.tar.gz、Phplot-4.4.6.tar.gz和Acid-0.9.6b21.tar.gz。安装过程十分简单，只需分别将这3个软件包解压缩并展开在Apache服务器的文档根目录下即可。 　　然后开始配置工作。转到Acid-0.9.6b21目录下编辑ACID的配置文件Acid_conf.php，给下列变量赋值： 　　$Dblib_path=../adodb200 　　$DBtype=mysql 　　$alert_dbname=snort 　　$alert_host=localhost 　　$alert_port=3306 　　$alert_user=root 　　$alert_passe=snort_archive 　　$archive_host=localhost 　　$archi