資源描述:
《基于snort的入侵檢測(cè)系統(tǒng) - search readpudncom》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1、基于Snort的入侵檢測(cè)系統(tǒng)用Snort,Apache,MySQL,PHP及ACID構(gòu)建高級(jí)IDS入侵檢測(cè)系統(tǒng)及Snort介紹在當(dāng)今的企業(yè)應(yīng)用環(huán)境中,安全是所有網(wǎng)絡(luò)面臨的大問題。黑客和入侵者已成功的入侵了一些大公司的網(wǎng)絡(luò)及網(wǎng)站。目前已經(jīng)存在一些保護(hù)網(wǎng)絡(luò)架構(gòu)及通信安全的方法,例如防火墻、虛擬專用網(wǎng)(VPN)、數(shù)據(jù)加密等。入侵檢測(cè)是最近幾年出現(xiàn)的相對(duì)較新的網(wǎng)絡(luò)安全技術(shù)。利用入侵檢測(cè)技術(shù),我們可以從已知的攻擊類型中發(fā)現(xiàn)是否有人正在試圖攻擊你的網(wǎng)絡(luò)或者主機(jī)。利用入侵監(jiān)測(cè)系統(tǒng)收集的信息,我們可以加固自己的系統(tǒng),及用作其他合法用途。目前市場(chǎng)中也有
2、很多弱點(diǎn)檢測(cè)工具,包括商品化的和開放源碼形式的,可以用來評(píng)估網(wǎng)絡(luò)中存在的不同類型的安全漏洞。一個(gè)全面的安全系統(tǒng)包括很多種工具:l防火墻:用來阻止進(jìn)入及走出網(wǎng)絡(luò)的信息流。防火墻在商業(yè)化產(chǎn)品和開放源碼產(chǎn)品中都有很多。最著名的商業(yè)化防火墻產(chǎn)品有Checkpoint(http://www.checkpoint.com),Cisco(http://www.cisco.com)及Netscreen(http://www.netscreen.com)。最著名的開放源碼防火墻是Netfilter/Iptables(http://www.netfilt
3、er.org)。l入侵檢測(cè)系統(tǒng)(IDS):用來發(fā)現(xiàn)是否有人正在侵入或者試圖侵入你的網(wǎng)絡(luò)。最著名的IDS是Snort,可以在http://www.snort.org下載。l弱點(diǎn)評(píng)估工具:用來發(fā)現(xiàn)并堵住網(wǎng)絡(luò)中的安全漏洞。弱點(diǎn)評(píng)估工具收集的信息可以指導(dǎo)我們?cè)O(shè)置恰當(dāng)?shù)姆阑饓σ?guī)則,以擋住惡意的互聯(lián)網(wǎng)用戶?,F(xiàn)在有許多弱點(diǎn)評(píng)估工具,比如Nmap(http://www.nmap.org/)和Nessus(http://www.nessus.org/).以上這些工具可以配合使用,交互信息。一些產(chǎn)品將這些功能捆綁在一起,形成一個(gè)完整的系統(tǒng)。Snort是一
4、個(gè)開放源碼的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(NIDS),可以免費(fèi)得到。NIDS是用來檢測(cè)網(wǎng)絡(luò)上的信息流的入侵檢測(cè)系統(tǒng)(IDS)。IDS也包括安裝在特定的主機(jī)上并檢測(cè)攻擊目標(biāo)是主機(jī)的行為的系統(tǒng)。IDS迄今為止還是一門相當(dāng)新的技術(shù),而Snort在IDS中處于領(lǐng)先的地位。本書由入侵檢測(cè)介紹及相關(guān)概念入手,你將學(xué)習(xí)如何安裝及管理Snort以及與Snort協(xié)同工作的其他產(chǎn)品。這些產(chǎn)品包括MySQL數(shù)據(jù)庫(http://www.mysql.org)、入侵?jǐn)?shù)據(jù)庫分析管理工具ACID(http://www.cert.org/kb/acid)。Snort能夠?qū)⑷罩緮?shù)
5、據(jù)(例如告警和其他日志消息)記錄到數(shù)據(jù)庫中。MySQL用作存儲(chǔ)所有這些數(shù)據(jù)的數(shù)據(jù)庫引擎。利用ACID及Apache(http://www.apache.com)Web服務(wù)器,我們可以分析這些數(shù)據(jù)。Snort、Apache、MySQL及ACID的共同協(xié)作,使我們可以將入侵檢測(cè)數(shù)據(jù)記錄到數(shù)據(jù)庫,然后用web界面察看和分析這些數(shù)據(jù)。此書的組織結(jié)構(gòu)使讀者能夠跟著隨后的章節(jié)一步一步的建立一個(gè)完整的入侵檢測(cè)系統(tǒng)。安裝及整合各種工具的步驟將在如下的章節(jié)逐步介紹:第二章將介紹編譯及安裝Snort的基本知識(shí)。在這一章中,你將能夠用基本安裝及默認(rèn)規(guī)則建立
6、一個(gè)能夠工作的IDS,同時(shí)能夠建立可以記錄入侵活動(dòng)的日志文件。第三章介紹Snort規(guī)則的有關(guān)知識(shí),Snort規(guī)則的組成及如何根據(jù)你的系統(tǒng)環(huán)境及需要建立自己的規(guī)則。建立良好的規(guī)則是構(gòu)建入侵檢測(cè)系統(tǒng)的關(guān)鍵,因此本章非常重要。本章同時(shí)也介紹Snort不同版本間規(guī)則的不同。第四章介紹input及output插件。插件與Snort一同編譯,并用來調(diào)整檢測(cè)引擎的輸入和輸出部分。Input插件用在實(shí)際檢測(cè)過程發(fā)生前準(zhǔn)備好捕獲的數(shù)據(jù)包。Output插件用來將數(shù)據(jù)數(shù)據(jù)格式化,以用于特定的目的,例如一種output插件可以將輸出的檢測(cè)信息轉(zhuǎn)換成SNMPt
7、rap信息,而另外一種output插件可以將信息轉(zhuǎn)換成數(shù)據(jù)庫信息。這一章將詳細(xì)介紹如何配置及使用這些插件。第五章介紹MySQL數(shù)據(jù)庫與Snort的共同工作。MySQL插件使Snort能夠?qū)⑷罩緮?shù)據(jù)記錄到數(shù)據(jù)庫以便隨后的分析。在這一章中,你將了解如何在MySQL中建立數(shù)據(jù)庫,如何配置數(shù)據(jù)庫插件,以及將日志數(shù)據(jù)記錄到數(shù)據(jù)庫中。第六章介紹ACID,以及如何用ACID取得你在第五章建立的數(shù)據(jù)庫中的信息,并用Apache服務(wù)器顯示它。ACID一種提供豐富的數(shù)據(jù)分析能力的重要工具,你可以用它來取得攻擊頻率、攻擊類別、察看這些攻擊方法的相關(guān)資源等等
8、。ACID用PHP腳本語言、圖形顯示庫(GDlibrary)和PHPLOT(一種用來繪制圖表的工具)來工作,可以分析SQL中的數(shù)據(jù)并繪制圖表。第七章主要介紹可以和Snort一起工作的其他一些有用的工具。在讀完此書后,你將