网络安全实验Snort网络入侵检测实验..docx

遵义师范学院计算机与信息科学学院 实 验 报 告 2013—2014 学年第 1 学期 ） 课程名称： 网络安全实验 班 级： 学 号： 姓 名： 任课教师： 计算机与信息科学学院 实 验 报 告 实验名称 Snort 网络入侵检测实验 指导教师 实验类型 操作 实验学时 4 实验时间 一、实验目的与要求 1）进一步学习网络入侵检测原理与技术。 2）理解 Snort 网络入侵检测基本原理。 3）学习和掌握 Snort 网络入侵检测系统的安装、配置与操作。 4）学习和掌握如何利用 Snort 进行网络入侵检测应用。 二、实验仪器和器材 惠普 pavilion-G4 ，corel-i3-2310 ，内存： 4G，虚拟机软件 vmware9.0， windows server 2003，Snort_2_9_2_2_Installer ，appserv-win32-2.5.10 。 Acid ，Adodb，Jpgraph ，Mysql，PHP，WINPCAP，SNORTRULES。 三、 实验原理、内容及步骤 （一）、实验原理： 入侵检测基本原理： 入侵检测（ Intrusion Detection ）是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸 门，在不影响网络性能的情况下能对网络进行监测。 入侵检测通过执行以下任务来实现： 监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。 入侵检测被认为是防火墙之后的第二道安全 1 闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现： · 监视、分析用户及系统活动 · 系统构造和弱点的审计 · 识别反映已知进攻的活动模式并向相关人士报警 · 异常行为模式的统计分析 · 评估重要系统和数据文件的完整性·操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能给网络安全策略的制订提供指南。更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。而且，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。入侵检测系统所采用的技术可分为 特征检测 与异常检测 两种 : 特征检测 (Signature-based detection) 又称 Misuse detection ，这一检测假设入侵 者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。 异常检测 (Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法， 从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为 Snort 入侵检测系统： Snort 简介：在 1998 年， Martin Roesch 先生用 C 语言开发了开放源代码 (Open Source) 的入侵检测系统 Snort. 直至今天， Snort 已发展成为一个多平台 (Multi-Platform), 实时 (Real-Time) 流量分析，网络 IP 数据包 (Pocket) 记录等特性的强大的网络入侵检测 / 防御系统 (Network Intrusion Detection/Prevention System), 即 NIDS/NIPS.Snort 符合通用公共许可 (GPL—— GUN General