7入侵检测系统.pptVIP

启动安装 接受协议 完成安装 Page */42 安装WinPcap 安装adodb，解压缩adodb456.zip 至c:\php5\adodb 目录下 安装jpgraph 解压缩jpgraph-2.0.tar.gz 至c:\php5\jpgraph。 修改jpgraph.php: DEFINE(“CACHE_DIR”,”/tmp/jbgraph_cache”); Page */42 解压缩acid-0.9.6b23.tar.gz 至c:\apache\htdocs\acid 目录下 打开acid_conf.php文件，做如下修改： Page */42 $DBlib_path = c:\php5\adodb; $alert_dbname = snort; $alert_host = localhost; $alert_port = 3306; $alert_user = acid; $alert_password = acidtest; $archive_dbname = snort_archive; $archive_host = localhost; $archive_port = 3306; $archive_user = acid; $archive_password = acidtest; $ChartLib_path = c:\php5\jpgraph\src; 启动安装 定制安装 选中配置MySql 详细配置 选中“多数据库模式” 选中作为Windows服务 设定超级用户口令 完成安装 Page */42 安装MySql Page */42 修改php.ini ：找到“extension=php_mysql.dll”，去掉前面的“；” 拷贝php5目录下的php_mysql.dll到WINDOWS下 建立Snort运行所需的snort和snort_archive数据库 生成Snort运行必需的数据表 为Mysql建立snort和acid帐号 为snort和acid用户分配相应的权限 Page */42 配置MySql 打开snort\etc下的snort.conf，作如下修改： Page */42 include classification.config include reference.config 改为绝对路径include c:\snort\etc\classification.configinclude c:\snort\etc\reference.config 设置snort 输出alert 到mysql serveroutput database: alert, mysql, host=localhost user=snort password=snort dbname=snort encoding=hex detail=full 测试Snort 是否正常工作：c:\snort\bin〉snort -vde 实例背景： 公司安装了Snort入侵检测系统 对基于网络的入侵进行检测 对基于主机的入侵进行检测 利用Acid入侵检测控制台进行入侵检测结果的分析 Page */42 创建ACID入侵检测数据库 Page */42 成功的为Acid创建了四个表 打开ACID主控台，查看入侵检测结果总图 Page */42 通过TCP检测到的可能入侵 通过ICMP检测到的可能入侵 点击TCP，可查看TCP的警报列表 攻击者的IP和被攻击的IP 点击警报ID，可查看该警报的详细内容 攻击者IP 被攻击者IP 攻击者的机器名 被攻击者的机器名，是一台Web服务器 攻击者端口 被攻击的端口 Page */42 ACID生成的入侵检测直方图 根据端口检测生成的直方图 根据IP检测生成的直方图 IDS的部署位置 Page */42 可以部署于网络内部 与防火墙一起承担安全责任 未部署IDS时的企业网络架构 Page */42 没有IDS系统的企业网络是极不安全的 只能依靠路由器的基本防护功能来保护内网 显然远远不能满足企业的安全需求 Page */42 DMZ 部署了IDS时的企业网络架构 对网络流量进行监控的IDS 部署于主机上的IDS IDS一般来说都是被动的检测和响应，而不是主动的 在攻击实际发生之前，它们往往无法预先发出警报 IDS对入侵的检测是根据其入侵知识库中的规则集来决定的 需要管理员定期更新规则集，或自己撰写规则集，这个要求很高 Page */42 为了更好的加强企业网络的防护，应运而生了一种新技术入侵防护系统IPS IPS提供主动防护，是IDS的下一代产品 IPS设计宗旨是预先对入侵活动和攻击性网络流