【正文】 個(gè)規(guī)則數(shù)據(jù)庫(kù)。利用此規(guī)則庫(kù)和捕獲的數(shù)據(jù)包進(jìn)行比較，來(lái)判斷是否為入侵。Snort集成了多種告警機(jī)制來(lái)提供實(shí)時(shí)告警功能，包括：syslog、用戶(hù)指定文件、UNIXSocket、通過(guò)SMBClient使用WinPopup對(duì)Windows客戶(hù)端告警。Snort的插件機(jī)制使得它具有很好的擴(kuò)展性和可移植性，用戶(hù)可以根據(jù)自己的需要及時(shí)在短時(shí)間內(nèi)調(diào)整檢測(cè)策略，對(duì)于新的攻擊威脅做出迅速反應(yīng)。Snort有三種工作模式：嗅探器、數(shù)據(jù)包記錄器、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。入侵檢測(cè)通過(guò)執(zhí)行下任務(wù)來(lái)實(shí)現(xiàn)： 、分析用戶(hù)及系統(tǒng)活動(dòng)； ； ； ； ； 四、實(shí)驗(yàn)過(guò)程與測(cè)試數(shù)據(jù)Snort入侵檢測(cè)實(shí)例（1）安裝Apache服務(wù)器,進(jìn)入軟件安裝歡迎界面。 安裝界面在Network填寫(xiě)localhost，Sever Name選擇localhost，填寫(xiě)相關(guān)用戶(hù)信息。 Apache安裝設(shè)置界面確認(rèn)安裝無(wú)誤后，點(diǎn)擊next進(jìn)行安裝， 安裝過(guò)程在執(zhí)行命令之前。檢查無(wú)誤后，點(diǎn)擊next，使用 k 。 8080端口檢測(cè)界面 通過(guò)上述操作，顯示在Dos條件下均啟動(dòng)成功。將其中的listen 8080更改為50080。 （2）:\，%systemroot%\system32目錄下。 配置文件%system%\。 %systemroot%\.。 拷貝文件。 添加命令完成后，在Addtype application下填寫(xiě)以下命令。 填寫(xiě)命令，單擊“開(kāi)始”按鈕找到“運(yùn)行”，以cmd命令進(jìn)入命令行，輸入以下命令。 完成后，測(cè)試PHP腳本。 修改內(nèi)容使用:50080/。 （3）安裝與配置Snort，采用默認(rèn)安裝即可。 安裝Wincap軟件本次實(shí)驗(yàn)選擇Snort_2_9_0_1版本，將snortrulessnapshotCURRENT目錄下所有的文件復(fù)制到Snort目錄下。 配置信息(4)安裝和配備MySQL，并采用默認(rèn)安裝路徑，選擇Typical類(lèi)型。 (a) 安裝過(guò)程 (b) 安裝過(guò)程 (c) 安裝過(guò)程 (d) 安裝過(guò)程 (e) 安裝過(guò)程 完成安裝在完成mysql安裝后，在命令行中輸入net start mysql啟動(dòng)Mysql服務(wù)，使用Ctrl+R快捷鍵，輸入以下命令。 轉(zhuǎn)入root權(quán)限完成輸入后，運(yùn)行下列命令，創(chuàng)建兩張表。 創(chuàng)建兩張表完成上兩行命令后，Snort建立了所需的數(shù)據(jù)庫(kù)以及snort_archive數(shù)據(jù)庫(kù)。之后，運(yùn)行下列命令在Snort數(shù)據(jù)庫(kù)以及Snort_archive數(shù)據(jù)庫(kù)建立運(yùn)行所必需的表。 執(zhí)行命令然后再次進(jìn)入到數(shù)據(jù)庫(kù)中。從圖中可以看到，系統(tǒng)顯示0 rows affected，原因很簡(jiǎn)單因?yàn)樵摫碇羞€沒(méi)有添加數(shù)據(jù)是空表。 完成上一步操作后，為Snort與Snort_archive數(shù)據(jù)庫(kù)分配權(quán)限。 分配權(quán)限在命令提示窗口運(yùn)行下列命令，建立Snort輸出安全事件所需的表。 建立安全所需表（5）安裝ACID安裝Adjob及Jpgraph庫(kù)。 修改內(nèi)容安裝ACID的壓縮包。 修改內(nèi)容完成后，通過(guò)瀏覽器登錄:/:50080/,單擊后會(huì)獲取其下載文件，從而建立與ACID數(shù)據(jù)庫(kù)的連接。在對(duì)應(yīng)的實(shí)驗(yàn)教材中寫(xiě)得是:/，少寫(xiě)了1個(gè)端口號(hào)，因此在初次操作中會(huì)失敗，要想運(yùn)行其連接必須填寫(xiě)端口號(hào)。 建立連接（6）啟動(dòng)Snort打開(kāi)C:\snort\etc\，將文件中的內(nèi)容進(jìn)行修改。 修改絕對(duì)路徑上一步驟完成之后，在文件的最后一行，加入下面的語(yǔ)句。 修改語(yǔ)句在完成以上的操作后，測(cè)試Snort是否正常。從界面上可以看到運(yùn)動(dòng)圖像，由此可推斷出工作完全正常。 Snort啟動(dòng)界面完成上一步操作后，可以執(zhí)行命令查看本地網(wǎng)絡(luò)適配器編號(hào)，并啟動(dòng)snort。 正式啟動(dòng)程序上一步完成后，可以繼續(xù)輸入命令，查看具體詳細(xì)的信息。 查看詳細(xì)信息完成上步操作后，可以使用配置命令。從圖中可以判斷出該命令執(zhí)行成功。 使用配置命令查看本地網(wǎng)絡(luò)適配器編號(hào)，正式啟動(dòng)Snort。較復(fù)雜的是配置。打開(kāi):50080/acid/acid_main_php網(wǎng)頁(yè)，進(jìn)入ACID分析控制臺(tái)主界面，可以查看入侵檢測(cè)的結(jié)果。 入侵檢測(cè)結(jié)果五、實(shí)驗(yàn)分析入侵檢測(cè)分兩個(gè)步驟:信息收集和數(shù)據(jù)分析。入侵檢測(cè)的第一步是信息收集，內(nèi)容包括系統(tǒng)，網(wǎng)絡(luò)，數(shù)據(jù)及用戶(hù)活動(dòng)的狀態(tài)和行為。入侵檢測(cè)要利用的信息一般來(lái)自以下4個(gè)方面：系統(tǒng)日志，目錄及文件中的異常改變，程序中的異常行為和物理形式的入侵信息。這個(gè)實(shí)驗(yàn)較復(fù)雜，過(guò)程中涉及到Apache、PHP、snort、Mysql數(shù)據(jù)庫(kù)多個(gè)組件的應(yīng)用，需要小心操作。Snort不是一個(gè)自動(dòng)化的過(guò)程，需要一個(gè)非常熟練聰明的分析員對(duì)可疑行為分析并做出響應(yīng)。IDS產(chǎn)生數(shù)據(jù)量過(guò)大，Snort也不能避免陷入誤報(bào)的窘境。它的靈活性也帶來(lái)了復(fù)雜性，它的幾個(gè)組件必須協(xié)調(diào)工作才能保證IDS 穩(wěn)定運(yùn)行。根據(jù)實(shí)驗(yàn)步驟，糾正了一些錯(cuò)誤后，最終完成了配置并啟動(dòng)snort進(jìn)行檢測(cè)。六、實(shí)驗(yàn)體會(huì)通過(guò)本次實(shí)驗(yàn)我掌握了apache和PHP的使用方法，了解snort的常用功能，并且掌握 mysql的安裝和配置，對(duì)于這些軟件的學(xué)習(xí)讓我在日后的學(xué)習(xí)中掌握了新技能。另外在實(shí)驗(yàn)當(dāng)中，我認(rèn)識(shí)到，書(shū)中寫(xiě)的東西不一定是對(duì)的，很多都是過(guò)時(shí)的東西，因此在以后的學(xué)習(xí)與工作中，要注意提前預(yù)習(xí)，不要光看課本，要多動(dòng)腦子，在snort與msysql配置操作中，很多路徑都是與書(shū)中所寫(xiě)不一致，這需要我更仔細(xì)一些。實(shí)驗(yàn)五、虛擬蜜罐分析與實(shí)踐一、實(shí)驗(yàn)?zāi)康膶W(xué)會(huì)安裝相關(guān)的虛擬蜜網(wǎng)軟件的方法了解虛擬蜜網(wǎng)的搭建過(guò)程。掌握利用虛擬蜜網(wǎng)技術(shù)進(jìn)行系統(tǒng)漏洞掃描的方法。掌握利用虛擬蜜網(wǎng)技術(shù)進(jìn)行的系統(tǒng)漏洞掃描方法。二、實(shí)驗(yàn)儀器與器材 操作系統(tǒng)為Windows xp的pc機(jī)一臺(tái)三、實(shí)驗(yàn)原理虛擬蜜網(wǎng)是通過(guò)應(yīng)用虛擬操作系統(tǒng)軟件使得我們可以在單一的主機(jī)上實(shí)現(xiàn)整個(gè)蜜網(wǎng)的體系架構(gòu)。虛擬蜜網(wǎng)的引入使得架設(shè)蜜網(wǎng)的代價(jià)大幅降低，也容易部署和管理，但同時(shí)也帶來(lái)更大的風(fēng)險(xiǎn)，黑客有可能識(shí)別出虛擬操作系統(tǒng)軟件的指紋，也可能攻破虛擬操作系統(tǒng)軟件從而獲得整個(gè)蜜網(wǎng)的控制權(quán)。蜜網(wǎng)有三大核心需求：數(shù)據(jù)控制，數(shù)據(jù)捕獲和數(shù)據(jù)分析。通過(guò)數(shù)據(jù)控制能夠確保黑客不能利用蜜網(wǎng)危害第三方網(wǎng)絡(luò)的安全，以減輕蜜網(wǎng)架設(shè)的風(fēng)險(xiǎn)；數(shù)據(jù)捕獲技術(shù)能夠檢測(cè)并審計(jì)黑客攻擊的所有行為數(shù)據(jù)；而數(shù)據(jù)分析技術(shù)則安全研究人員從捕獲的數(shù)據(jù)中分析出黑客的攻擊行動(dòng)，使用工具及其意四、實(shí)驗(yàn)過(guò)程與測(cè)試數(shù)據(jù)搭建虛擬蜜網(wǎng)（1）以默認(rèn)方式安裝VMware Workstation（2）安裝蜜網(wǎng)網(wǎng)關(guān)虛擬機(jī) （3）配置蜜網(wǎng)網(wǎng)關(guān)虛擬機(jī)以roo/honey缺省用戶(hù)/口令登錄，使用 su 提升到root帳號(hào)，缺省口令也為honey。 進(jìn)行蜜網(wǎng)網(wǎng)關(guān)初始配置 （4）測(cè)試蜜網(wǎng)網(wǎng)關(guān)的遠(yuǎn)程管理測(cè)試Walleye遠(yuǎn)程訪問(wèn)情況 （5）安裝虛擬機(jī)蜜罐測(cè)試虛擬機(jī)蜜罐和宿主主機(jī)之間的網(wǎng)絡(luò)連接，在宿主主機(jī)上ping虛擬機(jī)蜜罐IP，在虛擬機(jī)蜜罐上ping宿主主機(jī)IP，在蜜網(wǎng)網(wǎng)關(guān)上監(jiān)聽(tīng)I(yíng)CMP ping 包是否通過(guò)外網(wǎng)口和內(nèi)網(wǎng)口： （5） 在虛擬機(jī)蜜罐上安裝Sebek客戶(hù)端漏洞掃描實(shí)驗(yàn)在攻擊機(jī)上運(yùn)行XScan漏洞掃描工具對(duì)虛擬機(jī)蜜罐網(wǎng)實(shí)施漏洞掃描。在蜜網(wǎng)網(wǎng)關(guān)上流光 對(duì)漏洞掃描過(guò)程中的每個(gè)網(wǎng)絡(luò)連接都進(jìn)行了完備的記錄，從蜜網(wǎng)網(wǎng)關(guān)數(shù)據(jù)摘要視圖可發(fā)現(xiàn)正在掃描的攻擊機(jī) 在蜜網(wǎng)網(wǎng)關(guān)上對(duì)XScan漏洞掃描過(guò)程中的每個(gè)網(wǎng)絡(luò)連接都進(jìn)行了完備的記錄，從圖49蜜網(wǎng)網(wǎng)關(guān)數(shù)據(jù)摘要視圖可發(fā)現(xiàn)正在掃描的攻擊機(jī)IP，圖顯示了其掃描的每個(gè)網(wǎng)絡(luò)連接詳細(xì)信息。（1） 在宿主機(jī)上安裝Metasploit滲透測(cè)試工具（2）Metasploit攻擊測(cè)試 （3）對(duì)蜜網(wǎng)網(wǎng)關(guān)記錄的攻擊數(shù)據(jù)進(jìn)行分析，驗(yàn)證蜜網(wǎng)的攻擊數(shù)據(jù)捕獲和分析功能 五、 實(shí)驗(yàn)分析實(shí)驗(yàn)之初在網(wǎng)關(guān)上開(kāi)啟監(jiān)聽(tīng)I(yíng)CMP ping 包后不知如何停止，起初只能關(guān)閉網(wǎng)關(guān)系統(tǒng)，十分麻煩。后來(lái)在經(jīng)搜索資料和同學(xué)討論得知用快捷鍵Ctrl+c 可以終止包的監(jiān)聽(tīng)。本次實(shí)驗(yàn)起初用了win7系統(tǒng)進(jìn)行操作，但是效果并不理想。因?yàn)閣in7系統(tǒng)不允許ping連接。更換xp系統(tǒng)后， 虛擬機(jī)到宿主機(jī)的連通測(cè)試中，應(yīng)該關(guān)閉宿主機(jī)的防火墻，防火墻不允許ping 連接。 ，用了其他版本，因此在虛擬機(jī)硬件設(shè)置上有幾點(diǎn)和實(shí)驗(yàn)指導(dǎo)書(shū)上略有差別，通過(guò)查閱資料，得到了正確配置方式。六、實(shí)驗(yàn)體會(huì)通過(guò)此次試驗(yàn)我對(duì)虛擬蜜網(wǎng)系統(tǒng)搭建有了一個(gè)較為形象的了解，對(duì)以后構(gòu)建蜜網(wǎng)以及虛擬蜜網(wǎng)打下了良好的基礎(chǔ)。在實(shí)驗(yàn)環(huán)境下實(shí)施了滲透測(cè)試，對(duì)“偵查掃描獲取訪問(wèn)維持訪問(wèn)的掩蓋蹤跡”的網(wǎng)絡(luò)攻擊步驟有了更深刻的理解。蜜網(wǎng)的搭建十分有必要，可以很大程度上保護(hù)系統(tǒng)安全。我們可以在今天所學(xué)知識(shí)的基礎(chǔ)上進(jìn)一步探索，構(gòu)建帶有某些具體特征的虛擬蜜網(wǎng)，放在網(wǎng)絡(luò)上檢測(cè)網(wǎng)絡(luò)安全性，并尋找對(duì)策。通過(guò)這次實(shí)驗(yàn)，我不僅對(duì)蜜網(wǎng)技術(shù)有了充分的了解，而且還對(duì)一些網(wǎng)絡(luò)攻擊的一些工具有了熟識(shí)。網(wǎng)絡(luò)安全技術(shù)涵蓋的知識(shí)非常廣，同時(shí)其又可以被看作一把雙刃劍，我們?cè)谔岣咦约杭夹g(shù)水平的同時(shí)也要堅(jiān)定信念不誤入歧途。綜合成績(jī)項(xiàng)目比例成績(jī)網(wǎng)絡(luò)分析器應(yīng)用實(shí)驗(yàn)25%剖析遠(yuǎn)程控制程序20%SSL,VPN應(yīng)用及防火墻技術(shù)10%入侵監(jiān)測(cè)系統(tǒng)分析與應(yīng)用20%虛擬蜜罐分析與實(shí)踐25%指導(dǎo)教師簽字：