网络入侵检测系统的实现

月中水

来源：比特网
( H/ T) `5 A/ c- `. H, s4 P; g    互联网也同时带给我们无数的宝贵资源，只等我们去开发、利用。开放源代码软件(Open Source Software)便是其中之一，免费可得的软件发布形式，使其具有广大的用户群;众多志愿者的协同开发模式使其具有卓越的兼容性;大量的网上社区弥补了缺少商业服务的不足。本文试图论述利
　　用互联网上免费可得的开放源代码软件实现一个完整的网络入侵检测系统的过程。
系统概述
% s4 a/ R* K" A8 S+ b- G　　本系统采用三层分布式体系结构：网络入侵探测器、入侵事件数据库和基于Web的分析控制台。为了避免不必要的网络流量，本例将网络入侵探测器和入侵事件数据库整合在一台主机中，用标准浏览器异地访问主机上的Web服务器作为分析控制台，两者之间的通信采用HTTPS安全加密协议传输。
: I. q. ]1 F, e　　由于实现本系统所需的软件较多，有必要在此进行简要的说明：
　　Snort
6 q' E: E2 N  u1 `9 O- i0 i　　功能简述：网络入侵探测器;
　　正式网址：http://www.snort.org/
　　软件版本：1.8.6
6 {, ]; h( p! R# t　　Libpcap
! J0 s- s& A/ Q. h- J+ h. L3 }1 Z　　功能简述：Snort所依赖的网络抓包库;
0 E+ o% B+ E( `# Z　　正式网址：http://www.tcpdump.org/
# W! o3 d1 c) |) X7 a" q7 j" ^　　软件版本：0.7.1
( `- Q1 j  s. u, ~　　MySQL
　　功能简述：入侵事件数据库;
　　正式网址：http://www.mysql.org/
) C: U2 J$ ?2 Y* B5 n: O* x) W　　软件版本：3.23.49
. r3 ?! A' k6 ^0 ?# `' U5 `　　Apache
　　功能简述：Web服务器;
. |6 N$ Q9 W" R　　正式网址：http://www.apache.org/
　　软件版本：1.3.24
　　Mod_ssl
　　功能简述：为Apache提供SSL加密功能的模块;
　　正式网址：http://www.modssl.org/
. n: K! a+ @. g3 \! ?　　软件版本：2.8.8
　　OpenSSL
　　功能简述：开放源代码的SSL加密库，为mod_ssl所依赖;
　　正式网址：http://www.openssl.org/
0 n$ a8 q7 a' a! a, C　　软件版本：0.9.6d
: i$ U2 Y9 x5 n+ P2 U4 G2 c　　MM
7 y3 ~0 v  U' L9 u8 }　　功能简述：为Apache的模块提供共享内存服务;
　　正式网址：http://www.engelschall.com/sw/mm/
　　软件版本：1.1.3
　　PHP
3 j+ R6 t5 J5 g! A　　功能简述：ACID的实现语言;
* }8 t1 W$ c8 x; W　　正式网址：http://www.php.net/
9 D& {' ]7 ~) K6 E0 B' f$ y: H! ?　　软件版本：4.0.6
　　GD
　　功能简述：被PHP用来即时生成PNG和JPG图像的库;
% ^. v+ f2 G( T5 Y. v4 G　　正式网址：http://www.boutell.com/gd/
) p8 A. B$ G7 d  B$ M. v　　软件版本：1.8.4
2 E" y) r. }7 k  o5 |' L; Z　　ACID
　　功能简述：基于Web的入侵事件数据库分析控制台;
　　正式网址：http://www.cert.org/kb/aircert/
5 `( z$ h1 T7 r: f7 o' \　　软件版本：0.9.6b21
$ C' V* z* P# y+ R  ^; `$ I　　ADODB
+ w9 J/ c+ \" W7 i) D0 P　　功能简述：为ACID提供便捷的数据库接口;
6 I- B7 D( S) k( v% m6 M　　正式网址：http://php.weblogs.com/ADODB
　　软件版本：2.00
　　PHPlot
3 k4 G2 p+ R; x3 a( j5 x2 f- z　　功能简述：ACID所依赖的制图库;
# l* \% i! O) b; ^9 y　　正式网址：http://www.phplot.com/
8 C2 j. N7 \! s0 M/ n/ W　　软件版本：4.4.6
. I% x, d0 f. f　　上述软件都是开源软件，可以直接登录相应软件的正式网站，下载源代码。此外，需要特别说明的一点是虽然本例中网络入侵检测系统所采用的系统平台是Solaris 8 for Intel Platform，但是在其它种类的系统平台上，如Linux 、OpenBSD以及Windows 2000等，其具体的实现步骤大同小异，因此就不在另行说明了。
* I$ N. P0 p" u8 _- [　　三、 安装及配置
$ a+ n; \" q9 F- b; |　　在正式进行软件安装之前，请检查系统，确保拥有符合ANSI标准的C/C++编译器等软件开发工具。
　　1、 安装MySQL
5 M0 i8 p& [, g8 z- V5 j　　首先，以超级用户的身份登录系统，创建mysql 用户和mysql用户组;
　　然后，以mysql身份登录，执行下列命令：
　　$gzip -d -c mysql-3.23.49.tar.gz | tar xvf -
　　$cd mysql-3.23.49
. I2 }' g2 g7 _! B　　$./configure
" i& G" C9 D3 }. u3 j( {8 X8 j　　$make
5 P8 E3 k" |% u　　$make install
0 H' w3 Z! |& q　　这样，就按照缺省配置将MySQL安装在/usr/local目录下。然后将源代码树中的缺省配置文件my.cnf拷贝到/etc目录下。接下来，以超级用户身份执行源码树中scripts目录下的可执行脚本文件mysql_install_db来创建初始数据库。用/etc/init.d/mysql.server命令启动数据库服务器后，使用/usr/local/bin/mysqladmin程序来改变数据库管理员的口令。
6 t6 P& k3 C( ~# N- J　　2、 安装Snort
( C9 z% N4 R/ E# X" A+ Y- J( g  f( s; Z　　首先安装Snort所依赖的库libpcap：
4 ~4 E8 L6 {9 i; ?5 m0 V$ x　　#gzip -d -c libpcap-0.7.1.tar.gz | tar xvf -
; s0 V7 W5 ~& w5 O' i　　#cd libpcap-0.7.1
　　#./configure
' ~: @9 W/ E7 B1 Z. G/ r$ u　　#make
　　#make install
　　这样libpcap缺省地安装在/usr/local目录下。
　　然后开始安装Snort：
　　#gzip -d -c snort-1.8.6.tar.gz | tar xvf -
　　#cd snort-1.8.6
　　#./configure --prefix=/usr/local　　　　　 --with-mysql=/usr/local 　--with-libpcap-includes=/usr/local　　　　　 --with-libpcap-libraries-/usr/local
4 Y: s9 ^# e8 H' B' Z  U　　#make
　　#make install
) d( _% a& P' R; j; Y　　安装完毕后，将源码树中的snort.conf文件、classification.config文件和规则文件(*.rules)拷贝到系统的/etc目录下。
　　按照下列步骤配置Snort将其捕获的网络信息输出到MySQL数据库：
, V3 H) U' x; i4 e+ [& o9 @　　1) 创建Snort入侵事件数据库和存档数据库：
, j8 ~/ g7 J$ F9 z, l　　#/usr/local/bin/mysqladmin -u root -p create snort
  p) `: w; K5 G9 `2 e* b3 v8 Z　　#/usr/local/bin/mysqladmin -u root -p create snort_archive
9 y) @: n: ?! e7 z　　2) 执行Snort源码树下contrib目录下的create_mysql SQL脚本文件创建相关表：
　　#/usr/local/bin/mysql -u root -D snort -p < create_mysql
　　#/usr/local/bin/mysql -u root -D snort_archive -p < create_mysql
; C& ?& d9 o/ S6 V9 u　　3) 编辑/etc/snort.conf文件在output plugin 段中加入如下一行：
　　output database: alert, mysql, user=root password=abc123
　　dbname=snort host=localhost
　　3、 安装Apache
% o2 G# f' g4 Y1 ]9 l- e　　1) 安装MM库
　　#gzip -d -c mm-1.1.3.tar.gz | tar xvf -
　　#cd mm-1.1.3
　　#./configure
　　#make
　　#make install
# ]3 P- Y: H- ?2 D4 }+ R　　MM库被按照缺省配置安装在/usr/local目录下。
& W% ~2 F  f0 _2 b　　2) 安装OpenSSL
8 q7 t  ~8 G( _# S! c7 d　　#gzip -d -c openssl-0.9.6d.tar.gz | tar xvf -
7 ]) y% ?2 s/ _7 j: G7 Z　　#cd openssl-0.9.6d
8 j! }/ Q) A9 D　　#./config
+ s6 y' g  @! f. ]# g　　#make
　　#make test
　　#make install
, H: B. m9 x8 L' V4 s: h　　OpenSSL按照缺省设置安装在/usr/local目录下。
　　3) 为Apache扩展mod_ssl代码
　　#gzip -d -c apache-1.3.24.tar.gz | tar xvf -
　　#gzip -d -c mod_ssl-2.8.8-1.3.24.tar.gz | tar xvf -
, w0 P5 F5 i! J" M+ Z& C: [　　#cd mod_ssl-2.8.8-1.3.24
　　#./configure --with-apache=apache-1.3.24
　　该命令运行成功之后，会有提示说明已经成功扩展了Apache的源代码。
　　4) 安装Apache
　　#cd ../apache-1.3.24
8 u) T% R5 w0 z# W& i. k　　#SSL_BASE=/usr/local　EAPI_MM=/usr/local　./configure -enable-module=so　　　　　 --enable-module=ssl　　　　　 --prefix=/usr/local
　　#make
0 }, V( t( B8 d; Y5 V, q　　#make certificate
. }" Q, H& i, R) t+ r　　#make install
) W/ R% ?/ W; u. a. G! ?( W　　其中，make certificate命令是为mod_ssl生成所需的安全证书，按照提示输入相应信息即可。这样，Apache就被安装在了/usr/local目录下。
9 J5 _3 Y5 F/ Y' W　　4、 安装PHP
　　首先安装为PHP提供既时生成PNG和JPG图象功能的GD库：
　　#gzip -d -c gd-1.8.4.tar.gz | tar xvf -
  [7 `- u6 r8 P( C& j　　#cd gd-1.8.4
: ~/ F% f! Z& ^2 M8 \# b+ j　　#make
' n& ^( p$ M0 n; d- D　　#make install
　　按照缺省配置，将其安装到/usr/local目录下。接下来开始正式安装PHP：
　　#gzip -d -c php-4.0.6.tar.gz | tar xvf -
0 u1 V0 `2 s4 L6 ^　　#cd php-4.0.6
' J: P: K, c$ M$ g# V5 e　　#./configure -with-mysql=/usr/local　　　　　 --with-apxs=/usr/local/bin/apxs　　　　　 --with-gd=/usr/local
8 A7 q" A! u. F6 K　　#make
/ X" M7 D4 J' n3 w　　#make install
　　此处采用的是PHP的Apache动态模块DSO安装模式，完成之后，将会在/usr/local/libexec目录下生成Apache DSO模块libphp4.so。