【正文】 學(xué)習(xí)過程中我體會(huì)到：寫論文是一個(gè)不斷學(xué)習(xí)的過程，從最初剛寫論文時(shí)對(duì)企業(yè)職位面臨的問題的模糊認(rèn)識(shí)到最后能夠?qū)υ搯栴}有深刻的認(rèn)識(shí)，我體會(huì)到實(shí)踐對(duì)于學(xué)習(xí)的重要性，以前只 是明白理論，沒有經(jīng)過實(shí)踐考察，對(duì)知識(shí)的理解不夠明確，通過這次的論文，真正做到理論與實(shí)踐 相結(jié)合。 但是最終的成就使我非常的高興。正是 路 老師的無私幫助與熱忱鼓勵(lì)，我的畢業(yè)論文才能夠得以順利完成，謝謝 路 老師 。 他 為人隨和熱情，治學(xué)嚴(yán)謹(jǐn)細(xì)心。同時(shí)我也深刻的認(rèn) 識(shí)到，在對(duì)待一個(gè)新事物時(shí)，一定要從整體考慮，完成一步之后再作下一步，這樣才能更加有效。 即 將 改成： 再次運(yùn)行 1項(xiàng)命令，出現(xiàn)目錄路徑出錯(cuò)，找到出 錯(cuò)的路徑。 $archive_password = 123。 //數(shù)據(jù)庫密碼，與安裝 mysql 數(shù)據(jù)庫時(shí)密碼一致 $archive_dbname = snort_archive。 $alert_host = localhost。 9 圖 31 修改 php 配置文件 復(fù)制 c:\ids\php5\ext 文件夾下的 文件到 c:\windows 文件夾。 Source create_mysql。 3. 接著在 mysql 客戶端執(zhí)行如下命令 ，以創(chuàng)建數(shù)據(jù)庫。首先我們要選擇自定義安裝。 3． 復(fù)制 php5目錄下的 到 c:\windows 下，并重命名為 4． 修改 c:\ids\apache\conf\ 文件 , 加入 apache 對(duì) php 的支持， 在文檔的編輯器中點(diǎn)擊查找“ ” ,然后再下一行 8 加入： loadmodule php5_module c:\ids\php\， 新版本的寫法： loadmodule php5_module c:/ids/php5/ 5． 加入： addtype application/xdphp .php，如圖 6． 修改 c:\widows\ 文件 , 在文檔的編輯器中點(diǎn)擊查找“ gz .tgz” ,找到； extension= 去掉 extension= 前的分號(hào) 7． 復(fù)制 c:\ids\php5\ext 文件夾下 文件到 c:\windows 文件夾下 8． 進(jìn)行相關(guān)配置后，我們重啟下 Apache，然后在 Apache 網(wǎng)頁存放目錄下c:\ids\apache\htdocs 文件夾下編寫 文件，內(nèi)容為 ?php phpinfo()。對(duì)于 Snort 規(guī)則的研究也不徹底，缺乏細(xì)致的剖析。因此，對(duì) Snort 系統(tǒng)的研究無疑具有很大的商業(yè)意義。同時(shí)，研究 Snort 系統(tǒng)對(duì)于改變國內(nèi)目前入侵檢測(cè)系統(tǒng)研發(fā)的落后局面，也具有非常重要的意義。 （ 2） 應(yīng)用現(xiàn)狀 Snort 作為自由軟件，二次開發(fā)費(fèi)用低廉，預(yù)算比較緊張的企業(yè)，目前廣泛的應(yīng)用 Snort 作為主要網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。 Snort 系統(tǒng)的現(xiàn)狀 （ 1） 發(fā)展現(xiàn)狀 由于遍布世界各地的眾多程序員共同維護(hù)和升級(jí)，目前 Snort 系統(tǒng)的更新是很快的，目前版本 ，其系統(tǒng)結(jié)構(gòu)日趨合理，功能不斷增強(qiáng)，檢測(cè)規(guī)則也不斷增新和完善，但系統(tǒng)的基本架構(gòu)沒有變。因?yàn)槠湟?guī)則語言簡(jiǎn)單，所以很容易上手，節(jié)省人員的培訓(xùn)費(fèi)用。 Snort 當(dāng)前支持的插件包括：數(shù)據(jù)庫日志輸出插件、碎數(shù)據(jù)包檢測(cè)插件、端口掃描檢測(cè)插件、 HTTP URI Normalization 插件、 XML 插件等。它使用一種簡(jiǎn)單的規(guī)則描述語言。而被攻擊的主機(jī)的 TCP 協(xié)議棧會(huì)重組這些數(shù)據(jù)，將其送給在目標(biāo)端口上監(jiān)聽的進(jìn)程，從而使攻擊包逃過 Snort 的監(jiān)視。 Snort 的日志格式既可以是 Tcpdump 式的二進(jìn)制格式，也可以解碼成 ASCH字符形式，更加便于用戶尤其是新手檢查。 Snort 能夠進(jìn)行協(xié)議分析，內(nèi)容的搜索 /匹配。 （ 3） Snort 的功能非常強(qiáng)大 Snort 具有實(shí)時(shí)流量分析和日志 IP 網(wǎng)絡(luò)數(shù)據(jù)包的能力。另外 ,還可以按策略配置響應(yīng) ,可分別采取立即、緊急、適時(shí)、本地的長(zhǎng)期和全局的長(zhǎng)期等行動(dòng)。統(tǒng)計(jì)分析的最大優(yōu)點(diǎn)是可以學(xué)習(xí)用戶的使用習(xí)慣。它首先構(gòu)建分析器 ,把收集到的信息經(jīng)過預(yù)處理 ,建立一個(gè)行為分析引擎或模型 ,然后向模型中植入時(shí)間數(shù)據(jù) ,在知識(shí)庫中保存植入數(shù)據(jù)的模型。入侵檢測(cè)一般分為 3個(gè)步驟 ,依次為信息收集、數(shù)據(jù)分析、響應(yīng)（被動(dòng)響應(yīng)和主動(dòng)響應(yīng)）。分片不僅可用來攻擊 ,還可用來逃避未對(duì)分片進(jìn)行組裝嘗試的入侵檢測(cè)系統(tǒng)的檢測(cè)。 ③ 通過檢測(cè)發(fā)生頻率才能發(fā)覺的攻擊 ,如端口掃描、 SYN Flood、 smurf 攻擊等。其次將捕獲得數(shù)據(jù)包按照規(guī)則庫逐一匹配，若匹配成功，則認(rèn)為該入侵行為成立。我們可以讓 snort 分析網(wǎng)絡(luò)數(shù)據(jù)流以匹配用戶定義的一些規(guī)則，并根據(jù)檢測(cè)結(jié)果采取一定的動(dòng)作。 Snort 有三種工作模式：嗅探器、數(shù)據(jù)包記錄器、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。 Snort 作為網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中的典型范例，首先 它可以運(yùn)行在多種操作系統(tǒng)平臺(tái)之上，例如 UNIX 系列和 Windows (需要 1ibpcap for win32Winpcap 的支持 )，與很多商業(yè)產(chǎn)品相比，它對(duì)操作系統(tǒng)的依賴性比較低。這種方法目前在大部分的入侵檢測(cè)系統(tǒng)中得到應(yīng)用 2 Snort 簡(jiǎn)介 Snort 系統(tǒng)是一個(gè)以開放源代 碼的形式發(fā)行的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，由Martin Roesch 編寫，并由遍布在世界各地的眾多程序員共同維護(hù)和升級(jí)。 (2)基于神經(jīng)網(wǎng)絡(luò)的分析方法 這種方法對(duì)用戶的行為具有自學(xué)習(xí)和自適應(yīng)的能力，能夠根據(jù)實(shí)際檢測(cè)到的信息有效地加以處理并做出入侵可能性的判斷。入侵者常常利用系統(tǒng)和應(yīng)用軟件的弱點(diǎn)進(jìn)行攻擊，而這些弱點(diǎn)可以歸類為某種模式，如果入侵者攻擊方式恰好匹配上檢測(cè)系統(tǒng)中的模式庫，則 入侵者即被檢測(cè)到。異常檢測(cè)試圖通過定量方式描述常規(guī)的或可接受的行為，以標(biāo)記非常規(guī)的、潛在的入侵行為。通常的做法是通過監(jiān)視通信信道上的口令包，破解口令的加密形式。它們既不屬于正規(guī)商業(yè)軟件，也不屬于真正的病毒；既有一定的實(shí)用價(jià)值，也會(huì)給用戶帶來種種干擾。在 PC看來就是上不了網(wǎng)了。 第一種 ARP 欺騙的原理是 —— 截獲網(wǎng)關(guān)數(shù)據(jù)。 (2) 網(wǎng)絡(luò)嗅探技術(shù)：通過解碼網(wǎng)絡(luò)中的數(shù)據(jù)包，捕獲帳戶、口令等信息。 2 入侵攻擊到如今這種泛濫的趨勢(shì)也是有一 個(gè)過程的，早期一些專業(yè)人士通過對(duì)系統(tǒng)進(jìn)行攻擊是為了檢測(cè)發(fā)現(xiàn)系統(tǒng)漏洞，它是作為一種安全測(cè)試工作，根據(jù)測(cè)試結(jié)果改變系統(tǒng)結(jié)構(gòu)、設(shè)計(jì)方式、算法流程，從而提高系統(tǒng)的安全性和可靠性。 入侵檢測(cè)系統(tǒng)的檢測(cè)信息來源都是通過自身的檢測(cè)部分 Sensor 得到的。同時(shí)加入預(yù)掃描的功能，可以對(duì)本地機(jī)器的端口進(jìn)行檢測(cè)，發(fā)現(xiàn)漏洞，通知用戶及時(shí)處理，從而可以確保系統(tǒng)的安全。目前入侵檢測(cè)涉及到的功能有監(jiān)視分析用戶和系統(tǒng)的行為、審計(jì)系統(tǒng)配置和漏洞、評(píng)估敏感系統(tǒng)和數(shù)據(jù)的完整性、識(shí)別攻擊行為、對(duì)異常行為進(jìn)行統(tǒng)計(jì)、自動(dòng)地收集與系統(tǒng)相關(guān)的補(bǔ)丁、進(jìn)行審計(jì)跟蹤識(shí)別違反安全策略的行為、使用誘騙服務(wù)器記錄黑客行為等功能 ，使系統(tǒng)管理員可以較有效地監(jiān)視、審計(jì)、評(píng)估自己的系統(tǒng)等。最后，通過實(shí)驗(yàn)演示，證明改進(jìn)后的入侵檢測(cè)系統(tǒng)能夠很好的滿足在 Windows 平臺(tái)的應(yīng)用需要。本文就是圍繞 Snort檢測(cè)技術(shù)進(jìn)行的研 究，進(jìn)一步開發(fā)出 Windows平臺(tái)下基于 Snort的入侵檢測(cè)系統(tǒng)。無論是在局域網(wǎng)還是在廣域網(wǎng)中，都存在著自然或人為等諸多因素的脆弱性和潛在的威脅。鄭州輕院輕工職業(yè)學(xué)院 ?？飘厴I(yè)設(shè)計(jì)（論文） 題 目 構(gòu)建基于 Snort 的入侵檢測(cè)系統(tǒng) 學(xué)生姓名 專業(yè)班級(jí) 學(xué) 號(hào) 系 別 指導(dǎo)教師 (職稱 ) 完成時(shí)間 1 構(gòu)建基于 Snort 的入侵檢測(cè)系統(tǒng) 摘 要 隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展，信息全球化己成為人類發(fā)展的大趨勢(shì)。因此，上述的網(wǎng)絡(luò)必須有足夠強(qiáng)的安全措施，否則該網(wǎng)絡(luò)將是個(gè)無用的、甚至?xí)＜皣业木W(wǎng)絡(luò)安全。對(duì) Snort 入侵檢測(cè)系統(tǒng)的研究具有較強(qiáng)的學(xué)術(shù)意義和較高的商業(yè)價(jià)值。彌補(bǔ)了原有 Snort 系統(tǒng)由于基于控制臺(tái)界面，配置繁瑣，操作復(fù)雜等的缺點(diǎn)，提高了其與 Windows 系統(tǒng)上其它程序交互的能力，在加速 Snort在 Windows平臺(tái)的普及上具有重要的實(shí)用價(jià)值。它以探測(cè)與控制作為技術(shù)本質(zhì)，起著主動(dòng)式、動(dòng)態(tài)的防御作用，是網(wǎng)絡(luò)安全中極其重要的組成部分。它的針對(duì)性很強(qiáng)，特征庫可以不斷更新。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)的 Sensor 不可能直接從系統(tǒng)內(nèi)部獲取信息的，它是要通過一個(gè)事先做好的代理程序，安裝在需要檢測(cè)的主機(jī)里的，這些代理程序主要收集系統(tǒng)和網(wǎng)絡(luò)日志文件，目錄和文件中的不期望的改變，程序執(zhí)行中的不期望行為，物理形式的入侵信息。 “知己知彼，百戰(zhàn)不殆”，要做好網(wǎng)絡(luò)安全就需要了解敵人，了解黑客，了解入侵攻擊技術(shù)及其原理， 以下就簡(jiǎn)單的介紹一些目前最常見的入侵技術(shù) :