在Ubuntu平台上部署基于Snort的入侵检测系统.pdf

·66 · Computer Era No. 5 2009 在Ubuntu平台上部署基于Snort的入侵检测系统 姚保峰1，2 (1. 合肥工业大学计算机与信息学院，安徽 合肥 230009；2. 蚌埠学院计算机科学与技术系) 摘 要：Snort 是一套免费的轻量级入侵检测系统，当今的很多入侵检测系统都以其为参照。虽然Snort 软件体积非常小 巧，但是其部署有一定的难度。为了以更直观的方式监测系统的运行状况，通常部署Snort 系统时除了要安装Snort 软件 本身外，还需要大量的相关软件支持。文章介绍了在Ubuntu 平台上架设Snort 系统的具体过程。系统以MySQL 数据库 存储入侵检测信息，用BASE 工具显示检测结果。 关键词：入侵检测；Snort；Ubuntu ；LAMP 0 引言 ⑴ 安装LAMP(Linux, Apache, MySQL,PHP)服务器； 入侵检测技术IDS是一种主动保护自己免受攻击的网络 ⑵ 安装底层库Libpcap； 安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系 ⑶ 安装Snort软件和相应规则包； 统对付网络攻击，扩展系统管理员的安全管理能力（包括安全 ⑷ 在MySQL数据库中建立Snort数据库并配置Snort使 审计、监视、攻击识别和响应），提高信息安全基础结构的完整 其将log存放在MySQL数据库中； 性。它从计算机网络系统中的若干关键点收集信息，并分析这 ⑸ 安装配置基于PHP的入侵检测数据库分析控制台 些信息。入侵检测被认为是防火墙之后的第二道安全闸门，在 BASE。 不影响网络性能的情况下能对网络进行监测。它可以防止或 在安装过程中，我们将下载一些文件并统一放在/root/ 减轻网络威胁。本文详细介绍了在Ubuntu Linux平台上基于 snorttmp/目录下，文件解压后生成的目录也存放在此目录下。 LAMP架设Snort入侵检测系统的全过程。 此外要注意，下面一些命令的执行需要得到root权限。 2.1 安装LAMP服务器 1 Snort系统概述 由于Ubuntu是Debian系的Linux，安装软件非常简单。这 Snort由开源软件界的著名人士Martin Roesch用C语言开 里使用Ubuntu默认命令行软件包管理器apt来进行安装。在终 发，软件符合GPL（GNU General Public License）的要求。作 端中输入命令： 为一个跨平台、轻量级的网络入侵检测软件，实际上它是一个 $ sudo apt-get install libmysqlclient15-dev mysql-client-5.0 基于Libpcap的网络数据包嗅探器和日志记录工具。从入侵检 mysql-server-5.0 bison flex apache2 libapache2-mod-php5 测分类上看，Snort是一个基于网络和误用的入侵检测软件。 php5-gd php5-mysql libphp-adodb php-pear pcregrep Snort采用了基于规则的网络信息有哪些信誉好的足球投注网站机制，对数据包进行内 Ubuntu将自动下载并安装相关软件。 容的模式匹配，从中发现入侵行为。Snort具有实时报警能力， 2.2 安装底层库Libpcap 它的报警信息可以发往syslog、Server Message Block(SMB)、 在终端输入如下命令： Winpopup Message或者单独的alert文件。Snort可以通过命令 $ sudo apt-get install libpcap0.8-dev 行进行交互，并对可选的BPF（Berkeley Pac