《信息安全实验三—邓昭—信息111—1108060103》由会员分享,可在线阅读,更多相关《信息安全实验三—邓昭—信息111—1108060103(12页珍藏版)》请在金锄头文库上搜索。
1、贵州大学实验报告学院:计算机科学与技术 专业:信息安全 班级:信息 111姓名邓昭学号1108060103实验组实验时间2014.5.28指导教师成绩实验项目名称实验三:入侵检测系统实验目的(1)通过实验深入理解入侵检测系统的原理和的工作方式;(2)熟悉入侵检测工具 Snort 在 windows 操作系统中的安装和配置方法。实验要求实验原理1IDS 入侵检测系统(Intrusion Detection System,IDS)是针对计算机和网络系统资源 上的恶意使用行为进行识别和响应的处理系统。它在不影响网络性能的前提下,对网 络进行警戒、监控,从计算机网络的若干关键点收集信息,通过分析这些信
2、息,查看 网络中是否有违反安全策略的行为和遭到攻击的迹象,从而扩展了系统管理员的安全 管理能力,提高了信息安全基础结构的完整性。通过利用入侵检测系统,可以有效的 防止或减轻来自网络的威胁,它已经成为防火墙之后的又一道安全屏障,并在各种不 同的环境中发挥关键作用。 (1)入侵检测系统的分类 根据采集数据源的不同,入侵监测系统可分为基于网络的入侵检测系统(NIDS) 和基于主机的入侵检测系统(HIDS) 。 NIDS 使用监听的方式,在网络通信的原始数据包中寻找符合网络入侵模板的数 据包。NIDS 的网络分析引擎放置在需要保护的网段内,独立于被保护的机器之外, 不会影响这些机器的 CPU、I/O
3、与磁盘等资源的使用,也不会影响业务系统的性能。 NIDS 一般保护的是整个网段。 HIDS 安装在被保护的机器上,在主机系统的审计日志或系统操作中查找信息源 进行智能分析和判断,例如操作系统日志、系统进程、文件访问和注册表访问等信息。 由于 HIDS 安装在需要保护的主机系统上,这将影响应用系统的运行效率。HIDS 对主 机系统固有的日志与监视能力有很高的依赖性,它一般保护的是其所在的系统。 (2)入侵检测系统的实现技术 入侵检测系统的实现技术可以简单的分为两大类:基于特征的检测和基于异常的检测。 基于特征的检测技术主要包括模式匹配和协议分析两种检测方法。 模式匹配就是将收集到的信息与已知的网
4、络入侵和系统误用模式知识库进行比较, 以发现入侵行为。 协议分析相对于模式匹配技术是一种更新的入侵检测技术。它首先捕捉数据包, 然后对数据包进行分析,包括网络协议和命令解析,在解析的代码中快速检测某个攻 击特征是否存在。 基于异常的检测技术有很多,例如采用统计模型、专家系统等技术来实现。它首 先要对系统的行为进行统计,获得系统正常使用时的统计性能,如访问次数、操作失 败次数和延时等。统计性能被用来与网络、系统的行为进行比较,当观察值在正常值 范围之外时,入侵检测系统就会判断有入侵发生。 (3)入侵检测系统的部署原则 基于主机的入侵检测系统其安装部署简单,主要安装在检测的主机系统中,而基 于网络
5、的入侵检测系统复杂很多,需要考虑部署原则,以优化性能。 2轻量级的网络入侵检测系统 Snort 自 20 世纪最后几年来,随着 Internet 的广泛应用,各种 IDS 产品层出不穷。其中 Snort 是目前应用最为广泛的一个 IDS 产品,它有如下特点: 它是一个轻量级的网络入侵检测系统,所谓轻量级是指该软件在运行时只占用 极少的网络资源,对原有网络性能影响很小。 从数据来源上看,它是一个基于网络入侵的检测软件,即它作为嗅探器对发往 同一网络上的其它主机的流量进行捕获,然后进行分析。 它的工作采用误用检测模型,即首先建立入侵行为特征库,然后在检测过程中, 将收集到的数据包和特征码进行比较,
6、以得出是否入侵的结论。 它是用 C 语言编写的开放源代码网络入侵检测系统。其源代码可以被自由地读 取、传播和修改,任何一个程序员都可以自由地为其添加功能,修改错误、任意传播。它是一个跨平台软件,所支持的操作系统非常广泛,比如 Windows,Linux,SunOS 等都支持。在实验中我们将在 Windows 系统上构建 Snort。Snort 有 3 种主要模式:信息包嗅探器、信息包记录器或成熟的入侵探测系统。 Snort 的一些功能: 实时通信分析和信息包记录。 包装有效载荷检查。 协议分析和内容查询匹配。 探测缓冲溢出、秘密端口扫描、CGI 攻击、SMB 探测、操作系统侵入尝试。 对系统日
7、志、指定文件、UNIX socket 或通过 Samba 的 WinPopus 进行实时报警。在 Windows 平台上安装 Snort 所需的软件包见表 3.5。实验仪器(1)硬件条件:个人计算机。(2)软件条件:Windows 2003/XP。实验步骤1在在 Windows 环境下安装环境下安装 Snort。 (1)安装 Apache_2.0.46 双击 apache_2.0.46-win32-x86-no_src.msi,安装在文件夹 C:apache 下。安装程 序会在该文件夹下自动产生一个子文件夹 apache2。 为了避免 Apache Web 服务器的监听端口与 Windows
8、IIS 中的 Web 服务器的 80 监听端口发生冲突,这里需要将 Apache Web 服务器的监听端口进行修改。打开配置 文件 C:apacheapache2confhttpd.conf,将其中的 Listen 80,更改为 Listen50080。 单击“开始”按钮,选择“运行” ,输入 cmd,进入命令行方式。输入下面的 命令: 需要 C:cd apacheapache2bin C:apacheapache2binapache k install 这是将 apache 设置为以 Windows 中的服务方式运行。 (2)安装 PHP 解压缩 php-4.3.2-Win32.zip 里面
9、的文件至 C:php。 复制 C:php 下 php4ts.dll 至%systemroot%System32,复制 C:php 下 php.ini-dist 至%systemroot%(即 C:WINDOWS) ,然后修改文件名为:php.ini。 添加 gd 图形库支持,把 C:phpextensions php_gd2.dll 拷贝到% systemroot%System32(直接在运行里面输入“system32” ) ,在 php.ini 中添加 extension=php_gd2.dll。如果 php.ini 有该句,将此语句前面的“;”注释符去掉。 C:/php /php4ts.d
10、ll 复制到 C:apacheApache2bin 添加 Apache 对 PHP 的支持。在 C:apacheapache2confhttpd.conf 中添加: AddType application/x-httpd-php .php LoadModule php4_module “C:/php/sapi/php4apache2.dll“ 单击“开始”按钮,选择“运行” ,输入 cmd 进入命令行方式,在弹出的窗口 中输入下面命令: net start apache2 这将在 Windows 中启动 Apache Web 服务。 在 C:apacheapache2htdocs 目录下新建
11、test.php 测试文件,test.php 文件内容为 。 使用 http:/127.0.0.1:50080/test.php,测试 PHP 是否安装成功,如安装成功,则在 浏览器中出现 test.php 的网页。 (3)安装 snort 安装 snort-2_0_0.exe,snort 的安装路径在 C:snort。 (4)安装配置 MySQL 数据库 安装 Mysql 到文件夹 c:mysql,并在命令行方式下进入 C:mysqlbin,输入下面 的命令:(C:mysqlbin)mysqld-nt.exe -install这将使 mysql 在 Windows 中以服务方式运行。 在命令
12、行方式下输入 net start mysql,启动 mysql 服务。 在命令行方式下进入 C:mysqlbin,输入下面的命令: (C:mysqlbin)mysql u root p(需要手动输出,不要复制粘贴)直接输入 mysql 这是将出现 Enter password 提示符,直接按“回车” ,这就以默认的没有密码的 root 用户登录 Mysql 数据库。 在 Mysql 提示符后输入下面的命令: (Mysql)create database snort; (需要手动输出,不要复制粘贴)(Mysql)create database snort_archive; (需要手动输出,不要复
13、制粘贴)上面的 create 语句建立了 snort 运行必需的 snort 数据库和 snort_archive 数据库。 输入 quit 命令退出 Mysql 后,在出现的提示符之后输入: (C:mysqlbin)mysql D snort u root p )mysql D snort_archive u root p )grant usage on *.* to “acid”localhost” identified by “acidtest”; (需要手 动输出,不要复制粘贴) (mysql)grant usage on *.* to “snort”localhost” identi
14、fied by “snorttest”;(需要手 动输出,不要复制粘贴) 上面两个语句表示在本地数据库中建立了 acid(密码为 acidtest)和 snort(密码 为 snorttest)两个用户,以备后面使用。 在 Mysql 提示符后面输入下面的语句: (mysql)grant select,insert,update,delete,create,alter on snort.* to “acid”localhost”; (mysql)grant select,insert on snort.* to “snort”localhost”; (mysql)grant select,in
15、sert,update,delete,create,alter on snort_archive.* to “acid”localhost”; 这是为新建的用户在 snort 和 snort_archive 数据库中分配权限。 (5)安装 adodb 将 adodb453.zip 解压缩至 C:phpadodb 目录下,即完成了 adodb 的安装。(6)安装配置数据控制台 acid 解压缩 acid-0.9.6b23.tar.gz 至 C:apacheapache2htdocsacid 目录下。 修改 C:apacheapache2htdocsacid 下的 acid_conf.php 文件
16、: (用记事本打开时乱码,最好下载一个 UE 编辑器看,好看一点) $DBlib_path=”C:phpadodb”;$DBtyp=”mysql”;$alert_dbname=”snort”; $alert_host=”localhost”; $alert_port=”3306”; $alert_user=”acid”; $alert_password=”acidtest”;/*Archive DB connection parameters*/ $archive_dbname=”snort_archive”; $archive_host=”localhost”; $archive_port=”3306”; $archive_user=”acid”; $archive_password=”acidtest
