构建企业入侵检测系统.doc

1、部署入侵检测系统 1、 安装apache 将apache安装在c:\apache 目录中，其他的按照向导默认安装就可以了。如果这台计算机上其他的服务占用了80端口的话，就在配置文件c:\apache\conf\httpd.conf中修改listen 80为其他的端口 2、 添加apache对php的支持 解压php-5.1.6-win32.zip至c:\php5目录中 复制php5ts.dll文件到%systemroot%\system32中 复制php.ini-dist至%systemroot%目录下，更名为php.ini 在c:\apache\conf\httpd.conf

2、文件中添加： LoadModule php5_module c:/php5/php5apache2.dll (这里是正斜杠) AddType application/x-httpd-php .php (“.php”之前有一个空格是必须的) 3、 打php的补丁 解压php5apache2.dll-php5.1.x.zip到任何目录中 将解压的文件php5apache2.dll文件复制到c:\php5目录下 将解压的文件httpd.exe.manifest文件复制到c:\apache\bin目录中 运行解压文件vcredist_x86.exe

3、文件 （若文件不能运行安装，则到微软网站下载并安装“dotnetfx.exe”——.net2.0框架） 4、 添加apache对gd库的支持 修改%systemroot%\php.ini 找到“extension=php_gd2.dll”去掉前面的“；” 复制c:\php5\ext\php_gd2.dll文件到%systemroot%下 5、 测试 在c:\apache\htdocs目录中新建test.php文件，在其中输入下列命令 使用http:

4、//localhost:端口号/test.php 6、 安装winpcap——按照向导安装就好了 7、 安装snort——采用默认安装就好了 安装完成后使用下列命令验证是否安装成功 C:\snort\bin>snort –W 在左上角显示一个狂奔的可爱的小猪就说明snort安装成功了 8、 安装和配置MySQL 采用默认安装，将MySQL安装在c:\mysql目录中 安装完成后需要建立snort的一些相关的数据库 C:\mysql\bin\mysql –u root –p (后回车输入root用户的密码，在安装时设置的登陆MySQL数据库) Mysql>cr

5、eate database snort; Mysql>create database snort_archive; (创建数据库snort和snort_archive，这里必须以“；”结束命令) 将c:\snort\schemas目录下的create_mysql复制到c:\mysql\bin下，建立snort运行必须的数据表，实现语句为 Mysql>use snort Mysql>source create_mysql Mysql>use snort_archive Mysql>source create_mysql Mysql>show tabl

6、es; 可以查看数据表 为MySQL建立snort和acid账号，是IDScenter或者acid能正常访问MySQL中与snort相关的数据文件，实现语句为： Mysql>grant usage on *.* to “acid”@”localhost” identified by “acidtest”; Mysql>grant usage on *.* to “snort”@”localhost” identified by “snorttest”; 这里的acidtest和snorttes

7、t是两个用户的密码 为acid用户和snort用户分配相关权限，实现语句为： Mysql>grant select,insert,update,delete,create,alter on snort .* to “snort”@”localhost”; Mysql>grant select,insert,update,delete,create,alter on snort_archive .* to “snort”@”localhost”; Mysql>grant select,insert,update,delete,create,alter on sn

8、ort .* to “acid”@”localhost”; Mysql>grant select,insert,update,delete,create,alter on snort_archive .* to “acid”@”localhost”; 9、 启用php对MySQL的支持 修改%systemroot%\php.ini 找到“extension=php_mysql.dll”去掉前面的“；” 复制c:\php5\ext\php_mysql.dll文件到%systemroot%下 复制c:\php5\libmysql.dll文件到%systemroot%\syste

9、m32下 10、安装adodb 解压adodb456.zip到c:\php5\adodb目录中 11、安装jpgraph 解压jpgraph-2.0.tar.gz到c:\php5\jpgraph 12、安装acid 解压acid-0.9.6b23.tar.gz到c:\apache\htdocs\acid目录中 修改acid_conf.php文件为下列格式 $DBlib_path = "c:\php5\adodb $alert_dbname = "snort "; $alert_host = "localhost"; $alert_port = "3

10、306 $alert_user = "snort $alert_password = "snorttest /* Archive DB connection parameters */ $archive_dbname = "snort_archive"; $archive_host = "localhost"; $archive_port = "3306 $archive_user = "acid $archive_password = "acidtest 建立acid运行必须的数据库 http://localhost/acid/ac

11、id_db_setup.php 13、配置snort 安装时有让选择使用哪种数据库：选择默认，其他两种需要提前安装sql server和Oracle的客户端 编辑c:\snort\etc\snort.conf文件为如下格式 Include classification.config Include regerence.config 修改为绝对路径 Include c:\snort\etc\classification.config Include c:\snort\etc\regerence.config 设置snort 输出alert 到mysql server

12、 Output database: alter, mysql, host=localhost user=root password=安装sql时的密码 dbname=snort encoding=hex detail=full 修改dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/ 为 dynamicpreprocessor directory c:\snort\lib\snort_dynamicpreprocessor 修改dynamicengine /usr/local/lib/snort

13、dynamicengine/libsf_engine.so 为 dynamicengine c:\snot\lib\snort_dynamicengine\sf_engine.dll 将网卡监听的数据返回给snort set PACP_FRANES=MAX,snort –W 将snortrules-snapshot-CURRENT.tar文件解压到snort的目录下，这个操作就是创建snort的规则 测试snort是否工作正常 C:\snort\bin> snort –c “c:\snort\etc\snort.conf” –l “c:\snort\log” –deX –i 2 到次入侵检测系统就搭建完成了，使用http://localhost/acid就能够查看到入侵行为了