Windows下构建基于Snort入侵检测系统.docVIP

Windows下构建基于Snort入侵检测系统 　　[摘要]设计一种Windows下的入侵检测系统，将入侵检测系统的工作流程和工作模式进行描述，并将Snort与其他工具进行比较。 　　[关键词]Snort 入侵检测 系统 　　中图分类号：TP3文献标识码：A文章编号：1671－7597（2009）0320022－01 　　 　　目前，我国的局域网建设发展迅速，它已经成为信息交流、信息共享和通信联络不可缺少的有力工具，但随之而来的是局域网的安全问题越来越突出，如果无法解决好这一问题，局域网的积极作用将会受到极大的影响。而Snort作为目前较为成熟的轻量级网络入侵检测系统，能够较好的满足网络安全的需要。 　　 　　一、系统工作流程 　　 　　系统在Windows 2000 Server平台下，以Snort为核心和基础，在MySQL、Apache、ACID等相关组件的共同支持下组建起来。基于Snort的入侵检测系统可以分为三部分：网络入侵检测模块主要实现对网络数据包的实时捕获、监控和对数据进行分析以找出可能存在的入侵；数据存储模块主要是从入侵检测系统中收集报警数据并把它存入关系数据库中，便于用户日后查询；分析员控制台是IDS分析员的专用工作站，用来对报警日志信息进行管理和查询，它提供了很好的人机交互界面。 　　Snort首先利用winpcap组件捕获并分析数据，然后用output插件将数据储存在MySQL数据库中，Apache服务器在ACID等组件的帮助下使连接到服务器的用户能够通过浏览器查看数据，用户还可以在网页上应用不同的查询来分析、备份、删除数据或者显示图表。 　　 　　二、Snort三种工作模式的应用 　　 　　Snort共有三种工作模式：嗅探器模式、数据包记录器模式、网络入侵检测模式，而这三种模式均是通过不同的命 　　令来实现的。结合网中基于Snort的系统，对以上三种模式分别进行应用与描述。 　　（一）利用Snort作为数据包嗅探器 　　利用Snort作为数据包嗅探器就是从网络上读出数据包然后显示在你的控制台上。从最基本的用法入手，如果只要把TCP／IP包头信息打印在屏幕上，只需要在命令提示符的c:\snort\bin路径下输入以下命令：snort-v 　　使用这个命令将使Snort只输出IP和TCP／UDP／ICMP的包头信息。如果要看到应用层的数据，可以使用命令：snort -vd 　　这条命令使Snort在输出包头信息的同时显示包的数据信息。如果还要显示数据链路层的信息，就使用命令：snort -vde 　　（二）利用Snort作为数据包记录器 　　如果要把所有的数据包记录到硬盘上，使用以下命令指定一个日志目录，Snort就会自动记录数据包：snort -dev -l c:\snort\log 　　当然，c:\snort\log目录必须存在，否则Snort就会报告错误信息并退出。当Snort在这种模式下运行时，它会记录所有捕获到的包并将其放到一个目录中，这个目录以数据包目的主机的IP地址命名。 　　如果只指定了命令选项，而没有设置目录名，Snort也可使用远程主机的IP地址作为目录，或者会使用本地主机 IP地址作为目录名。为了对子网进行日志，需要给出本地网络：snort -dev -l c:\snort\log -h 10.3.2.0/24 　　这条命令告诉Snort把进入其重要子网10.3.2.0/24的所有数据包的数据链路层、TCP／IP以及应用层的数据记录到目录c:\snort\log中。 　　如果网络速度很快，或者想使日志更加紧凑，方便以后的分析，那么应该使用二进制的日志文件格式，即Tcpdump程序使用的格式。使用下面的命令可以把所有的数据包信息记录到一个单一的二进制文件中：snort -l c:\snort\log-b 　　注意此处的命令行和上面的命令有很大不同。不需要指定本地网络，也不必使用-dev等功能选项，因为数据包中的所有内容都会被记录到单一的二进制日志文件中。可以使用支持Tcpdump二进制格式的嗅探器程序从该文件中读出数据包相关信息，例如Tcpdump或者Etherea1。 　　（三）利用Snort作为网络入侵检测系统 　　Snort最重要也是最常用的用途是作为网络入侵检测系统（NIDS），可以使用以下命令行启动这种工作模式： 　　snort -dev -l c:\snort\log -h 10.3.2.0/24 -c c:\snort\etc\snort.conf 　　snort.conf是Snort的规则集文件，Snort会将每一个数据包与规则集文件进行匹配，匹配成功便根据规则采取相应的行动，同时将日志文件输出到指定的目录中。