【正文】 圖426 詳細(xì)信息(1)圖427 詳細(xì)信息(2)控制臺中所以以藍(lán)色顯示的都可以點(diǎn)擊以查看詳細(xì)數(shù)據(jù)。為了使用這個報警機(jī)制，在運(yùn)行./configure腳本時，必須使用enablesmbalerts選項。在默認(rèn)情況下,Snort以ASCII格式記錄日志，使用full報警機(jī)制。⑨重啟apache、mysql服務(wù)⑩在瀏覽器中初始化acid數(shù)據(jù)庫： ://localhost/acid/以上配置正確會有下面的顯示：圖412 正確配置acid安裝成功，測試一下：啟動Apache和mysql服務(wù)運(yùn)行ACID：打開瀏覽器，地址為。 $archive_port=3306。 $alert_user=root。 $DBtype=mysql。 Grant all on *.* to “root””localhost” 加入 php 對 mysql 的支持： 修改 c:\windows\ 文件去掉 extension= 前的分號。 Use snort。4 網(wǎng)絡(luò)入侵檢測系統(tǒng)（Snort）實(shí)驗1）實(shí)驗軟件：（1）Microsoft virtual pc虛擬機(jī)（2）windows server 2003鏡像文件（3）網(wǎng)絡(luò)數(shù)據(jù)包截取驅(qū)動程序（4）Windows 版本的Snort 安裝包（5）Windows 版本的Apache Web 服務(wù)器（6）Windows版本的PHP腳本環(huán)境支持（7）Windows 版本的Mysql 數(shù)據(jù)庫服務(wù)器（8）ACID（Analysis Console for Intrusion Databases）基于PHP的入侵檢測數(shù)據(jù)庫分析控制臺（9）Adodb（Active Data Objects Data Base）PHP庫（10）PHP圖形庫（11）snort 規(guī)則包2）安裝步驟：（1）虛擬機(jī)和操作系統(tǒng)的安裝：運(yùn)行虛擬機(jī)安裝程序，默認(rèn)安裝即可，打開控制臺，新建一個虛擬機(jī)，按照提示具體填寫，選擇鏡像文件，啟動，安裝好鏡像系統(tǒng)后，效果如下：圖41 虛擬機(jī)（2）組件的安裝：在c:下建立duoduo的文件夾，再在其下建立duo的文件夾放入所有的安裝程序，在后續(xù)的安裝時，把可以選擇安裝路徑的組件安裝在duoduo的文件夾下①安裝WinPcap，默認(rèn)安裝。3）關(guān)于正協(xié)議的選項關(guān)鍵字:fragoffset、ttl、tos、id、ipopts、fragbits、dsize、sameip、ip_proto。規(guī)則選項之間是邏輯與的關(guān)系。對規(guī)則選項的分析是Snort檢測引擎的核心，規(guī)則選項是在規(guī)則頭的基礎(chǔ)上作進(jìn)一步分析，它包含報警信息、入侵特征以及該特征在數(shù)據(jù)包位置的相關(guān)信息。方向操作符左側(cè)的地址和端口號被認(rèn)為來自源主機(jī)，方向操作符右邊的ip地址和端口信息是目標(biāo)主機(jī)。4）端口信息端口號可以用幾種方法表示，包括“any”端口、靜態(tài)端口定義范圍、以及通過否定操作符“!”。Cidr塊指示作用在規(guī)則地址和需要檢查的進(jìn)入的任何包的網(wǎng)絡(luò)掩碼。3）地址字段端口號可以用幾種方法表示，包括“any”、靜態(tài)定義范圍、以及通過否定操作符“!”。此外，如果想對某些規(guī)則使用特定的輸出插件，而不是默認(rèn)的輸出方式，這時可以自己定義所需的規(guī)則類型。Log:使用設(shè)定的記錄方法記錄這個報文。如圖34所示:規(guī)則頭規(guī)則頭包含報文關(guān)鍵的地址信息、協(xié)議信息以及當(dāng)報文符合此規(guī)則時各元素應(yīng)該采取的行為。圖33 Snort規(guī)則匹配總體流程 Snort的規(guī)則結(jié)構(gòu)Snort的規(guī)則保存在規(guī)則文件中。首先匹配第一個規(guī)則選項，如果匹配，則按照這條規(guī)則所定義的規(guī)則行為做出相應(yīng)的處理結(jié)果。如果提取的類型是預(yù)處理插件關(guān)鍵字PreProcess、輸出插件關(guān)鍵字output、配置命令config、變量定義var等則調(diào)用相應(yīng)的函數(shù)進(jìn)行處理，處理后跳出本條規(guī)則解析，進(jìn)行下一條規(guī)則解析。ParseRule()解析每一條規(guī)則，并將其加入到規(guī)則鏈表中。下面將依次介紹入侵檢測的流程：規(guī)則解析流程Snort首先讀取規(guī)則文件，緊接著依次讀取每一條規(guī)則。日志子系統(tǒng)允許將嗅探器收集到的信息以可讀的格式或以tcpdump格式記錄下來。4）報警日志檢測引擎檢查后的Snort數(shù)據(jù)需要以某種方式輸出。檢測引擎是Snort的核心，準(zhǔn)確和快速是衡量其性能的重要指標(biāo)。為了能夠快速而準(zhǔn)確地進(jìn)行檢測，Snort用鏈表的形式對規(guī)則進(jìn)行組織。對于解析機(jī)制來說，能夠處理數(shù)據(jù)包的類型的多樣性也同樣非常重要，目前,Snort可以處理以太網(wǎng)，令牌環(huán)以及SLIP等多種類型的包。當(dāng)前支持的插件有:數(shù)據(jù)庫日志輸出插件、破碎包檢測插件、端口掃描檢測插件、HttpURL插件、XML網(wǎng)頁生成插件等。8）擴(kuò)展性好，對于新的攻擊威脅反應(yīng)迅速。無狀態(tài)攻擊是指攻擊者每次只發(fā)送一個字節(jié)的數(shù)據(jù)包，逃過監(jiān)視，然后被攻擊主機(jī)的TCP棧會重新組合這些數(shù)據(jù)包，將攻擊數(shù)據(jù)發(fā)送給目標(biāo)端口上監(jiān)聽的進(jìn)程，從而擺脫IDS的檢測。支持Tcpdump的二進(jìn)制格式，也支持ASCll字符形式，也支持XML格式的，使用數(shù)據(jù)庫輸出插件，還支持?jǐn)?shù)據(jù)庫日志格式?，F(xiàn)在它能夠分析的協(xié)議有TCP、UDP、和ICMP。2）Snort具有實(shí)時流量分析和日志IP網(wǎng)絡(luò)數(shù)據(jù)包的能力。它利用Libpcap從網(wǎng)絡(luò)中采集數(shù)據(jù)并進(jìn)行分析，從而判斷是否存在可疑的網(wǎng)絡(luò)活動。4）全面的安全防御方案。入侵方法越來越多樣化與綜合化，盡管已經(jīng)有智能代理、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測領(lǐng)域應(yīng)用研究，但這只是一些嘗試性的研究工作，需要對智能化的IDS加以進(jìn)一步的研究以解決其自學(xué)習(xí)與自適應(yīng)能力。 入侵檢測技術(shù)發(fā)展趨勢入侵檢測技術(shù)在不斷地發(fā)展更新，近年來入侵檢測技術(shù)沿著以下幾個方向發(fā)展:1）分布式入侵檢測。具有IP碎片重組能力，同時具有基于特征和異常兩種檢測模式，能夠提供多種入侵保護(hù)方式，并能與多種防火墻進(jìn)行聯(lián)動。感應(yīng)器包括網(wǎng)絡(luò)感應(yīng)器、服務(wù)感應(yīng)器和系統(tǒng)感應(yīng)器三類。Cisco Secure IDS是目前市場上基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)中經(jīng)受實(shí)踐考驗最多的產(chǎn)品之一。1）Cisco公司的Cisco Secure IDSCisco Secure IDS以前被稱為NetRanger，該產(chǎn)品由控制器(Director)、感應(yīng)器(Sensor)和入侵檢測模塊IDSM(Intrusion Detection System Module)三大組成部分組成。它可以將已有的入侵方法檢查出來，但對新的入侵方法無能為力。 入侵檢測技術(shù) 異常檢測異常檢測的假設(shè)是入侵者活動異常于正常主體的活動。因此，NIDS難以檢測發(fā)生在應(yīng)用層的攻擊。因此，NIDS如目標(biāo)系統(tǒng)的體系結(jié)構(gòu)無關(guān)，可用于監(jiān)視結(jié)構(gòu)不同的各類系統(tǒng)。為了能夠捕獲入侵攻擊行為，基于網(wǎng)絡(luò)IDS必須位于能夠看到所以數(shù)據(jù)包的位置，這包括:環(huán)網(wǎng)內(nèi)部、安全網(wǎng)絡(luò)中緊隨防火墻之后以及其它子網(wǎng)的路由器或網(wǎng)關(guān)之后。3）HIDS位于所監(jiān)視的每一個主機(jī)中，故占用的資源不能太多，從而大大制了所采用的檢測方法及處理性能。對某些特定的攻擊十分有效。其主要優(yōu)點(diǎn):信息源(0S日志記錄)完備。 入侵檢測系統(tǒng)分類基于主機(jī)IDS部署在單主機(jī)上，利用操作系統(tǒng)產(chǎn)生的日志記錄作為主要信息源，通過對其進(jìn)行審計，檢測入侵行為。美國空軍、國家安全局和能源部共同資助空軍密碼支持中心、勞倫斯利弗摩爾國家實(shí)驗室、加州大學(xué)戴維斯分校、Haystack實(shí)驗室，開展對分布式入侵檢測系統(tǒng)（DIDS）的研究，將基于主機(jī)和基于網(wǎng)絡(luò)的檢測方法集成到一起。這一年，(Network Security Monitor)。 l 模