資源描述:
《基于snort的入侵檢測系統(tǒng)64336》由會員上傳分享,免費在線閱讀,更多相關內(nèi)容在學術論文-天天文庫。
1、基于Snort的入侵檢測系統(tǒng)用Snort,Apache,MySQL,PHP及ACID構建高級IDS入侵檢測系統(tǒng)及Snort介紹在當今的企業(yè)應用環(huán)境中,安全是所有網(wǎng)絡面臨的大問題。黑客和入侵者已成功的入侵了一些大公司的網(wǎng)絡及網(wǎng)站。目前已經(jīng)存在一些保護網(wǎng)絡架構及通信安全的方法,例如防火墻、虛擬專用網(wǎng)(VPN)、數(shù)據(jù)加密等。入侵檢測是最近幾年出現(xiàn)的相對較新的網(wǎng)絡安全技術。利用入侵檢測技術,我們可以從已知的攻擊類型中發(fā)現(xiàn)是否有人正在試圖攻擊你的網(wǎng)絡或者主機。利用入侵監(jiān)測系統(tǒng)收集的信息,我們可以加固自己的系統(tǒng),及用作其他合法用途。目前市場中也有很多弱點檢測工具,包括商品化的和開放源碼形式的
2、,可以用來評估網(wǎng)絡中存在的不同類型的安全漏洞。一個全面的安全系統(tǒng)包括很多種工具:l防火墻:用來阻止進入及走出網(wǎng)絡的信息流。防火墻在商業(yè)化產(chǎn)品和開放源碼產(chǎn)品中都有很多。最著名的商業(yè)化防火墻產(chǎn)品有Checkpoint(http://www.checkpoint.com),Cisco(http://www.cisco.com)及Netscreen(http://www.netscreen.com)。最著名的開放源碼防火墻是Netfilter/Iptables(http://www.netfilter.org)。l入侵檢測系統(tǒng)(IDS):用來發(fā)現(xiàn)是否有人正在侵入或者試圖侵入你的網(wǎng)絡。最著
3、名的IDS是Snort,可以在http://www.snort.org下載。l弱點評估工具:用來發(fā)現(xiàn)并堵住網(wǎng)絡中的安全漏洞。弱點評估工具收集的信息可以指導我們設置恰當?shù)姆阑饓σ?guī)則,以擋住惡意的互聯(lián)網(wǎng)用戶?,F(xiàn)在有許多弱點評估工具,比如Nmap(http://www.nmap.org/)和Nessus(http://www.nessus.org/).以上這些工具可以配合使用,交互信息。一些產(chǎn)品將這些功能捆綁在一起,形成一個完整的系統(tǒng)。Snort是一個開放源碼的網(wǎng)絡入侵檢測系統(tǒng)(NIDS),可以免費得到。NIDS是用來檢測網(wǎng)絡上的信息流的入侵檢測系統(tǒng)(IDS)。IDS也包括安裝在特定的
4、主機上并檢測攻擊目標是主機的行為的系統(tǒng)。IDS迄今為止還是一門相當新的技術,而Snort在IDS中處于領先的地位。本書由入侵檢測介紹及相關概念入手,你將學習如何安裝及管理Snort以及與Snort協(xié)同工作的其他產(chǎn)品。這些產(chǎn)品包括MySQL數(shù)據(jù)庫(http://www.mysql.org)、入侵數(shù)據(jù)庫分析管理工具ACID(http://www.cert.org/kb/acid)。Snort能夠將日志數(shù)據(jù)(例如告警和其他日志消息)記錄到數(shù)據(jù)庫中。MySQL用作存儲所有這些數(shù)據(jù)的數(shù)據(jù)庫引擎。利用ACID及Apache(http://www.apache.com)Web服務器,我們可以分
5、析這些數(shù)據(jù)。Snort、Apache、MySQL及ACID的共同協(xié)作,使我們可以將入侵檢測數(shù)據(jù)記錄到數(shù)據(jù)庫,然后用web界面察看和分析這些數(shù)據(jù)。此書的組織結構使讀者能夠跟著隨后的章節(jié)一步一步的建立一個完整的入侵檢測系統(tǒng)。安裝及整合各種工具的步驟將在如下的章節(jié)逐步介紹:第二章將介紹編譯及安裝Snort的基本知識。在這一章中,你將能夠用基本安裝及默認規(guī)則建立一個能夠工作的IDS,同時能夠建立可以記錄入侵活動的日志文件。第三章介紹Snort規(guī)則的有關知識,Snort規(guī)則的組成及如何根據(jù)你的系統(tǒng)環(huán)境及需要建立自己的規(guī)則。建立良好的規(guī)則是構建入侵檢測系統(tǒng)的關鍵,因此本章非常重要。本章同時也
6、介紹Snort不同版本間規(guī)則的不同。第四章介紹input及output插件。插件與Snort一同編譯,并用來調整檢測引擎的輸入和輸出部分。Input插件用在實際檢測過程發(fā)生前準備好捕獲的數(shù)據(jù)包。Output插件用來將數(shù)據(jù)數(shù)據(jù)格式化,以用于特定的目的,例如一種output插件可以將輸出的檢測信息轉換成SNMPtrap信息,而另外一種output插件可以將信息轉換成數(shù)據(jù)庫信息。這一章將詳細介紹如何配置及使用這些插件。第五章介紹MySQL數(shù)據(jù)庫與Snort的共同工作。MySQL插件使Snort能夠將日志數(shù)據(jù)記錄到數(shù)據(jù)庫以便隨后的分析。在這一章中,你將了解如何在MySQL中建立數(shù)據(jù)庫,如
7、何配置數(shù)據(jù)庫插件,以及將日志數(shù)據(jù)記錄到數(shù)據(jù)庫中。第六章介紹ACID,以及如何用ACID取得你在第五章建立的數(shù)據(jù)庫中的信息,并用Apache服務器顯示它。ACID一種提供豐富的數(shù)據(jù)分析能力的重要工具,你可以用它來取得攻擊頻率、攻擊類別、察看這些攻擊方法的相關資源等等。ACID用PHP腳本語言、圖形顯示庫(GDlibrary)和PHPLOT(一種用來繪制圖表的工具)來工作,可以分析SQL中的數(shù)據(jù)并繪制圖表。第七章主要介紹可以和Snort一起工作的其他一些有用的工具。在讀完此書后,你將