【正文】 ry C:\Snort\lib\snort_dynamicpreprocessordynamicengine C:\Snort\lib\snort_dynamicengine 安裝規(guī)則庫/文件在c:\Snort下建立temp子目錄2）register at Snort: 把規(guī)則文件拷貝至C:\snort目錄下。把C:\，覆蓋原有文件和目錄。 配置Snort1）備份配置文件 cmd 中 COPY c:\snort\etc\ C:\snort\temp2)用 寫字板 打開配置文件c:\snort\etc\，進行修改 Change line 194 to read var RULE_PATH c:\snort\rules Change lines 289293 to read dynamicpreprocessor file c:\snort\lib\snort_dynamicpreprocessor dynamicpreprocessor file c:\snort\lib\snort_dynamicpreprocessordynamicpreprocessor file c:\snort\lib\snort_dynamicpreprocessordynamicpreprocessor file c:\snort\lib\snort_dynamicpreprocessordynamicpreprocessor file c:\snort\lib\snort_dynamicpreprocessor Change line 312 to read dynamicengine c:\snort\lib\snort_dynamicengine Change line 816 to read output alert_syslog: host=:514, LOG_AUTH LOG_ALERT I like to start with my Rulesets all on and work backwards, so you can go to lines 925 979 and remove the from each one3） 在Internet中輸入://你的ip地址/acid 如果一切正常顯示如圖128： windows下的snort配置完成。圖128六 課程設計分析與結果1. snort的啟動與測試實驗 啟動snortc:\snort\binsnort c c:\snort\etc\ l c:\snort\logs i 2 de XX 參數(shù)用于在數(shù)據(jù)鏈接層記錄raw packet 數(shù)據(jù)d 參數(shù)記錄應用層的數(shù)據(jù)e 參數(shù)顯示／記錄第二層報文頭數(shù)據(jù)c 參數(shù)用以指定snort 的配置文件的路徑i 指明監(jiān)聽的網(wǎng)絡接口。. 簡單測試SnortOpen a Command Prompt and run c:\snort\bin\snort –W，如圖129所示。圖1292. 測試 c:\snort\bin\snort v –iX Now run c:\snort\bin\snort v –iX(replace X with your adapter(適配器) number discovered from running the previous line) c:\snort\bin\snort v –i2 [注意 i和2之間沒有空格，嗅探模式]屏幕一直在滾動。有數(shù)據(jù)被捕獲。如圖130示。圖1303. 運行日志模式運行日志模式使用bat批文件。:\snort\bin\snort i2 s l c:\snort\log\ c c:\snort\etc\ 如圖131所示。圖1314. 測試運行（如圖13圖133所示）圖132 snort測試運行圖 133測試運行結果七 課程設計心得與體會通過實驗可知Snort是一個強大的輕量級的免費網(wǎng)絡入侵檢測系統(tǒng)，其特點如下： ，但其代碼非常簡潔、短小。 Snort的跨平臺性能極佳，目前已經(jīng)支持類Unix下Linux、Solaris、Freebsd、Irix、HPux、微軟的Windows2000等服務器系統(tǒng)。 ，能夠快速檢測網(wǎng)絡攻擊，及時發(fā)出報警。 ，對于新的攻擊反應迅速作為一個輕量級的網(wǎng)絡入侵檢測系統(tǒng)，Snort有足夠的擴展能力。 5．遵循公共通用許可證GPLSnort遵循通用公共許可證GPL，所以只要遵守GPL ，任何組織和個人都可以自由使用。 全面的安全防御方案發(fā)展,入侵檢測技術作已經(jīng)成為當前網(wǎng)絡安全研究熱點之一,因此入侵檢測技術只有在全面基礎理論研究與工程項目開發(fā)多個層面之上同時發(fā)展,才能全面整體提高入侵檢測系統(tǒng)的效率。 入侵檢測系統(tǒng)的配置涉及到的軟件和組件比較多，所以在配置時只有細心再細心，才能成功配置出來，通過將 winpcap、apache、php、mysql 等等，多種軟件與組件結合最終配置好入侵檢測。在實際應用中，Snort不僅用來保障計算機系統(tǒng)的安全，同時也要保證Snort自身系統(tǒng)的安全，這樣才能保證數(shù)據(jù)的可靠性．如果Snort系統(tǒng)本身受到了攻擊，那么所發(fā)送的報警也就不在可靠了，除非清除磁盤數(shù)據(jù)并重裝系統(tǒng)，否則Snort將沒有用處．一個典型的Snort安裝非常容易受到攻擊，攻擊對象包括Snort本身或其所在的操作系統(tǒng)．Snort一般需要將報警存儲到數(shù)據(jù)庫MySQL中，還需要通過專門的接口查看報警，這需要使用到Web服務器Apache．任何一種偵聽服務都可能成為被攻擊的對象，一些驅動攻擊甚至可以針對某個并沒有開啟相應服務的端口發(fā)起攻擊．因此，Snort系統(tǒng)若不能隨時關注最新的安全漏洞通告及所使用的操作系統(tǒng)安全通告，就很容易被攻擊．在整個設計的過程中，我們對入侵檢測的方法有了更深層的認識，熟悉了當前廣泛使用的入侵檢測方法Snort的實際使用，加深了對Snort的檢測方法和規(guī)則組織的認識．總之，可以說完成的過程也是學習的過程，更是收獲的過程，總結的過程，這次設計讓我們接觸了許多新的領域，受益匪淺．附錄一參考文獻：[1] 王超，計算機網(wǎng)絡安全中入侵檢測系統(tǒng)的研究與設計[D]，成都：電子科技大學，2007[2] 康宏， indows平臺的Snort入侵檢測系統(tǒng)[J].兵工自動化，2005[3] 蔣建春，馮登國，網(wǎng)絡入侵檢測原理與技術[M].北京:國防工業(yè)出版社， 2001[4] 陳偉，周繼軍,[M].北京:北京郵電大學出版社，2009.[5] 唐正軍,[M].北京:清華大學出版社,2004[6] 高平利,[J].計算機應用與軟件,2006[7] 羅守山,褚永剛,[M].北京:北京郵電大學出版社,2004[8] [D].西安:西安電子科技大學,2006[9] 劉春頌,楊壽保,杜濱. 基于網(wǎng)絡的入侵檢測系統(tǒng)及其實現(xiàn)[J]. 計算機應用, 2003[10] 陳鵬,呂衛(wèi)鋒,2007[11] 戴連英，連一峰，：清華大學出，2002[12] 程志鵬 蔚雪潔 譚建明 基于 snort 的入侵檢測系統(tǒng)的研究實統(tǒng)[J] 電腦開發(fā)與應用[13] 吳玉構建基于Snort的入侵檢測系統(tǒng)[ J]微電子學與計算機, 2005[14] [J].計算機應用研究,200531