入侵检测linux下课程设计指导书2.docVIP

课程设计指导书二 1. 用Snort构建实用的入侵检测系统 1.1 实验目的 (1) 网络数据获取与分析是网络入侵检测系统的基础。通过实验让同学们掌握网络数据获取及数据还原的方法和实现。 (2) 通过实验让同学们加深对网络数据获取原理的理解。 (3) 通过实验让同学们初步了解在linux下的程序开发过程、开发环境。 (4) 为利用第三方软件分析进一步分析数据打下基础。 1.2 实验内容 (1) 安装除snort以外的其它软件，如Apach、PHP、mysql、acid的安装等相关软件。 (2) 完成相应的配置文件的配置，如配置数据库输出插件、制订入侵防范策略等 (3) 能利用下载的检测规则，检测入侵。 (4) 自已完成一条规则的编写，并进行正确性测试。 (5) 完成对检测规则的压力测试。 1.3 实验要求 (1) 认真完成所规定的实验内容。 (2) 将配置文件的的改动部分存储下来，传送到系ftp服务器上。文件名命名规则是Lab2_学号 (3) 所操作的重要步骤和结果用截屏的方法和文件的方式保存和存储，并送到ftp服务器上 (4) 认真完成每一个实验步骤，并做好记录。 (5) 根据所做的全部实验做一个简单总结。 1.4 实验准备 (1) 熟悉linux基本命令 (2) 熟悉linux系统的安装配置 (3) 熟悉虚拟机的安装和操作 (4) 理解入侵检测系统的基本原理和实现技术 (5) 理解Snort的工作原理 (6) 参考教材参考资料及网上有关资料 - 从 / 下载Apache软件 - 从 /下载php软件 - 从 /下载mysql数据库软件 - 从 /kb/acid下载ACID软件 - 从 下载libpcap 库 -从 下载libpcre库 -从 下载snort软件 -从 下载adobd -从 http://www.aditus.nu/jpgraph 下载jpgraph 1.5 实验过程 1.5.1平台的搭建 首先是对此入侵检测系统所在的平台进行搭建，本文采用的是RedHat 9.0为内核的Linux操作系统，可以采用直接硬盘分区的安装方式，也可以采用Vmware虚拟机进行安装。以Snort为核心搭建的入侵检测系统是支持多平台了的，由于Linux是开源系统并且安全性也比较好，所以这里采用了它。 在安装RedHat 9.0需要的一些注意事项主要在网络配置方面，需要取消“使用Bootd/DHCP”，针对公司的网段填写“IP地址”、“子网掩码”、“预设网关器的IP地址”以及“第一个名称服务器地址”。这样配置的原因是最好不要让在手工配置snort.conf中的home_net值是一个动态IP，如果只能使用DHCP进行上网，那么在运行Snort之前要修改snort.conf中的地址。主机名称配为localhost，方便以后的配置。防火墙设置为中安全性，允许进入的服务为SSH和WWW。对于系统需要安装的套件组群可以选择为： X Windows System Gnome Desktop Environment KDE Desktop Environment(不安装) Editors Engineering and Scientific(不安装) Graphical Internet Text based internet Office/Productivity(不安装) Sound and Video(不安装) Authoring and Publishing(不安装) Graphics Games and Entertainment(不安装) Server(全不安装) Development tools Kernel development X Software Development Gnome Software Development(不安装) KDE Software Development(不安装) Administration(不安装) System Tools Printing support(不安装) 安装完成后，入侵检测系统所需的平台已经基本搭建完成，如果是用虚拟机进行安装的还可以装一下Vmware-tools方便使用。安装Vmware-tools的方法：点击虚拟机VM菜单下的Install Vmware-tools，然后Vmware-tools安装包就会挂在mnt/cd-rom下，解压rpm包，安装后重启系统，在终端中输入Vmware-config.pl然后按照提示点击回车确定就可以了。 1.5.2 服务器的建立 需要下载的软件有Zlib（有些RedHat9中已经安装了Zlib，可以使用rpm -qa|grep zlib进行查