在Window下采用Snort配置入侵检测系统

网络安全实验S n o r t网络入侵检测实验(总6页)-CAL-FENGHAI.-(YICAI)-Company One1-CAL-本页仅作为文档封面，使用请直接删除遵义师范学院计算机与信息科学学院实验报告（2013—2014学年第1 学期）课程名称：网络安全实验班级：学号：姓名：任课教师：计算机与信息科学学院实验报告·操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能给网络安全策略的制订提供指南。

更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。

而且，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。

入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。

入侵检测系统所采用的技术可分为特征检测与异常检测两种:特征检测(Signature-based detection) 又称Misuse detection ，这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。

它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。

其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。

异常检测(Anomaly detection)的假设是入侵者活动异常于正常主体的活动。

根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。

异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为Snort入侵检测系统：Snort简介：在1998年，Martin Roesch先生用C语言开发了开放源代码(Open Source)的入侵检测系统Snort.直至今天，Snort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析，网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS.Snort符合通用公共许可(GPL——GUN General Pubic License),在网上可以通过免费下载获得Snort,并且只需要几分钟就可以安装并开始使用它。

贵州大学实验报告学院：计信学院专业：班级:（10 ）测试snort的入侵检测相关功能实（1）装有Windows2000 或WindowsXP 操作系统的PC机；验（2）Apache_2.0.46、php-4.3.2、snort2.0.0、Mysql 、adodb、acid、jpgraph 库、仪win pcap 等软件。

器（1）Apache_2.0.46 的安装与配置（2）php-4.3.2 的安装与配置（3）sn ort2.0.0 的安装与配置实（4）Mysql数据库的安装与配置验（5）adodb的安装与配置步（6）数据控制台acid的安装与配置骤（7）jpgraph 库的安装（8）win pcap的安装与配置（9）snort规则的配置（10 ）测试snort的入侵检测相关功能（一）windows 环境下snort 的安装实1、安装 Apache_2.0.46验（1）双击 Apache_2.0.46-win32-x86-no_src.msi ，安装在默认文件夹C:\apache 内下。

安装程序会在该文件夹下自动产生一个子文件夹apache2 。

容Php)3、安装 snort安装snort-2_0_0.exe , snort 的默认安装路径在 C:\snort安装配置Mysql 数据库(1)安装Mysql 到默认文件夹 C:\mysql ，并在命令行方式下进入C:\mysql\bin ,输入下面命令： C:\mysql\bin\mysqld - install 这将使 mysql 在 Windows 中以服务方式运行。

(2)在命令行方式下输入 net start mysql ，启动mysql 服务(3 )进入命令行方式，输入以下命令 C:\mysql\b in> mysql -u root -p如下图:出现Enter Password 提示符后直接按"回车”，这就以默认的没有密码的 root 用户 登录mysql 数据库。

⼊侵检测软件Snort的使⽤实验1．安装和配置 IDS 软件 Snort并查看⽹卡信息从返回的结果可知主机上有哪个物理⽹卡正在⼯作及该⽹卡的详细信息。

图中显⽰此计算机只有1个⽹卡，且该⽹卡具有物理地址。

2.输⼊ snort –v –i1命令启⽤ Snort并捕捉到⼀些流量3. 配置snort3.1打开 snort配置⽂件，设置 Snort 的内部⽹络和外部⽹络⽹络检测范围。

将 Snort.conf ⽂件中的 var HOME_NET any 语句的 any 改为⾃⼰所在的⼦⽹地址，即将Snort 监测的内部⽹络设置为所在的局域⽹。

我实验的机器ip地址为192.168.1.131，故⼦⽹地址应该为192.168.1.0/243.2配置⽹段内提供⽹络服务的 IP 地址，只需要把默认的$HOME_NET 改成对应的主机地址即可。

var DNS_SERVERS $HOME_NETvar SMTP_SERVERS HOME N ETvarHTTP S ERVERS HOME_NETvar SQL_SERVERS HOME N ETvarTELNET S ERVERS HOME_NETvar SNMP_SERVERS $HOME_NET3.3配置动态预处理器库# path to dynamic preprocessor librariesdynamicpreprocessor directory c:\Snort\lib\snort_dynamicpreprocessordynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_dce2.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_dns.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_ftptelnet.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_sdf.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_smtp.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_ssh.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_ssl.dlldynamicengine c:\Snort\lib\snort_dynamicengine\sf_engine.dll3.4修改配置⽂件 classification.config 和 reference.config的路径:include c:\Snort\etc\classification.configinclude c:\Snort\etc\reference.config其中 classification.config ⽂件保存的是规则的警报级别相关的配置，reference.config ⽂件保存了提供更多警报相关信息的链接。

第32卷第4期集宁师专学报Vol.32，No.42010年12月Journal of JiningTeachers College Dec.2010收稿日期：作者简介：马永强(—)，男，内蒙古商都县人，讲师，研究方向：多媒体技术及网络安全。

Snor t 入侵检测系统的使用与测试马永强1，刘娟2(1.集宁师范学院计算机系，内蒙古乌兰察布市0120002.1.集宁师范学院英语系，内蒙古乌兰察布市012000)摘要：入侵检测技术是一种主动保护计算机系统和网络资源的安全技术。

本文详细叙述了配置入侵检测系统的步骤,本系统能将s nort 捕获到的入侵情况传送到M ySQ L 中,并能在B A SE 中以网页的形式观察有问题的数据包,方便管理员对网络入侵情况的观察，并及时作出相应的处理。

关键词：入侵检测系统；Snort 校园网；网络安全中图分类号：G 2文献识别码：B 文章编号：1009-7171(2010)04-0048-04校园网作为高校教育科研的重要基础设施，担当着学校教学、科研、管理等重要角色，做好对入侵攻击的检测与防范，很好地保障计算机系统、网络及整个信息基础设施的安全已经成为当前重要的课题。

随着入侵技术的不断发展、攻击手段与方法的日趋复杂化和多样化，防火墙技术、加密技术、身份认证技术以及访问控制技术等传统的安全防御体系已经远远不能满足当前安全状况的需要。

在这种情况下，入侵检测系统(I nt r usi on D et ect i on Syst e m ，I D S)就应运而生。

然而,目前我国对入侵检测系统的框架结构和理论的研究比较多,但是真正具体的实际应用的却很少,这势必会造成了理论和实践的脱节。

Snor t 虽然功能强大,但是由于没有图形界面的支持,也很难让我们普通使用者理解它的工作原理,如何将我们现有的入侵检测系统应用到我们的计算机系统中,如何将snor t 捕获的数据传送到W eb 页面,如何搭建适合我们自己的入侵检测系统,是本文基本出发点。

实验八入侵检测系统snort的安装与使用一、实验序号：8二、实验学时：2三、实验目的（1）理解入侵检测的作用和检测原理。

（2）理解误用检测和异常检测的区别。

（3）掌握Snort的安装、配置。

（4）掌握用Snort作为基于主机的入侵检测系统(HIDS)的使用。

四、实验环境每2位学生为一个实验组，使用2台安装Windows 2000/XP的PC机，其中一台上安装Windows平台下的Snort 2.9软件；在运行snort的计算机上，安装WinpCap4.1.2程序。

五、实验要求1、实验任务（1）安装和配置入侵检测软件。

（2）查看入侵检测软件的运行数据。

（3）记录并分析实验结果。

2、实验预习（1）预习本实验指导书，深入理解实验的目的与任务，熟悉实验步骤和基本环节。

（2）复习有关入侵检测的基本知识。

六实验背景1 基础知识入侵检测是指对入侵行为的发现、报警和响应，它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或者系统中是否有违反安全策略的行为和被攻击的迹象。

入侵检测系统（Intrusion Detection System， IDS）是完成入侵检测功能的软件和硬件的集合。

随着网络安全风险系数不断揭帖，防火墙作为最主要的安全防范手段已经不能满足人们对网络安全的需求。

作为对防火墙极其有益的补充，位于其后的第二道安全闸门IDS能够帮助网络系统快速发现网络攻击的发生，有效扩展系统管理员的安全管理能力及提高信息安全基础结构的完整性。

IDS能在不影响网络及主机性能的情况下对网络数据流和主机审计数据进行监听和分析，对可疑的网络连接和系统行为进行记录和报警，从而提供对内部攻击、外部攻击和误操作的实时保护。

2 入侵检测软件Snort简介Snort是一款免费的NISD，具有小巧、易于配置、检测效率高等我，常被称为轻量级的IDS。

Snort具有实时数据流量分析和IP数据包日志分析能力，具有跨平台特征，能够进行协议分析和对内容的搜索或匹配。