基于Windows的入侵检测snortBASE.docVIP

基于windows的入侵检测系统配置和验证综合实验 1. 实验目的 通过本实验，学习和熟悉在windows环境下配置入侵检测系统的步骤 掌握构成windows环境入侵检测系统的各种软件的安装和使用方法。 熟悉一些常用的入侵检测系统配置和操作命令及方法。 2. 实验要求 2.1预备知识 在windows下建立入侵检测系统一般采用“传感器—数据库—分析平台”的三层架构体系基于Snort和BASE入侵检测系统。传感器即网络数据包捕获转储程序WinPcap作为系统底层网络接口驱动，Snort作为数据报捕获、筛选和转储程序，二者即可构成IDS的传感器部件。为了完整覆盖监控可以根据网络分布情况在多个网络关键节点上分别部署IDS传感器。 Snort是一套非常优秀的开放源代码网络监测系统，在网络安全界有着非常广泛的应用。其基本原理基于网络嗅探，即抓取并记录经过检测节点以太网接口的数据包并对其进行协议分析，筛选出符合危险特征的或是特殊的流量。网络管理员可以根据警示信息分析网络中的异常情况，及时发现入侵网络的行为。 数据库 Snort获得记录信息后直接存储到MySQL数据库中Snort的日志记录仅仅包含网络数据包的原始信息，WEB平台BASE软件对这些大量的原始信息进行操作查询数据库的分析。 这三种角色既可以部署于同一个主机平台也可以部署在不同的物理平台上，架构组织非常灵活。如果仅仅需要一个测试研究环境，单服务器部署是一个不错的选择；而如果需要一个稳定高效的专业IDS平台，那么多层分布的IDS无论是在安全还是在性能方面都能够满足。具体的部署方案还要取决于实际环境需求。， 3. 实验环境 本实验的网络环境为TCP/IP交换环境，需要用到安装有windows操作系统虚拟机的学生主机1台。 (真实系统与虚拟机系统连接图) 4. 准备工作 1）学生实验用机安装有虚拟机VMwareWorkstation软件，并装有包含2个分区的window操作系统。 2）本实验在进行过程中需要使用到以下软件，请从实验系统页面下载并统一保存到非系统分区D：\IdsInstallTool 文件夹下 。 ① WinPcap_4_0_2安装程序 ② Snort2.8.0 for Win32安装程序 ③ Snort规则库mysql-6.0.7-alpha-win32安装程序 ⑤ PHP5的数据库连接组件adodb506a ⑥ Apache 2.2.6 for Win32-x86 with OpenSSL 0.9.8e ⑦ PHP 5.2.4 for Win32 Non-install ⑧ WEB前端Basic Analysis and Security Engine 1.3.6 ⑨ nmap-4.75-setup ⑩ Nessus.exe 5. 实验步骤 5.1 实验任务一：部署传感器组件WinPcap程序，点击已下载的安装文件WinPcap4.0.2.exe，执行默认安装过程，完成安装。 2） 安装并配置Snort程序。 (1)点击已下载的安装文件Snort.Installer.exe,开始安装。 图1.2.1 选择snort默认支持的数据库类型 图1.2.2 选择默认的snort安装组件 设置snort的安装路径，将snort安装在非系统分区内，为D:\nort。 图1.2.3 设置的snort安装路径 (2) 将下载的snort规则包snortrules-snapshot-CURRENT.tar.z进行解压拷贝到d:\snort下。 置文件d:\snort\snort.conf ，对其进行如下编辑： ① 设置本机所在网络地址，根据实验环境真实网络地址,将配置文件中原有的 var HOME_NET any 更改如下： var HOME_NET 192.168.X.X/24 ② 设置规则包路径 var d:\snort\rules ③ 设置数据库连接 ④ 设置动态预处理库目录 dynamicpreprocessor directory D:\Snort\lib\snort_dynamicpreprocessor dynamicengine D:\Snort\lib\snort_dynamicengine\sf_engine.dll 安装并配置MySQL数据库程序，将已下载的mysql-6.0.7-alpha-win32.Zip压缩包进行解压，然后点击生成的Setup.Exe 程序进行安装 图1.3.1 选择MySQL自定义安装方式 更改MySQL的安装路径，将其安装在非系统分区下，再点击“NEXT”按钮进入下一步，然后点击“IINSTALL”按钮执行安装。 图1.3.2 设置MySQL的安装路径 安装的最后一步选择马上配置选项，然后点击“