遵义师范学院计算机与信息科学学院
告验报实
）学期2013—2014学年第1 （
网络安全实验课程名称：
班级：
号：学
姓名：
任课教师：
计算机与信息科学学院．实验报告
1
闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

这些都通过它执行以下任务来实现：监视、分析用户及系统活动··系统构造和弱点的审计·识别反映已知进攻的活动模式并向相关人士报警·异常行为模式的统计分析·评估重要系统和数据文件的完整性·操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能给网络安全策略的制订提供指南。

更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。

而且，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。

入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。

:
两种特征检测与异常检测入侵检测系统所采用的技术可分为，这一检测假设入侵Misuse detection 特征检测(Signature-based detection) 又称者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。

它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。

其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。

的假设是入侵者活动异常于正常主体的活动。

根据这一(Anomaly detection)异常检测理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。

异常检测的难题在于如何从而不把正常的操作作为“入侵”或忽略真建立“活动简档”以及如何设计统计算法，
正的“入侵”行为
入侵检测系统：Snort(Open C语言开发了开放源代码1998年，Martin
Roesch先生用Snort简介：在已发展成为一个多平台直至今天，SnortSource)的入侵检测系统Snort.记录等特性的(Pocket)流量分析，网络IP数据包(Multi-Platform),实时(Real-Time)(Network Intrusion
Detection/Prevention System),防御系统强大的网络入侵检测/在网上——GUN General Pubic License),(GPL即NIDS/NIPS.Snort符合通用公共许可基于并且只需要几分钟就可以安装并开始使用它。

snort可以通过免费下载获得Snort, 。

libpcap有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。

嗅探器模式Snort数据包记录器模式把数仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。

snort而且是可配置的。

我们可以让据包记录到硬盘上。

网络入侵检测模式是最复杂的，分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。

能够对网络上的数据包进行抓包分析，但区别于其它嗅探器的原理：SnortSnort通过对获取的数据包，进行各规则Snort 是，它能根据所定义的规则进行响应及处理。

2
3
4
中把下的PhP.ini）添加3GD图形库的支持，将C:\WINDOWS
“;extension=php_gd2.dll”和“;extension=php_mysql.dll”这两条语句前面的分号去掉。

C:\windowsC:\ids\php5\ext下的文件php_gd2.dll,php_mysql.dll复制至）将4 复制至下；将php_mysql.dllC:\windows\system32下； 5
APACHE6）重启。

TEST.PHP，内容：<?phpinfo();?>。

目录下新建）在7C:\ids\APACHE\htdocs 中测试在IEPHP是否成功安装。

6
）安装WINPCAP。

8 的软件，由于前次实验已经安装在电脑上就不再安装。

此
处安装了一个带有winpcap。

安装时会提示选择组件以及是否用数据库，这里C:\ids\snortSNORT9）安装
至安装目录，安装完成后运行一次MYSQL，我们先不选择数据库，组件默认四个全部安装，如下图：
SNORTW，测试–，执行命令：）在命令行方式下，进入10c:\ids\snort\binsnort 是否成功安装。

出现以下提示则安装成功。

7
目复制至c:\php5\adodb adodb，将实验实现准备好的额adodb文件夹 12）安
装录下：
文件夹复制至c:\php5\jpgraph。

将实验实现准备好的13)安装jpgraph，jpgraph
C:\php5\jpgraph\src\jpgraph.php:
修改 DEFINE(“CACHE_DIR”,”/tmp/jpgraph_cache”);
，cd\，mysql -u root –p界面，执行以下命令：14)创建数据库，创建表，进入cmd
mysql 登录输入密码后, 建两个数据库：create database snort;
create database snort_archive;
验证一下show databases;
2.运行Snort：数运行必须的控制台，建立）进入
1MysqlSNORTSNORTSNORT_ARCHIVE数据库和8
文件到C:\ids\snort\bin下。

C:\ids\snort\schames2）复制下的create_mysql ）在命令行方式下分别输入和执行以下两条命令。

3mysql -D snort -u root -p < C:\create_mysql
mysql -D snort_archive -u root -p < c:\create_mysql
show databases
）查看数据库：4
9
10
规则包的所有文件解压缩至：规则包。

将事先准备的SNORTSNORT7) 解压缩下，替换其中的文件和文件夹。

C:\ids\snort
c:\snort\etc\snort.conf 配置文件，打开配置8) SNORTsnortinclude classification.config 将include reference.config
11
（如果希SNORT 以命令行下输入以下命令，启动程序。

SNORT9）启动入侵检测。

-VSNOR望看到抓取的数据包，可以-X之后加
10）执行以下命令加速并保存配置SNORT 12
查看统计数据：3.，进SNORT的主机上打开
http://192.168.1.60/acid/acid_main.php1）从安装有的入侵检SNORT分析控制台主界面，从中便可以查看到统计数据。

至此，基于入ACID SNORT测系统配置结束。

后续工作则是完善规则配置文件。

重新做了一边实验以后，显示以下内容，算是成功吧。

14
到此，实验结束。

总结：15
16。