毕业设计论文构建基于Snort的入侵检测系统.doc

《毕业设计论文构建基于Snort的入侵检测系统.doc》由会员分享，可在线阅读，更多相关《毕业设计论文构建基于Snort的入侵检测系统.doc（21页珍藏版）》请在三一办公上搜索。

1、郑州轻院轻工职业学院专科毕业设计（论文） 题 目 构建基于Snort的入侵检测系统 学生姓名 专业班级 学 号 系 别 指导教师(职称) 完成时间 16构建基于Snort的入侵检测系统摘 要随着计算机网络的不断发展，信息全球化己成为人类发展的大趋势。但由于计算机网络具有连接形式多样性、终端分布不均匀性和网络开放性、互联性等特征，致使网络易遭受黑客、骇客、恶意软件和其它攻击，所以网上信息的安全和保密是一个相当重要的问题。对于军用的自动化指挥网络和银行等传输敏感数据的计算机网络系统而言，其网上信息的安全性和保密性尤为重要。因此，上述的网络必须有足够强的安全措施，否则该网络将是个无用的、甚至会危及国

2、家的网络安全。无论是在局域网还是在广域网中，都存在着自然或人为等诸多因素的脆弱性和潜在的威胁。因此，网络安全变得越来越重要。 Snort入侵检测系统是一个典型的开放源代码的网络入侵检测系统，目前多数商用入侵检测系统都是在其设计原理和实现特点的基础上研发的。对Snort入侵检测系统的研究具有较强的学术意义和较高的商业价值。本文就是围绕Snort检测技术进行的研究，进一步开发出Windows平台下基于Snort的入侵检测系统。 文章首先介绍了入侵检测系统的一些相关知识，其中包括：入侵检测技术的定义，常见入侵技术，入侵检测方法以及对Snort网络入侵检测系统进行了介绍、分析和安装。然后，针对原有Sn

3、ort界面不友好的特点，在Windows系统平台利用改进后的算法在其基础上设计并开发了具有图形界面的入侵检测系统，并针对VC列表控件开发了相应的入侵检测系统输出插件。弥补了原有Snort系统由于基于控制台界面，配置繁琐，操作复杂等的缺点，提高了其与Windows系统上其它程序交互的能力，在加速Snort在Windows平台的普及上具有重要的实用价值。最后，通过实验演示，证明改进后的入侵检测系统能够很好的满足在Windows平台的应用需要。 关键词 Snort/VPN/入侵检测Building Snort intrusion detection system based onABSTRACTWi

4、th the continuous development of computer networks, globalization of information has become the trend of human development. However, due to a computer network .Diversity of connection, terminal and network uneven distribution of openness, connectivity and other features, resulting in the network vul

5、nerable to hackers, hackers, malware and other attacks, so security and confidentiality of online information is a very important issue. Automation command for the military network and transmission of sensitive data banks, computer network system, its online information security and confidentiality

6、is particularly important. Therefore, the network must have a strong enough safety measures, otherwise the network would be a useless and even endanger the countrys network security. Both in the LAN or WAN, there is a natural or man-made factors such as vulnerability and potential threats. Therefore

7、, network security becomes increasingly important. Snort Intrusion Detection System is a typical open source network intrusion detection system, for most commercial intrusion detection systems are in its design principle and implementation of features based on research and development. Of the Snort

8、intrusion detection system with a strong academic significance and high commercial value. This is around the Snort detection technology research, further development of the Windows platform based intrusion detection system Snort. The article first introduces some intrusion detection systems knowledg

9、e, including: the definition of intrusion detection technology, common intrusion techniques, intrusion detection and network intrusion detection system for Snort are introduced, analysis and installation. Then, for the unfriendly interface of the original features of Snort, the Windows platform usin

10、g the improved algorithm based on its design and graphical interface, developed with intrusion detection system, and developed a list control for the VC corresponding output of intrusion detection system plug-in. Snort system due to make up for the original console-based interface to configure the t

11、edious, complicated operation and other shortcomings, improved Windows systems with the ability to interact with other programs, in accelerating the popularity of Snort on the Windows platform, has important practical value. Finally, experimental demonstration to prove the improved intrusion detecti

12、on system can well meet the application needs in the Windows platform .KEYWORDS Snort , VPN , Intrusion Detection朗读显示对应的拉丁字符的拼音目 录1入侵检测相关技术简介11.1入侵检测技术定义11.2入侵检测系统的作用11.3入侵检测系统的检测信息来源11.4常见入侵技术简介21.5入侵检测方法介绍31.6下面是几种入侵检测系统常用的检测方法32 Snort简介32.1Snort系统工作原理42.2 Snort系统的特点52.3 Snort系统的现状63 Snort 的安装73.1

13、安装Apache服务器73.2安装PHP73.3安装winpcap网络驱动83.4安装Snort入侵检测系统83.5安装Mysql 数据库83.6安装adodb 组件93.7安装jgraph 组件93.8安装acid(网页文件)组件93.9加入Snort 规则103.10最后测试相关10结束语14致 谢15参考文献161入侵检测相关技术简介 1.1入侵检测技术定义 入侵检测系统(Intrusion Detection System，简称IDS)是一种从计算机网络或计算机系统中的若干关键点收集入侵者攻击时所留下的痕迹，如异常网络数据包与试图登录的失败记录等信息，通过分析发现是否有来自于外部或内部

14、的违反安全策略的行为或被攻击的迹象。它以探测与控制作为技术本质，起着主动式、动态的防御作用，是网络安全中极其重要的组成部分。目前入侵检测涉及到的功能有监视分析用户和系统的行为、审计系统配置和漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、自动地收集与系统相关的补丁、进行审计跟踪识别违反安全策略的行为、使用诱骗服务器记录黑客行为等功能，使系统管理员可以较有效地监视、审计、评估自己的系统等。 从其检测的数据源角度来区分，入侵检测分为基于主机的入侵检测系统（HIDS)和基于网络的入侵检测系统（NIDS)。此次研究的入侵检测系统是以Snort为基础主要针对来自网络中的各种信息进行捕

15、获，对网络中的入侵信息进行识别和处理。它的针对性很强，特征库可以不断更新。同时加入预扫描的功能，可以对本地机器的端口进行检测，发现漏洞，通知用户及时处理，从而可以确保系统的安全。1.2入侵检测系统的作用入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。1

16、.3入侵检测系统的检测信息来源入侵检测系统的检测信息来源都是通过自身的检测部分Sensor 得到的。基于网络的入侵检测，主要是通过对网络数据包的截取分析，来查找具有攻击特性和不良企图的数据包的。在网络里基于网络的入侵检测系统的检测部分Sensor 一般被布置在一个交换机的镜象端口（或者一个普通的HUB任意端口），听取流经网络的所有数据包，查找匹配的包，来得到入侵的信息源。基于主机的入侵检测系统的Sensor 不可能直接从系统内部获取信息的，它是要通过一个事先做好的代理程序，安装在需要检测的主机里的，这些代理程序主要收集系统和网络日志文件，目录和文件中的不期望的改变，程序执行中的不期望行为，物理

17、形式的入侵信息。1.4常见入侵技术简介 入侵攻击到如今这种泛滥的趋势也是有一个过程的，早期一些专业人士通过对系统进行攻击是为了检测发现系统漏洞，它是作为一种安全测试工作，根据测试结果改变系统结构、设计方式、算法流程，从而提高系统的安全性和可靠性。直到现在这种手段仍被大量运用在检测系统的安全性和可靠性上，不过采用的攻击方法、原理以及工具也随之扩散开来。一个具备有计算机基础知识的人通过网络，书籍等一些途径可以很轻松的学会一些攻击方式，然后利用一些常用的攻击工具很轻易的就可以对其它系统实施攻击。 “知己知彼，百战不殆”，要做好网络安全就需要了解敌人，了解黑客，了解入侵攻击技术及其原理，以下就简单的介

18、绍一些目前最常见的入侵技术: (1) 扫描技术：扫描技术包括：端口扫描，漏洞扫描等，通过对网络中特定网络或者计算机进行扫描，然后分析扫描结果，能够发现许多有用的信息，从而发现系统存在的安全漏洞。 (2) 网络嗅探技术：通过解码网络中的数据包，捕获帐户、口令等信息。通过安装嗅探器截获流经本机网卡的指定数据来监视网络数据流，从而获取连接网络系统时的特定数据。 (3) 拒绝服务：攻击者想办法让目标机器停止提供服务或资源访问，这些资源包括磁盘空间、内存、进程甚至网络带宽，从而阻止正常用户的访问。 (4) ARP欺骗：ARP欺骗分为二种：一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。 第一

19、种ARP欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是伪造网关。它是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来就是上不了网了。 (5) 特洛伊木马：特洛伊木马是指那些表面上是有用的软件，实际目的却是危害计算机安全并导致严重破坏的计算机程序。它是具有欺骗性的文件(宣称是良性的，但事实上是恶意的)，是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。 (6) 恶意

20、软件：恶意广告软件(ADWare)、间谍软件(SpyWare)、恶意共享软件(Malicious ShareWare)等等都处在合法商业软件和电脑病毒之间的灰色地带。它们既不属于正规商业软件，也不属于真正的病毒；既有一定的实用价值，也会给用户带来种种干扰。 (7) 缓冲器溢出：指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上，理想的情况是程序检查数据长度并不允许输入超过缓冲区长度的字符，但是绝大多数程序都会假设数据长度总是与所分配的储存空间相匹配，这就为缓冲区溢出埋下隐患操作系统所使用的缓冲区又被称为堆栈.。在各个操作进程之间，指令会被临时储存在堆栈当中,堆栈

21、也会出现缓冲区溢出。 (8) 暴力破解：用软件猜出口令。通常的做法是通过监视通信信道上的口令包，破解口令的加密形式。 (9) 社会工程：攻击者利用人际关系的互动性所发出的攻击，通常攻击者如果没有办法通过物理入侵的办法直接取得所需要的资料时，就会通过电子邮件或者电话对所需要的资料进行骗取，再利用这些资料获取主机的权限以达到其本身的目的1.5入侵检测方法介绍 当前入侵检测技术的发展方向主要有两个：一是基于异常方式的入侵检测 (Anomaly Detection)，另一个是基于误用方式的入侵检测(Misuse Detection)。基于异常入侵检测技术是通过检测攻击者与合法用户具有的不同特征来识别入

22、侵行为。例如，如果用户A仅仅是在早上9点钟到下午5点钟之间在办公室使用计算机，则用户A在晚上的活动是异常的，就有可能是入侵。异常检测试图通过定量方式描述常规的或可接受的行为，以标记非常规的、潜在的入侵行为。异常入侵检测的主要前提是入侵性活动作为异常活动的子集，异常检测主要使用概率统计方法，还有顺序模式归纳产生法和神经网络等检测方法。随着对计算机系统弱点和攻击方法的不断收集和研究，入侵特征化描述的方法越来越有效，这使得误用检测的使用也越来越广泛。 基于误用入侵检测技术是根据己知的入侵模式来检测。入侵者常常利用系统和应用软件的弱点进行攻击，而这些弱点可以归类为某种模式，如果入侵者攻击方式恰好匹配上

23、检测系统中的模式库，则入侵者即被检测到。例如，Windows的IIS常见的CGI,SQL等漏洞，就可以根据它的攻击特征进行检测。误用检测使用的方法主要有专家系统、状态转换分析、基于模型的方法和模式匹配，人工智能技术、免疫检测和自主代理等方法正在实践或者科研当中。 1.6下面是几种入侵检测系统常用的检测方法 (1)基于统计分析 这种入侵检测方法是基于对历史数据、早期的证据或模型的基础上进行建模，系统实时检测用户对系统的使用情况与保存的概率统计模型进行比较，当发现有可疑的用户行为发生时，保持跟踪并检测与记录该用户的行为。 (2)基于神经网络的分析方法 这种方法对用户的行为具有自学习和自适应的能力，

24、能够根据实际检测到的信息有效地加以处理并做出入侵可能性的判断。但该方法尚不成熟，也没有较完善的入侵检测系统出现。 (3)基于专家系统的分析方法 这种方法根据安全专家对可疑行为的分析经验建立一套推理规则，在此基础上建立相应的专家系统，从而自动对所涉及的入侵行为进行分析与检测。该方法可随着经验的积累和利用自学习功能进行规则的扩充和修正。这种方法目前在大部分的入侵检测系统中得到应用2 Snort简介 Snort系统是一个以开放源代码的形式发行的网络入侵检测系统，由Martin Roesch编写，并由遍布在世界各地的众多程序员共同维护和升级。Snort运行在Libpcap库函数的基础之上，系统代码遵循

25、GNU/GPL协议。它是一个轻量级的网络入侵检测系统。这里所谓的轻量级是指在检测时尽可能低地影响网络的正常操作，一个优秀的轻量级的网络入侵检测系统应该具备跨系统平台操作，对系统影响最小等特征，并且管理员能够在短时间内通过修改配置进行实时的安全响应,更为重要的是能够成为整体安全结构的重要成员。Snort作为网络入侵检测系统中的典型范例，首先它可以运行在多种操作系统平台之上，例如UNIX系列和Windows (需要 1ibpcap for win32-Winpcap的支持)，与很多商业产品相比，它对操作系统的依赖性比较低。其次用户可以根据自己的需要及时在短时间内调整检测策略。就检测攻击的种类来说，

26、Snort检测规则包括对缓冲区溢出，端口扫描和CGI攻击等等。另外，Snort还可以作为数据包嗅探器和数据包记录器使用 。Snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的，而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。2.1 Snort系统工作原理 Snort作为一个基于网络的入侵检测系统(NIDS)，在基于共享网络上检测原始的网络传输数据，通过分析捕获的数据包，匹配入侵行为的特征或者从网

27、络活动的角度检测异常行为，进而采取入侵的告警或记录。从检测模式而言，Snort属于是误用检测，即对已知攻击的特征模式进行匹配。从本质上来说，Snort是基于规则检测的入侵检测工具，即针对每一种入侵行为，都提炼出它的特征值并按照规范写成检验规则，从而形成一个规则数据库。其次将捕获得数据包按照规则库逐一匹配，若匹配成功，则认为该入侵行为成立。入侵行为主要是指对系统资源的非授权使用,可以造成系统数据的丢失和破坏、系统拒绝服务等危害。对于入侵检测而言的网络攻击可以分为4类：检查单IP包（包括TCP、UDP）首部即可发觉的攻击,如winnuke、ping of death、land.c、部分OS det

28、ection、source routing等。检查单IP包,但同时要检查数据段信息才能发觉的攻击,如利用CGI漏洞,缓存溢出攻击等。通过检测发生频率才能发觉的攻击,如端口扫描、SYN Flood、smurf攻击等。利用分片进行的攻击,如teadrop,nestea,jolt等。此类攻击利用了分片组装算法的种种漏洞。若要检查此类攻击,必须提前（在IP层接受或转发时,而不是在向上层发送时）作组装尝试。分片不仅可用来攻击,还可用来逃避未对分片进行组装尝试的入侵检测系统的检测。入侵检测通过对计算机网络或计算机系统中的若干关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹

29、象。进行入侵检测的软件与硬件的组合就是入侵检测系统。入侵检测系统执行的主要任务包括：监视、分析用户及系统活动；审计系统构造和弱点；识别、反映已知进攻的活动模式,向相关人士报警；统计分析异常行为模式；评估重要系统和数据文件的完整性；审计、跟踪管理操作系统,识别用户违反安全策略的行为。入侵检测一般分为3个步骤,依次为信息收集、数据分析、响应（被动响应和主动响应）。信息收集的内容包括系统、网络、数据及用户活动的状态和行为。入侵检测利用的信息一般来自系统日志、目录以及文件中的异常改变、程序执行中的异常行为及物理形式的入侵信息4个方面。数据分析是入侵检测的核心。它首先构建分析器,把收集到的信息经过预处理

30、,建立一个行为分析引擎或模型,然后向模型中植入时间数据,在知识库中保存植入数据的模型。数据分析一般通过模式匹配、统计分析和完整性分析3种手段进行。前两种方法用于实时入侵检测,而完整性分析则用于事后分析。可用5种统计模型进行数据分析：操作模型、方差、多元模型、马尔柯夫过程模型、时间序列分析。统计分析的最大优点是可以学习用户的使用习惯。入侵检测系统在发现入侵后会及时作出响应,包括切断网络连接、记录事件和报警等。响应一般分为主动响应（阻止攻击或影响进而改变攻击的进程）和被动响应（报告和记录所检测出的问题）两种类型。主动响应由用户驱动或系统本身自动执行,可对入侵者采取行动（如断开连接）、修正系统环境或

31、收集有用信息；被动响应则包括告警和通知、简单网络管理协议（SNMP）陷阱和插件等。另外,还可以按策略配置响应,可分别采取立即、紧急、适时、本地的长期和全局的长期等行动。 2.2 Snort系统的特点 （1）Snort是一个轻量级的入侵检测系统它虽然功能强大，但是代码却极为简洁、短小，其源代码压缩包不到2兆。 （2）Snort的可移植性很好 Snort的跨平台性能极佳，目前已经支持Linux，Solaris，BSD，IRIX， HP-UX，windows等系统。采用插入式检测引擎，可以作为标准的网络入侵检测系统、主机入侵检测系统使用；与Netfilter结合使用，可以作为网关IDS (Gatew

32、ay IDS)等系统指纹识别工具结合使用，可以作为基于目标的IDS(Targetbased IDS)。 （3） Snort的功能非常强大 Snort具有实时流量分析和日志IP网络数据包的能力。能够快速地检测网络攻击，及时地发出报警。Snort的报警机制很丰富，例如：syslog、用户指定的文件、一个UNIX套接字，还有使用SAMBA协议向Windows客户程序发出WinPopup消息。利用XML插件，Snort可以使用SNML(简单网络标记语言， simple network markup language)把日志存放到一个文件或者适时报警。Snort能够进行协议分析，内容的搜索/匹配。现在S

33、nort能够分析的协议有TCP，UDP，ICMP等。将来，可能提供对ARP、ICRP、GRE、OSPF、 RIP、IPXIPX等协议的支持。它能够检测多种方式的攻击和探测，例如：缓冲区溢出、秘密端口扫描、CGI攻击、SMB探测、探测操作系统指纹特征的企图等等。 Snort的日志格式既可以是Tcpdump式的二进制格式，也可以解码成ASCH字符形式，更加便于用户尤其是新手检查。使用数据库输出插件，Snort可以把日志记入数据库，当前支持的数据库包括: Postagresql、MySQL、oraCle、任何UNIXODBC数据库等。使用TCP流插件(TcpStream)，Snort可以对TCP包进

34、行重组。Snort能够对IP包的内容进行匹配，但是对于TCP攻击，如果攻击者使用一个程序，每次发送只有一个字节的TCP包，完全可以避开Snort的模式匹配。而被攻击的主机的TCP协议栈会重组这些数据，将其送给在目标端口上监听的进程，从而使攻击包逃过Snort的监视。使用TCP流插件，可以对TCP包进行缓冲，然后进行匹配，使Snort具备了对付上面这种攻击的能力。使用SPADE(Statistical Packet Anomaly Detection Engine)插件，Snort能够报告非正常的可疑包，从而对端口扫描进行有效的检测。 4 ) 扩展性能较好，对于新的攻击威胁反应迅速 作为一个轻量

35、级的网络入侵检测系统， Snort有足够的扩展能力。它使用一种简单的规则描述语言。最基本的规则只是包含四个域：处理动作、协议、方向、注意的端口。还有一些功能选项可以组合使用，实现更为复杂的功能。Snort支持插件，可以使用具有特定功能的报告、检测子系统插件对其功能进行扩展。Snort当前支持的插件包括：数据库日志输出插件、碎数据包检测插件、端口扫描检测插件、HTTP URI Normalization插件、XML插件等。同时，它支持多种格式的特征码规则输入方式，如数据库、XML等。Snort的规则语言非常简单，能够对新的网络攻击做出很快的反应。发现新的攻击后，可以很快根据其特征码，写出检测规则

36、。因为其规则语言简单，所以很容易上手，节省人员的培训费用。 5 ) 多用途性 Snort系统不但可以作为入侵检测系统，还可以作为数据包嗅探器、数据包记录器使用。 6 ) 遵循公共通用许可证GPL Snort遵循GPL，所以任何企业、个人、组织都可以免费使用它作为自己的入侵检测系统。但是，Snort系统也有很大的局限性，其系统结构决定了其检测规则只能使用落后的简单模式匹配技术，适应目前不断出现的新的攻击方式的能力有限:并且它在网络数据流量很大的时候容易产生漏报和误报，这对于目前的宽带潮流是一个很大的缺点。 2.3 Snort系统的现状 （1） 发展现状 由于遍布世界各地的众多程序员共同维护和升级

37、，目前Snort系统的更新是很快的，目前版本2.8.0.2，其系统结构日趋合理，功能不断增强，检测规则也不断增新和完善，但系统的基本架构没有变。而且，自由软件开发人员陆续开发了众多辅助性的软件。这些软件包括图形化的管理系统、日志分析工具、检测插件、图形化的规则编写软件，以及规则自动升级软件等。对这些软件进行合理地选择、集成，可以形成一套比较完善的网络入侵检测系统。 （2） 应用现状 Snort作为自由软件，二次开发费用低廉，预算比较紧张的企业，目前广泛的应用Snort作为主要网络入侵检测系统。而且Snort系统是非常典型的网络入侵检测系统，它的体系结构是多数商用软件结构的基础，目前国内现有的大

38、多数网络入侵检测产品的设计模式都是以Snort系统的基本架构为基础的，其检测方式也多与Snort系统类似。 （3）研究意义及研究现状 a. 学术上的意义 作为典型的网络入侵检测系统，其系统架构和检测方式是非常有代表性的。对其源代码的彻底剖析和对其规则的分析是将来对通用入侵检测架构标准进一步研究所必须要做的前期工作，对系统的详细分析也是将来对其功能进行升级革新的前提。同时，研究Snort系统对于改变国内目前入侵检测系统研发的落后局面，也具有非常重要的意义。 b. 商业应用上的意义 Snort系统是自由软件，相对于昂贵的商业入侵检测系统，应用Snort作为入侵检测系统和对其进行专用性的二次开发的费

39、用是非常低的。同时，它的强大功能和多功能性对企业也具有很大吸引力。而且，国内目前多数的入侵检测系统都是以Snort系统的基本原理和结构为基础的。因此，对Snort系统的研究无疑具有很大的商业意义。 c. 对于保密工作的意义 如多数自由软件一样，Snort系统是否含有未知的可能导致泄密的隐藏代码同样需要搞清楚，这对于Snort系统在机要、国防方面的应用是非常重要的。彻底的对整个Snort系统进行解析是最好的方法。目前国内对Snort系统的研究取得了一定成果，而对Snort系统基本架构的研究尚处于起步阶段，对架构的研究仅限于系统的大体流程，对于各模块细节的研究远远不够，还没有出现以详细流程图的形式

40、对Snort系统基本架构及的细致描述。对于Snort规则的研究也不彻底，缺乏细致的剖析。而本文以系统结构和规则为主要研究对象，对其进行详细的剖析。 3 Snort 的安装3.1安装Apache服务器1 为了保证Apache能够正常的安装与运行,在安装前应先把IIS的服务关闭,以免造成端口冲突,确保IIS服务已经禁用和关闭自启动2 把IIS服务关了后，就可以正常安装Apahce服务了3 安装Apache服务4 安装完Apache之后我们可以在浏览器中输入http：/localhost 测试Apache安装是否成功，出现“It work ！”字样，则表示Apache安装成功。3.2安装PHP1 首

41、先解压PHP文件到c:idsphp5文件夹2 复制c:idsphp5目录下php5ts.dll 文件到 c:windowssystem32 目录下。3 复制php5目录下的php.ini-dist 到 c:windows 下，并重命名为 php.ini4 修改 c:idsapacheconfhttpd.conf 文件 , 加入 apache 对 php 的支持， 在文档的编辑器中点击查找“vhost_alias.sa”,然后再下一行加入：loadmodule php5_module c:idsphpphp5apache2.dll， 新版本的写法：loadmodule php5_module c

42、:/ids/php5/php5apache2_2.dll5 加入：addtype application/x-httpd-php .php，如图6 修改 c:widowsphp.ini 文件 , 在文档的编辑器中点击查找“gz .tgz”,找到；extension=php_gd2.dll去掉 extension=php_gd2.dll 前的分号7 复制 c:idsphp5ext 文件夹下 php_gd2.dll 文件到 c:windows 文件夹下8 进行相关配置后，我们重启下Apache，然后在Apache网页存放目录下c:idsapachehtdocs文件夹下编写test.php文件，内容

43、为，然后我们打开浏览器，输入http:/localhost/test.php，如果浏览到php的信息页面则说明一切正常。如果浏览test.php页面出现下载提示，原因是addtype那句话有错误，检查后修改就可以了。3.3安装winpcap网络驱动对于安装winpcap网络驱动，采用默认值，下一步，下一步即可3.4安装Snort入侵检测系统将snort 安装到c:idssnort 目录下后，在CMD 下进入Snort 程序运行目录cd c:idssnortbin， 然后输入snort W( 大写 W)回车进行测试，如果安装成功则会出现一个可爱的小猪3.5安装Mysql 数据库1安装Mysql

44、数据库时，需要进行相关设置。首先我们要选择自定义安装。安装的路径也是在c:idsmysql下，然后设置相应的密码123。2当安装好mysql 数据库后，我们还需创建相关数据库表，首先复制复制 c:idssnortschamas 文件夹下create_mysql 文件到 c:idsmysqlbin 文件夹下。然后在开始菜单程序里打开mysql 客户端，输入密码(123)， 成功登录mqsql 数据库客户端。3. 接着在mysql 客户端执行如下命令 ，以创建数据库。Create database snort; Create database snort_archive; Use snort; S

45、ource create_mysql; Use snort_archive; Source create_mysql; 4、数据库创建好之后，我们要修改php配置文件对MYsql的支持 修改c:windowsphp.ini 文件去掉extension=php_mysql.dll前的分号。图3-1 修改php配置文件复制c:idsphp5ext 文件夹下的 php_mysql.dll 文件到c:windows文件夹。 复制c:idsphp5libmysql.dll 文件到c:windowssystem32 下3.6安装adodb 组件 解压缩 adodb 文件到c:idsphpadodb目录下3

46、.7安装jgraph 组件 解压缩 jpgraph 到 c:idsphp5jpgraph 目录下3.8安装acid(网页文件)组件 1、解压缩 acid 到 cidsapachehtdocsacid目录下 2、Acid 网页文件解压缩到Apache 默认网页存放目录后，我们还需修改cidsapachehtdocsacid acid_conf.php 文件，具体修改如下： $DBlib_path = c:idsphp5adodb; $DBtype = mysql; $alert_dbname = snort; $alert_host = localhost; $alert_port = 3306; $alert_user = root; $alert_password = 123; /数据库密码，与安装mysql 数据库时密码一致 $archive_dbname = snort_archive; $archive_host = localhost; $archive_port = 3306; $archive_user = root; $archive_password = 123; /数据库密码，与安装mysql 数据库时密码一致 $ChartLib_path = c: