【正文】 個規(guī)則數(shù)據(jù)庫。利用此規(guī)則庫和捕獲的數(shù)據(jù)包進行比較，來判斷是否為入侵。Snort集成了多種告警機制來提供實時告警功能，包括：syslog、用戶指定文件、UNIXSocket、通過SMBClient使用WinPopup對Windows客戶端告警。Snort的插件機制使得它具有很好的擴展性和可移植性，用戶可以根據(jù)自己的需要及時在短時間內(nèi)調(diào)整檢測策略，對于新的攻擊威脅做出迅速反應。Snort有三種工作模式：嗅探器、數(shù)據(jù)包記錄器、網(wǎng)絡入侵檢測系統(tǒng)。入侵檢測通過執(zhí)行下任務來實現(xiàn)： 、分析用戶及系統(tǒng)活動； ； ； ； ； 四、實驗過程與測試數(shù)據(jù)Snort入侵檢測實例（1）安裝Apache服務器,進入軟件安裝歡迎界面。 安裝界面在Network填寫localhost，Sever Name選擇localhost，填寫相關用戶信息。 Apache安裝設置界面確認安裝無誤后，點擊next進行安裝， 安裝過程在執(zhí)行命令之前。檢查無誤后，點擊next，使用 k 。 8080端口檢測界面 通過上述操作，顯示在Dos條件下均啟動成功。將其中的listen 8080更改為50080。 （2）:\，%systemroot%\system32目錄下。 配置文件%system%\。 %systemroot%\.。 拷貝文件。 添加命令完成后，在Addtype application下填寫以下命令。 填寫命令，單擊“開始”按鈕找到“運行”，以cmd命令進入命令行，輸入以下命令。 完成后，測試PHP腳本。 修改內(nèi)容使用:50080/。 （3）安裝與配置Snort，采用默認安裝即可。 安裝Wincap軟件本次實驗選擇Snort_2_9_0_1版本，將snortrulessnapshotCURRENT目錄下所有的文件復制到Snort目錄下。 配置信息(4)安裝和配備MySQL，并采用默認安裝路徑，選擇Typical類型。 (a) 安裝過程 (b) 安裝過程 (c) 安裝過程 (d) 安裝過程 (e) 安裝過程 完成安裝在完成mysql安裝后，在命令行中輸入net start mysql啟動Mysql服務，使用Ctrl+R快捷鍵，輸入以下命令。 轉入root權限完成輸入后，運行下列命令，創(chuàng)建兩張表。 創(chuàng)建兩張表完成上兩行命令后，Snort建立了所需的數(shù)據(jù)庫以及snort_archive數(shù)據(jù)庫。之后，運行下列命令在Snort數(shù)據(jù)庫以及Snort_archive數(shù)據(jù)庫建立運行所必需的表。 執(zhí)行命令然后再次進入到數(shù)據(jù)庫中。從圖中可以看到，系統(tǒng)顯示0 rows affected，原因很簡單因為該表中還沒有添加數(shù)據(jù)是空表。 完成上一步操作后，為Snort與Snort_archive數(shù)據(jù)庫分配權限。 分配權限在命令提示窗口運行下列命令，建立Snort輸出安全事件所需的表。 建立安全所需表（5）安裝ACID安裝Adjob及Jpgraph庫。 修改內(nèi)容安裝ACID的壓縮包。 修改內(nèi)容完成后，通過瀏覽器登錄:/:50080/,單擊后會獲取其下載文件，從而建立與ACID數(shù)據(jù)庫的連接。在對應的實驗教材中寫得是:/，少寫了1個端口號，因此在初次操作中會失敗，要想運行其連接必須填寫端口號。 建立連接（6）啟動Snort打開C:\snort\etc\，將文件中的內(nèi)容進行修改。 修改絕對路徑上一步驟完成之后，在文件的最后一行，加入下面的語句。 修改語句在完成以上的操作后，測試Snort是否正常。從界面上可以看到運動圖像，由此可推斷出工作完全正常。 Snort啟動界面完成上一步操作后，可以執(zhí)行命令查看本地網(wǎng)絡適配器編號，并啟動snort。 正式啟動程序上一步完成后，可以繼續(xù)輸入命令，查看具體詳細的信息。 查看詳細信息完成上步操作后，可以使用配置命令。從圖中可以判斷出該命令執(zhí)行成功。 使用配置命令查看本地網(wǎng)絡適配器編號，正式啟動Snort。較復雜的是配置。打開:50080/acid/acid_main_php網(wǎng)頁，進入ACID分析控制臺主界面，可以查看入侵檢測的結果。 入侵檢測結果五、實驗分析入侵檢測分兩個步驟:信息收集和數(shù)據(jù)分析。入侵檢測的第一步是信息收集，內(nèi)容包括系統(tǒng)，網(wǎng)絡，數(shù)據(jù)及用戶活動的狀態(tài)和行為。入侵檢測要利用的信息一般來自以下4個方面：系統(tǒng)日志，目錄及文件中的異常改變，程序中的異常行為和物理形式的入侵信息。這個實驗較復雜，過程中涉及到Apache、PHP、snort、Mysql數(shù)據(jù)庫多個組件的應用，需要小心操作。Snort不是一個自動化的過程，需要一個非常熟練聰明的分析員對可疑行為分析并做出響應。IDS產(chǎn)生數(shù)據(jù)量過大，Snort也不能避免陷入誤報的窘境。它的靈活性也帶來了復雜性，它的幾個組件必須協(xié)調(diào)工作才能保證IDS 穩(wěn)定運行。根據(jù)實驗步驟，糾正了一些錯誤后，最終完成了配置并啟動snort進行檢測。六、實驗體會通過本次實驗我掌握了apache和PHP的使用方法，了解snort的常用功能，并且掌握 mysql的安裝和配置，對于這些軟件的學習讓我在日后的學習中掌握了新技能。另外在實驗當中，我認識到，書中寫的東西不一定是對的，很多都是過時的東西，因此在以后的學習與工作中，要注意提前預習，不要光看課本，要多動腦子，在snort與msysql配置操作中，很多路徑都是與書中所寫不一致，這需要我更仔細一些。實驗五、虛擬蜜罐分析與實踐一、實驗目的學會安裝相關的虛擬蜜網(wǎng)軟件的方法了解虛擬蜜網(wǎng)的搭建過程。掌握利用虛擬蜜網(wǎng)技術進行系統(tǒng)漏洞掃描的方法。掌握利用虛擬蜜網(wǎng)技術進行的系統(tǒng)漏洞掃描方法。二、實驗儀器與器材 操作系統(tǒng)為Windows xp的pc機一臺三、實驗原理虛擬蜜網(wǎng)是通過應用虛擬操作系統(tǒng)軟件使得我們可以在單一的主機上實現(xiàn)整個蜜網(wǎng)的體系架構。虛擬蜜網(wǎng)的引入使得架設蜜網(wǎng)的代價大幅降低，也容易部署和管理，但同時也帶來更大的風險，黑客有可能識別出虛擬操作系統(tǒng)軟件的指紋，也可能攻破虛擬操作系統(tǒng)軟件從而獲得整個蜜網(wǎng)的控制權。蜜網(wǎng)有三大核心需求：數(shù)據(jù)控制，數(shù)據(jù)捕獲和數(shù)據(jù)分析。通過數(shù)據(jù)控制能夠確保黑客不能利用蜜網(wǎng)危害第三方網(wǎng)絡的安全，以減輕蜜網(wǎng)架設的風險；數(shù)據(jù)捕獲技術能夠檢測并審計黑客攻擊的所有行為數(shù)據(jù)；而數(shù)據(jù)分析技術則安全研究人員從捕獲的數(shù)據(jù)中分析出黑客的攻擊行動，使用工具及其意四、實驗過程與測試數(shù)據(jù)搭建虛擬蜜網(wǎng)（1）以默認方式安裝VMware Workstation（2）安裝蜜網(wǎng)網(wǎng)關虛擬機 （3）配置蜜網(wǎng)網(wǎng)關虛擬機以roo/honey缺省用戶/口令登錄，使用 su 提升到root帳號，缺省口令也為honey。 進行蜜網(wǎng)網(wǎng)關初始配置 （4）測試蜜網(wǎng)網(wǎng)關的遠程管理測試Walleye遠程訪問情況 （5）安裝虛擬機蜜罐測試虛擬機蜜罐和宿主主機之間的網(wǎng)絡連接，在宿主主機上ping虛擬機蜜罐IP，在虛擬機蜜罐上ping宿主主機IP，在蜜網(wǎng)網(wǎng)關上監(jiān)聽ICMP ping 包是否通過外網(wǎng)口和內(nèi)網(wǎng)口： （5） 在虛擬機蜜罐上安裝Sebek客戶端漏洞掃描實驗在攻擊機上運行XScan漏洞掃描工具對虛擬機蜜罐網(wǎng)實施漏洞掃描。在蜜網(wǎng)網(wǎng)關上流光 對漏洞掃描過程中的每個網(wǎng)絡連接都進行了完備的記錄，從蜜網(wǎng)網(wǎng)關數(shù)據(jù)摘要視圖可發(fā)現(xiàn)正在掃描的攻擊機 在蜜網(wǎng)網(wǎng)關上對XScan漏洞掃描過程中的每個網(wǎng)絡連接都進行了完備的記錄，從圖49蜜網(wǎng)網(wǎng)關數(shù)據(jù)摘要視圖可發(fā)現(xiàn)正在掃描的攻擊機IP，圖顯示了其掃描的每個網(wǎng)絡連接詳細信息。（1） 在宿主機上安裝Metasploit滲透測試工具（2）Metasploit攻擊測試 （3）對蜜網(wǎng)網(wǎng)關記錄的攻擊數(shù)據(jù)進行分析，驗證蜜網(wǎng)的攻擊數(shù)據(jù)捕獲和分析功能 五、 實驗分析實驗之初在網(wǎng)關上開啟監(jiān)聽ICMP ping 包后不知如何停止，起初只能關閉網(wǎng)關系統(tǒng)，十分麻煩。后來在經(jīng)搜索資料和同學討論得知用快捷鍵Ctrl+c 可以終止包的監(jiān)聽。本次實驗起初用了win7系統(tǒng)進行操作，但是效果并不理想。因為win7系統(tǒng)不允許ping連接。更換xp系統(tǒng)后， 虛擬機到宿主機的連通測試中，應該關閉宿主機的防火墻，防火墻不允許ping 連接。 ，用了其他版本，因此在虛擬機硬件設置上有幾點和實驗指導書上略有差別，通過查閱資料，得到了正確配置方式。六、實驗體會通過此次試驗我對虛擬蜜網(wǎng)系統(tǒng)搭建有了一個較為形象的了解，對以后構建蜜網(wǎng)以及虛擬蜜網(wǎng)打下了良好的基礎。在實驗環(huán)境下實施了滲透測試，對“偵查掃描獲取訪問維持訪問的掩蓋蹤跡”的網(wǎng)絡攻擊步驟有了更深刻的理解。蜜網(wǎng)的搭建十分有必要，可以很大程度上保護系統(tǒng)安全。我們可以在今天所學知識的基礎上進一步探索，構建帶有某些具體特征的虛擬蜜網(wǎng)，放在網(wǎng)絡上檢測網(wǎng)絡安全性，并尋找對策。通過這次實驗，我不僅對蜜網(wǎng)技術有了充分的了解，而且還對一些網(wǎng)絡攻擊的一些工具有了熟識。網(wǎng)絡安全技術涵蓋的知識非常廣，同時其又可以被看作一把雙刃劍，我們在提高自己技術水平的同時也要堅定信念不誤入歧途。綜合成績項目比例成績網(wǎng)絡分析器應用實驗25%剖析遠程控制程序20%SSL,VPN應用及防火墻技術10%入侵監(jiān)測系統(tǒng)分析與應用20%虛擬蜜罐分析與實踐25%指導教師簽字：