返回
基于snort和base的ids

基于snort和base的ids

ID:11946325

大小:982.50 KB

页数:17页

时间:2018-07-15

基于snort和base的ids_第1页
基于snort和base的ids_第2页
基于snort和base的ids_第3页
基于snort和base的ids_第4页
基于snort和base的ids_第5页
资源描述:

《基于snort和base的ids》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、版权申明:本文版权为Stanley所有,仅限于非盈利性网站、BSS、BLOG转载和收藏,未经允许,严禁用于商业用途。转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明。Snort是一套非常优秀的开放源代码网络监测系统,在网络安全界有着非常广泛的应用。其基本原理基于网络嗅探,即抓取并记录经过检测节点以太网接口的数据包并对其进行协议分析,筛选出符合危险特征的或是特殊的流量。网络管理员可以根据警示信息分析网络中的异常情况,及时发现入侵网络的行为。其名称Snort(喷鼻息)也是来源于“嗅探”(sniff)的反义词。Snort最开始是针对于Unix/Linu

2、x平台开发的开源IDS软件,后来才加入了对Windows平台的支持。但直至现在对于Snort的应用(尤其是Snort的前端传感部分)主要还是基于Unix/Linux平台的,因为现在的普遍观点都支持Unix内核的网络效率要大大高于Windows内核。不过由于Windows平台的易用性和普及性,在WindowsServer上建立开放而又便宜的SnortIDS对于网络研究及辅助分析还是非常有意义的。第一次在Windows系统下部署基于Snort的IDS是一个非常痛苦的过程,网络上充斥着过时的文档和以讹传讹的借鉴心得,一开始我就走了不少弯路。不过假如能够理清思路其实并

3、不困难。I.系统结构基于Snort和BASE的入侵检测系统通常采用“传感器—数据库—分析平台”的三层架构体系。传感器即网络数据包捕获转储程序。WinPcap作为系统底层网络接口驱动,Snort作为数据报捕获、筛选和转储程序,二者即可构成IDS的传感器部件。为了完整覆盖监控可以根据网络分布情况在多个网络关键节点上分别部署IDS传感器。Snort获得记录信息后可以存储到本地日志也可以发送到Syslog服务器或是直接存储到数据库中,数据库可以是本地也可以是远程的,Snort2.8.0支持MySQL、MSSQL、PostgreSQL、ODBC、Oracle等数据库接口

4、,扩展性非常好。Snort的日志记录仅仅包含网络数据包的原始信息,对这些大量的原始信息进行人工整理分析是一件非常耗时而且低效率的事情,我们还需要一个能够操作查询数据库的分析平台。无论是从易用性还是平台独立性考虑,WEB平台都是首选。ACID是Snort早期最流行的分析平台,使用PHP开发,不过之后的一段时间开发组不再更新和支持这套系统,现在已经由基于它再开发的BASE所取代。这三种角色既可以部署于同一个主机平台也可以部署在不同的物理平台上,架构组织非常灵活。如果仅仅需要一个测试研究环境,单服务器部署是一个不错的选择;而如果需要一个稳定高效的专业IDS平台,那么

5、多层分布的IDS无论是在安全还是在性能方面都能够满足。具体的部署方案还要取决于实际环境需求。II.安装环境预安装环境:主要硬件:HPDL140:Xeon2.4GHz;2GDDR;BroadcomNetXtremeGigabitEthernetX2;操作系统:WindowsServer2003StdSP2R2部署软件包:传感器组件:WinPcap4.0;网络数据包截取驱动程序[Link]http://winpcap.polito.itSnort2.8.0forWin32;SourcefireVRTCertifiedRulesReleased2007-08-27;

6、Windows版本的Snort安装包以及官方认证Snort规则库(须注册)[Link]http://www.snort.org数据库组件:MySQL5.0.45forWin32;MySQLGUITools5.0r12forWin32;MySQL数据库及管理工具[Link]http://www.mysql.comADODB4.95a;(ActiveDataObjectsDataBaseforPHP5)PHP5的数据库连接组件(支持MySQL/MSSQL/PostageSQL等)[Link]http://sourceforge.net/project/showfi

7、les.php?group_id=42718分析平台:Apache2.2.6forWin32-x86withOpenSSL0.9.8e;[Link]http://apache.mirror.phpchina.com/httpd/binaries/win32/PHP5.2.4forWin32Non-install;PEAR1.6.1;[Link]http://www.php.netWEB前端:BasicAnalysisandSecurityEngine1.3.6(各平台通用,基于PHP,目前最新版本为1.3.8,但是有一个比较麻烦的Bug,后面会解释)[Link

8、]http://sourceforge

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。