基于
windows
的入侵检测系统配置和验证综合实验
1.
实验目的
?/p>
通过本实验,学习和熟悉在
windows
环境下配置入侵检测系统的步骤
?/p>
掌握构成
windows
环境入侵检测系统的各种软件的安装和使用方法?/p>
?/p>
熟悉一些常用的入侵检测系统配置和操作命令及方法?/p>
2.
实验要求
2.1
预备知识
?/p>
windows
下建立入侵检测系统一般采用“传感器—数据库—分析平台?/p>
的三层架构体系架构。本实验基于
Snort
?/p>
BASE
进行构建入侵检测系统?/p>
传感器即网络数据包捕获转储程?/p>
,
其中
WinPcap
作为系统底层网络接口
驱动?/p>
Snort
作为数据报捕获、筛选和转储程序,二者即可构?/p>
IDS
的传感器?/p>
件。为了完整覆盖监控可以根据网络分布情况在多个网络关键节点上分别部?/p>
IDS
传感器?/p>
要监听流经本机网卡的所有数据包
,
必须绕过系统正常工作的处理机?/p>
,
?/p>
接访问网络底?/p>
,
需要把网卡的工作模式置于混?/p>
(promiscuous)
模式?/p>
当网络接
口处于这种“混杂”方式时,该网络接口具备“广播地址?/p>
,它对所有接收到?/p>
帧都产生硬件中断以提醒操作系统处理流经该物理媒体上的每一个报?/p>
(绝大多
数的网络接口具备置成
promiscuous
方式的能力)
。操作系统直接访问数据链?/p>
层,截获相关数据,由应用程序而非上层?/p>
IP
层?/p>
TCP
层协议对数据过滤处理?/p>
这样就可以监听到流经网卡的所有数据。在实际应用?/p>
,
其中存在若干用户不关
心的数据
,
严重影响了系统工作效率?/p>
因此需要对数据包进行过?/p>
,
只将用户关心
的敏感数据向上层提交
,
从而提高工作效率?/p>
包捕获和包过滤通常在内核层
,
具体
实现依赖于操作系统。这样就需要提供一个这样的?/p>
:
它建立在包捕获和包过?/p>
模块之上
,
依赖于操作系?/p>
,
但提供一套系统无关的调用接口供用户空间程序使
?/p>
,
用户程序通过它与内核部分通信而且能独立于操作系统?/p>
Libpcap(
?/p>
Windows
版本?/p>
WinPcap)
就是这样的一个函数库?/p>
Snort
是一套非常优秀的开放源代码网络监测系统,在网络安全界有着非常
广泛的应用?/p>
其基本原理基于网络嗅探,
即抓取并记录经过检测节点以太网接口
的数据包并对其进行协议分析,
筛选出符合危险特征的或是特殊的流量?/p>
网络?/p>
理员可以根据警示信息分析网络中的异常情况,及时发现入侵网络的行为?/p>
数据库用来存储入侵检测系统的数据包信息,
本实验采?/p>
MySQL
数据库,
?/p>