本人是一个网络安全小白,最近开始从阿里云课程学习,这是我的第一篇博客,我也是因为进行了入侵检测系统实验后心血来潮,十分想写一篇博客来进行总结,废话不多说下面进入正题
入侵检测系统又叫IDS,从形态上它分为硬件和软件,软件的话一般多使用Snort监测软件加上一些其他的组件对网络攻击行为进行监测。从系统类型它又可以分为主机监测(HIDS)和网络监测(NIDS),从原理上可分为异常入侵检测和误用入侵检测,异常入侵检测顾名思义就是通过异常行为来监测,而误用入侵监测则是多方面的根据行为,攻击手段,通过与自身知识库的匹配来“推断”出是否有攻击行为。
IDS入侵检测系统相较于防火墙的优势是,防火墙只能通过一定规则来防止外部的入侵行为,在规则设定不当的时候有可能使正常服务器连接“掉线”,而入侵检测系统则可以放外也可以防内,从而更全面的的监测到黑客行为,进而实行相应紧急措施。
接下来简单讲解一下Snort软件的搭建,这是一款开源免费的软件,但是IDS所需要用的规则库则需要在其官网上购买(因为规则制定起来很麻烦,而且制定不当可能会有其他问题产生,故建议直接购买)。搭建Snort环境需要Php(用于网页),WinPcap(用于抓包), apache(网站程序),BASE(图形化显示监测信息),mysql(数据库),Adodb(连接Php和sql数据库),Jpgraph(Php环境下图形化分析),ACID(基于php的入侵监测分析控制台)。ps:建议安装phpstudy,里面一步安装mysql,apache,php三个套件。
首先需要建立两个数据库,分别是snort和snort_archive
文章图片
图借用的是阿里云实验用图,先登录sql服务器,默认用户名密码都是root,然后用create语句进行数据库的创建
文章图片
然后在MySQL\bin目录下,按住shift加鼠标右键,启用命令行,将Snort\schemas下的create_mysql分别导入进我们之前创立的 两个库当中
退出,重新登陆进mysql
文章图片
创立base和snort用户
文章图片
为这两个用户分配权限,因为是两个用户两个库,故语句对应有四句,具体参照图
找到Snort目录下的snort.conf文档
文章图片
进行编辑,各位要根据实际自己安装的路径进行修改,本图只是作为一个参考
BASE的安装,我们把BASE解压,复制粘贴到一开始Phpstudy的php程序对应的www安装目录下,然后打开浏览器,输入localhost,进行相应配置
配置前需要将Adodb组件解压至phpstudy下PHP5目录
然后配置第一步,在PATH TO ADODB下我们复制粘贴刚刚Adodb安装的目录
文章图片
数据库信息就是填我们之前创立的那两个账户和密码
第三步是填BASE的认证信息和用户名,自己设定用户名和密码
文章图片
如果出现了警告信息,就去它对应目录下,用NotePAD++打开对应文件,进行错误的查找,这里阿里云教程中的错误是没有启用邮箱功能却在配置文件上启用,所以我们在这两条语句上加上#号进行注释。
无报错信息后点击右边的Create db
这时候就会显示出BASE图形化监测页面了
最后一步我们就只用到Snort\bin目录下用命令行启用snort.exe ,
文章图片
文章图片
-l后面跟日志存放路径(一般打开来都是乱码),-c跟的是Config文件
【网络安全小白之路——阿里云课程(入侵检测系统IDS)】Snort环境就这样搭建好了,大家也可以试着用一些UDP工具或简单地Ping地址来验证Snort是否启用成功
推荐阅读
- Python进阶|警惕 Python 中少为人知的 10 个安全陷阱
- k8s|k8s(六)(配置管理与集群安全机制)
- Java程序|软件测试八款优秀的API安全测试工具,会用三款工作效率能提升50%
- 内网渗透|内网渗透-最实用的信息收集
- 定位|浅谈大规模红蓝对抗攻与防
- 计算机网络重点回顾