【正文】 ，包括在共享網(wǎng)絡上各主機發(fā)送/接收的以及相互之間交換的數(shù)據(jù)報； 2) 在數(shù)據(jù)報發(fā)往應用程序之前，按照自定義的規(guī)則將某些特殊的數(shù)據(jù)報過濾掉； 3) 在網(wǎng)絡上發(fā)送原始的數(shù)據(jù)報； 4) 收集網(wǎng)絡通信過程中的統(tǒng)計信息。2. 安裝MSSQL安裝MSSQL企業(yè)版，安裝過程中將數(shù)據(jù)庫訪問的用戶sa的密碼配置好，比如：sa。安裝完成后，在企業(yè)管理器里，建立一個名為Snort的數(shù)據(jù)庫。3. Win2K環(huán)境下安裝Snort Snort的配置在使用Snort之前，需要根據(jù)網(wǎng)絡環(huán)境和安全策略對Snort進行配置。主要包括：l 設置網(wǎng)絡變量l 配置記錄方式l 配置所使用的規(guī)則集在此并不需要自己編寫配置文件，只需要對Snort．conf文件進行修改即可。這個文件包含了大量的默認設置，而且有很好的注釋，用戶可以方便地對Snort進行配置。首先，對主要的配置項目介紹如下：l HOME_NET變量：該變量指入侵檢測保護的網(wǎng)絡是哪個網(wǎng)段。要對該變量進行設置，找到var HOME_NET any，并把any換成需要檢測的網(wǎng)段地址就可以了,比如：。l 配置記錄方式：找到output database，針對不同的數(shù)據(jù)庫，有相應的選項，比如：output database: log, mssql, dbname=snort user=sa password=sa，填好將檢測日志記錄到什么數(shù)據(jù)庫，并給出訪問該數(shù)據(jù)庫的用戶名和密碼。l 在Snort安裝路徑下有一個rules文件夾，里面定義了一些檢測規(guī)則，如果檢測到符合規(guī)則的數(shù)據(jù)，會自動根據(jù)規(guī)則定義的動作做出相應的響應。用戶可以在該文件夾下定義更適合自己網(wǎng)絡環(huán)境的規(guī)則文件，然后在配置文件里將其包括進去，比如：include $RULE_PATH/。 Snort數(shù)據(jù)庫的配置數(shù)據(jù)庫作為數(shù)據(jù)存儲的部件，也要進行相應設置，主要有以下的兩個部分：l 建立表單。Snort目錄下，自帶了MSSQL、oracle等數(shù)據(jù)庫創(chuàng)建表單的文件，用戶在查詢分析器里打開相應的表單創(chuàng)建文件，并運行就完成了Snort表單的創(chuàng)建。l 數(shù)據(jù)源驅動。在計算機數(shù)據(jù)源 (ODBC)里的“用戶DSN”里添加數(shù)據(jù)源，在創(chuàng)建過程中選擇Snort數(shù)據(jù)庫，并填好能訪問該數(shù)據(jù)庫的用戶名以及密碼，比如用戶名為sa ,密碼sa 。 Snort網(wǎng)絡入侵檢測的使用snort有三種工作模式：嗅探器、數(shù)據(jù)包記錄器、網(wǎng)絡入侵檢測系統(tǒng)。嗅探器模式僅僅是從網(wǎng)絡上讀取數(shù)據(jù)包并作為連續(xù)不斷的數(shù)據(jù)流顯示在終端上。數(shù)據(jù)包記錄器模式把數(shù)據(jù)包記錄到硬盤上。網(wǎng)絡入侵檢測模式是最復雜的，但是可以根據(jù)用戶的需求進行配置。可以讓snort分析網(wǎng)絡數(shù)據(jù)流以匹配用戶定義的一些規(guī)則，并根據(jù)檢測結果采取一定的動作。Snort是在命令行模式下運行的，在Windows環(huán)境下，要借助于“命令提示符”。下面對網(wǎng)絡入侵檢測系統(tǒng)進行介紹：snort最重要的用途還是作為網(wǎng)絡入侵檢測系統(tǒng)(NIDS)，使用下面命令行可以啟動這種模式：Snort dev l /../log h 其中“/../”表示Snort文件的安裝路徑。snort會對每個包和規(guī)則集進行匹配，發(fā)現(xiàn)這樣的包就采取相應的行動。如果不指定輸出目錄，snort就輸出到/var/log/snort目錄。注意：如果想長期使用snort作為自己的入侵檢測系統(tǒng)，最好不要使用v選項。因為使用這個選項，使snort向屏幕上輸出一些信息，會大大降低snort的處理速度，從而在向顯示器輸出的過程中丟棄一些包。此外，在絕大多數(shù)情況下，也沒有必要記錄數(shù)據(jù)鏈路層的包頭，所以e選項也可以不用：snort d h 這是使用snort作為網(wǎng)絡入侵檢測系統(tǒng)最基本的形式，日志符合規(guī)則的包，以ASCII形式保存在有層次的目錄結構中。在運行Snort工具時，界面如圖47所示。圖47 Snort運行界面 系統(tǒng)平臺的其他重要配置該系統(tǒng)配置在win2k系統(tǒng)下，為了系統(tǒng)能正常的工作，還需要以下配置：1. 下載數(shù)據(jù)庫動態(tài)驅動解壓到本地某一文件夾中，該驅動包括：、。2. 結果最后顯示java開發(fā)的可視化界面上，對于代理的安全設置默認是不允許的，這就需要在其策略文件(F:\Documents and Settings\Administrator\.代理s\security\)里添加安全規(guī)則：permission exitVM。3. 本系統(tǒng)要對F:\Snort\rules\，所以必須要在代理的策略文件中要添加以下語句：4. permission java. io. FilePermission F : \\ Snort \\ rules \\ myrules. rules , read 。5. permission java . io . FilePermission F : \\ Snort \\ rules \\ myrules . rules , write 。 系統(tǒng)實現(xiàn)技術 入侵檢測數(shù)據(jù)收集啟動snort工具cd到F:\snort\bin下輸入命令：snort d h :\snort\log c f:\snort\etc\ i 2其中i 2指通過本地網(wǎng)卡的接口來檢測，其中編號為2，對于不同的主機，編號可能有所不同。 具體實現(xiàn)中采用的關鍵技術1. 數(shù)據(jù)的攜帶。該系統(tǒng)使用了單項鏈表實現(xiàn)在訪問分布式計算機的時候，將分布式數(shù)據(jù)庫的數(shù)據(jù)帶回到代理主機。2. 分析結果的顯示。在分析完數(shù)據(jù)，將可疑地址通過java可視化界面顯示在屏幕上。3. 分析結果的記錄。通過java對規(guī)則文件的操作，通過自動添加規(guī)則對可疑入侵行為來加以限定。 代碼分析模塊該模塊主要包括兩個部分：移動遍歷代理和數(shù)據(jù)分析處理。移動遍歷代理主要完成數(shù)據(jù)的提取，數(shù)據(jù)分析處理主要完成數(shù)據(jù)的分析記錄，自動增加相應的規(guī)則禁止入侵地址再次訪問。該模型實現(xiàn)的代碼如下：package design。import .*。import .*。 import .*。 import 。import .*。import .*。import .*。import .*。import .*。import .*。import .*。public class design extends 代理{int _theRemote=0。URL target。String[] ip。node end,head,temp,search,pre。class node implements Serializable //數(shù)據(jù)移動前序列化{String IpSo。int Times。node next。}//實現(xiàn)數(shù)據(jù)從數(shù)據(jù)庫的讀取private void myJDBC(){//把驅動、數(shù)據(jù)源通過變量傳遞String Driver=。String source=jdbc:odbc:snort。try{//查找用于JDBC驅動的類，這種查找會使得JAVA虛擬機裝入該類，這個類的靜態(tài)//初始化語句塊會對驅動程序進行初始化，從而下面可直接使用該驅動程序進行//數(shù)據(jù)庫連接，無需要做其他額外的事情(Driver)。}catch(ClassNotFoundException exc){//當沒有驅動程序時，應用程序無法繼續(xù)運行，故退出程序(沒有發(fā)現(xiàn)驅動程序:+Driver)。()。(1)。}try{//建立與指定數(shù)據(jù)庫的連接Connection Connection=(source)。SQLWarning warn = ()。while(warn!=null){(())。warn=()。}//創(chuàng)建一個用于執(zhí)行預編譯SQL的語句對象：查詢記錄的cidString sql=select ip=(ip_src) from iphdr,event,signature where = and signature= and sig_name=39。SCAN Proxy (8080) attempt39。PreparedStatement pStm=(sql)。//發(fā)送和執(zhí)行預編譯的SQL語句，獲得查詢結果集ResultSet result=()。//i用于記錄讀出數(shù)據(jù)庫多少個記錄，j在輸出記錄時用于循環(huán)int i=0,j=0。//使用迭代模式訪問查詢結果集，計算有多少條數(shù)據(jù)while(()){i++。 }//關閉查詢結果集合()。//關閉SQL語句()。(i=+i)。i=i1。//建立i個單元的數(shù)組ip=new String[i+1]。//再讀數(shù)據(jù)庫//創(chuàng)建執(zhí)行簡單SQL語句的SQL語句對象Statement stm=()。 //查詢記錄的IP地址，發(fā)送和執(zhí)行簡單SQL語句，獲得查詢結果集sql=select ip=(ip_src) fro