基于snort、barnyard2和base网络入侵检测系统的部署与应用源码+项目说明.zip

# 基于snort、barnyard2和base的 网络入侵检测系统的部署与应用 目 录 [1、项目分析 4](#_Toc43626113) [1.1、项目背景 4](#_Toc43626114) [1.2、需求分析 4](#_Toc43626115) [1.3、Snort体系分析 4](#_Toc43626116) [1.4、Snort三种工作模式 5](#_Toc43626117) [2、概要设计 5](#_Toc43626118) [2.1、Snort功能介绍 5](#_Toc43626119) [2.2、入侵检测模块分析 6](#_Toc43626120) [2.3、Snort工作流程分析 6](#_Toc43626121) [2.4、ADODB功能分析 7](#_Toc43626122) [2.5、snort组件分析 7](#_Toc43626123) [2.4、安装准备 7](#_Toc43626124) [3、详细设计 8](#_Toc43626125) [3.1、准备工作 8](#_Toc43626126) [3.1.1、安装wget 9](#_Toc43626127) [3.1.2、更新yum源 9](#_Toc43626128) [3.1.3、安装epel源 10](#_Toc43626129) [3.1.4、下载安装配置文件 10](#_Toc43626130) [3.2、安装配置LMAP 10](#_Toc43626131) [3.2.1、安装LAMP组件 10](#_Toc43626132) [3.2.2、安装php插件 10](#_Toc43626133) [3.2.3、安装pear插件 11](#_Toc43626134) [3.2.4、安装adodb 11](#_Toc43626135) [3.2.5、安装base 11](#_Toc43626136) [3.2.6、设置目录权限 11](#_Toc43626137) [3.2.7、配置mysql 11](#_Toc43626138) [3.3、配置base 12](#_Toc43626139) [3.4、安装配置snort 15](#_Toc43626140) [3.4.1、安装依赖包 15](#_Toc43626141) [3.4.2、安装libdnet 16](#_Toc43626142) [3.4.3、安装libcap 16](#_Toc43626143) [3.4.4、安装DAQ 17](#_Toc43626144) [3.4.5、安装snort 18](#_Toc43626145) [3.4.6、配置snort 19](#_Toc43626146) [3.4.7、配置规则库 20](#_Toc43626147) [3.5、安装barnyard2 21](#_Toc43626148) [3.5.1、配置barnyard2 21](#_Toc43626149) [4、部署测试 22](#_Toc43626150) [4.1、测试snort 22](#_Toc43626151) [4.2、测试barnyard2 23](#_Toc43626152) [4.3、测试IDS 25](#_Toc43626153) [4.3.1、添加测试规则 25](#_Toc43626154) [4.3.2、测试运行 25](#_Toc43626155) [4.3、配置IDS启动脚本 27](#_Toc43626156) [4.4、启动IDS 28](#_Toc43626157) [4.5、测试IDS 28](#_Toc43626158) [4.6、停止IDS服务 34](#_Toc43626159) [5、项目总结 34](#_Toc43626160) # 1、项目分析 ### 1.1、项目背景 伴随着互联网产业的不迅猛发展，新兴技术层数不穷，互联网通讯技术逐渐成为了各行各业不可替代的基础设施，越来越多的业务都是依靠互联网来得以实现。随着我国科技产业的飞速发展，很多过去无法想象的事物变成了现实，由计算机衍生的人工智能等一系列高新技术，以不可阻挡的势头影响着人们的生活，这一切的一切都离不开互联网的支撑，人们享受网络带来的便捷与畅快的同时，也不得不面对网络入侵者对网络安全所带来的威胁，近些年网络飞速发展的同时，信息安全问题也显得日益突出，人们对隐私保护的意识逐渐增强，因此计算机网络安全问题日益成为了社会各界所关注的热点。拥有一个完备可靠的网络安全攻防系统以是个人、企业乃至国家所不懈追寻的目标。 ### 1.2、需求分析 在互联网飞速发展的当下社会，信息安全问题尤为突出，任何试图破坏网络活动正常化的事件都可成为网络安全问题。在网络安全问题产生的早期，人们通常使用的方法就是防火墙，但随着网络攻击技术手段的不断提升，传统的防火墙作为一种被动的防御性网络安全工具，已经不足以防御新型的网络攻击。这种情况下逐渐诞生了网络入侵检测系统，入侵检测系统不仅能够为网络安全提供及时的入侵检测以及采取响应防护手段，还可以正确识别针对计算机网络的恶意行为，并为此做出响应和防护机制。它提供对系统内部攻击和外部攻击以及错误操作的实时防护，能够自主的应对网络攻击，良好的弥补了传统防火墙的不足，有效的完善了网络安全的防护机制，入侵检测及时做一种防御手段，已经成为网络安全体系的重要组成部分。因此掌握网络入侵检测系统的部署与应用以是计算机从业人员不可缺少的知识技能。 ### 1.3、Snort体系分析 IDS是计算机的入侵监视系统，它通过实时的监视，对异常的网络行为发出警报。入侵检测系统大致可分为两大类，信息来源一类是基于主机IDS的基于网络的IDS，检测方法一类是针对异常入侵检测和误用的入侵检测。Snort IDS(入侵检测系统)既是一个强大的网络入侵检测系统。它具有实时数据流量分析和记录IP数据网络数据包的能力，能够进行协议分析，对数据包内容进行识别，检测不同的攻击方式，对攻击进行实时监控和报警。此外，Snort是一个开源的入侵检测系统，具有很好的移植性和可扩展性。Barnyard2作为IDS的前端工具，主要应用是读取sonrt产生的数据并存储到数据库中，同时base的页面变化，来测试应用成果与否。  Snort结构由四大模块组成，分别是： 1. 数据包嗅探模块，负责监听网络数据包，对网络进行分析。 2. 预处理模块，用相应的插件来检查原始的数据包，数据包预处理后传送到检测引擎。 3. 检测模块，是Snort的核心模块；检测引擎根据预先设置的规则检测数据包，一旦发现规则匹配，就通知警报模块。 4. 警报/日志模块，经过检测引擎检测后数据输出。如果出现异常则会发出报警 ### 1.4、Snort三种工作模式 1. 侦测模式：snort将在现有的网域内获取数据包，并显示在屏幕上。 2. 数据包记录模式：snort将已截取的数据包存入存储硬盘中。 3. 上线模式：snort可对截取到的数据包做分析的动作，并根据一定的规则来判断是否有网络攻击行为的出现。 # 2、概要设计 ### 2.1、Snort功能介绍 Snort拥有三大基本功能：嗅探器，数据包记录和入侵检测。嗅探器模式从网络上读取数据包并作为连续不断的数据流显示在终端。数据包记录器模式是把数据包记录到硬盘上。网络入侵检测模式可配置使snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的措施。 ### 2.2、入侵检测模块分析 snort是一套开源的网络入侵预防与网络入侵检测软件。使用了以侦测签名与通信协议的侦测方法。数据嗅探是基于Libpcap开发而成，Libpcap是一个跨平台的报文抓取程序。数据嗅探器将网卡获取的数据送入上层预处理组件进行处理。 预处理器介于检测引擎和数据包嗅探器之间，主要功能有包重组、解码协议和异常检测，负责对数据包的进行预先处理。作为入侵检测系统，它能够对网络中数据包片段编排与组装，还原原始的数据内容。因此预处理器对安全威胁的检测和识别非常重要。 检测引擎是Snort的核心部分，其中负责规则处理的规则库是检测引擎的重要组件，规则处理模块主要负责规则的解析和规则检测。检测引擎通过读取规则文件把规则链中，再与数据包进行对比，检测判定是否存在安全威胁，并做出响应的处理，如：警报、记录或者忽略等。针对大流量的数据中心存在系统检测处理数据丢失等情况，这就表示在大规模的网络应用中，对引擎算法的优化和改进，有着相当大的必要。 从本质上说，Snort与tcpdump和snoop一样，都是网络数据包嗅探器。因此，嗅探器模式是Snort工作的基本模式。只要运行Snort时不加载规则，它就可以从网络上读取数据包并连续不断地显示在屏幕上。这时，Snort将显示统计信息。Snort使用Libpcap网络驱动库。在这种模式下，Snort将网卡设置为混在模式，读