基于windows平台的snort入侵检测系统研究与实现

摘　要：本文使用抓包库WinPcap，入侵探测器snort，Web服务器Apache，数据库MySQL，入侵数据分析控制台ACID构建了Windows平台下基于snort的网络入侵系统。Snort对监控网络中的数据包进行规则匹配，检测入侵行为，并将日志保存至MYSQL数据库，ACID分析数据库数据，生成网络入侵事件日志图表。

关键词：入侵检测系统；网络安全；snort

　　随着计算机网络技术的不断发展，人们的工作与生活越来越离不开计算机网络，然而与此同时，网络环境也越来越复杂，安全问题日益突出。目前的网络安全系统使用最多的是防火墙技术。防火墙能够抵挡大部分的外部攻击，不能够对内部攻击进行有效防范，然而实践证明，内部攻击更普遍且更容易实现。入侵检测系统是对防火墙技术的合理补充，能够检测未经授权的访问或入侵，它已经发展成为安全网络体系中的一个关键性组件。
1 入侵检测系统与snort
　　入侵检测系统对单个系统或网络系统中的行为进行监控，并生成记录进行审核，通过审计等手段识别各种网络入侵行为。入侵检测系统可以是硬件、软件或者两者的结合。它主要的检测技术是特征检测、异常检测和完整性检验。按照功能，网络入侵系统主要分为三类，主机IDS（HIDS）、网络IDS（NIDS）和分布式IDS（DIDS）。
Snort是一个有很多功能的、成熟的开放源代码的NIDS，它的功能有数据包嗅探、数据包记录、入侵检测、实时告警。snort被称为是轻量级的NIDS，这里“轻量级”是指snort占用的资源非常少，且能运行在多种系统平台之上。Snort是基于特征检测的IDS，使用规则的定义来检查网络上中的数据包，当一条规则被触发后，产生相应的告警信息。由于开放源代码的特性，snort日益流行，除了可安装在各种系统平台之上，还能与多种软件配合使用，如MySQL，Oracle数据库，Apache，IIS服务器，PHP或Perl，SSH或Windows终端服务等等。
2 snort入侵检测系统的实现
　　如图1，在基于snort的入侵检测系统中，抓包引擎从网络获取数据包并传送给分析模块，如果包触发了报警或日志事件，那么该数据包就会发送给输出插件。输出插件将报警和日志以多种格式及形式输出，或保存至关系数据库。入侵数据分析控制台（The Analysis Console for Intrusion Databases，ACID）是与snort数据进行交互的主要途径，它是基于PHP的分析引擎，主要用来处理由安全设备（如防火墙和IDS）产生的安全事件数据库。

2.1 安装Apache+MySQL+PHP环境
　　在安装snort之前必须已经有能够正常工作的MySQL数据库服务器，因此需要首先安装Apache+MySQL+PHP环境。Apache用于基于Web的ACID浏览器程序服务，MySQL用于存储入侵数据。Appserv是一个PHP环境的集成软件，可快速安装ApacheMySQLPHP环境，安装配置均简单方便。完成安装后可在浏览器打开http://localhost测试Appserv是否安装成功。
2.2 安装snort及WinPcap
　　WinPcap是libpcap抓包库的Windows版本，snort需要用它来嗅探原始包。我们这里使用的MySQL数据库，应选择有MySQL支持的snort安装版本。安装snort后在MySQL中创建用户名、口令、数据库名称及用户权限，并用snort提供的create_mysql脚本创建数据库所需的表格和数据结构；更改snort的配置文件，设置监控网络及规则集，并添加输出插件，使snort把日志写入到MySQL数据库。
2.3 安装ACID
　　安装ACID前必须要安装ADODB库，ADODB库为PHP访问多种数据库提供通用的访问接口。另外使用ACID的图形功能，需要安装JPGraph库，下载库后解压到PHP可访问的脚本目录就可以了。ACID的配置参数保存在中，作相应配置后就可以通过Web方式连接到控制台了，登陆后使用ACID DB安装脚本创建用来管理警报数据的表，ACID就可以使用了。
2.4 使用ACID
　　ACID将snort输出的原始数据以更加容易理解的方式给出警报和入侵数据。入侵检测管理员可直接通过Web交互方式对警报和事件日志数据库进行操作。搜索，ACID使用一套扩展的逻辑运算符来建立查询，查询的类别可以是元数据（如特征、分类、报警时间）、IP头数据、网络层协议和净荷数据；报警组，管理员可以把各种报警进行逻辑上的分组并附加注释，组成一个安全事件；图形化，ACID可以基于时间、报警组成员关系、源端口、目的端口和IP地址生成图形化汇总；数据管理，可通过裁剪（trimming）、归档（archiving）对数据库中的所有报警数据进行维护处理。
3 结束语
　　在wondows平台下安装配置基于snort的入侵检测系统，配置简单且易于实现，但考虑到稳定性和速度，应该选择UNIX或类UNIX平台，而实验证明，在BSD系列平台下，snort性能发挥更出色。
参考文献：
[1]Jack 入侵检测使用解决方案[M].吴溥峰 等译.北京:机械工业出版社,2005.
[2]唐正军.入侵检测系统导论[M].北京:机械工业出版社,2004.