1）入侵檢測系統

入侵檢測系統（intrusion detection system，簡稱“IDS”）是一種對網路傳輸進行即時監視，在發現可疑傳輸時發出警報或者採取主動反應措施的網路安全裝置。它與其他網路安全裝置的不同之處便在於，IDS是一種積極主動的安全防護技術。

2）入侵檢測系統的分類及部署

IDS是計算機或網路的監視系統，它通過實時監視系統，一旦發現異常情況就發出警告。IDS入侵檢測系統以資訊來源的不同和檢測方法的差異分為幾類：根據資訊來源可分為基於主機IDS和基於網路的IDS，根據檢測方法又可分為異常入侵檢測和濫用入侵檢測。

3）不同於防火牆，IDS入侵檢測系統是一個監聽裝置，沒有跨接在任何鏈路上，無須網路流量流經它便可以工作。因此，對IDS的部署，唯一的要求是：IDS應當掛接在所有所關注流量都必須流經的鏈路上。

安裝snort入侵檢測系統

1、登入ids系統

登入實驗機後，開啟桌面上的putty程式，輸入10.1.1.106，再點選Open.。

輸入使用者名稱：root，密碼：bjhit

2、安裝LAMP環境（省略）

在putty裡面輸入如下命令進行安裝

apt-get install mysql-server libapache2-mod-php5 php5-mysql libphp-adodb

注意：因為下載時間太長，會耽誤過多的時間，所以提前已經安裝好了。

這裡給mysql的root使用者，設定的密碼是123456。

3、安裝snort軟體包(已安裝)

#apt-get install snort-mysql

在安裝過程中會提示下圖所示資訊。（這裡是填寫監聽的網段）

在安裝過程中會提示下圖所示資訊。（這裡是填寫監聽的網段）

4、建立snortdb資料庫

root@IDS:~# mysql -u root -p123456 #登入mysql

進入資料庫後，建立一個數據庫命名為snortdb。

mysql> create database snortdb;

mysql> grant create, insert, select, update on snortdb.* to snort@localhost;

mysql> set password for snort@localhost=password('snortpassword');

建立一個數據庫使用者，使用者名稱為snort，密碼為snortpassword。

將snort-mysql自帶的軟體包中附帶的sql檔案，匯入到資料庫中。

# cd /usr/share/doc/snort-mysql/

# zcat create_mysql.gz | mysql snortdb -u snort -psnortpassword

# rm /etc/snort/db-pending-config

5、配置snort

配置好了資料庫後，需要配置Snort配置檔案（/etc/snort/snort.conf），告訴snort以後

日誌寫入到snortdb資料庫中。

# vi /etc/snort/snort.conf

找到檔案中“var HOME_NET any”一行，將其修改為要監控的網路段，

並啟用下面幾行，如下：

#var HOME_NET any

var HOME_NET 10.1.1.0/24

#

#var HOME_NET any

# Set up the external network addresses as well. A good start may be "any"

#var EXTERNAL_NET any

var EXTERNAL_NET !$HOME_NET

--------------------

# output database: log, mysql, user=root password=test dbname=db host=localhost

output database: log, mysql, user=snort password=snortpassword dbname=snortdb host=localhost

檢測snort.conf配置檔案是否正常:

# snort -c /etc/snort/snort.conf

出現了小豬豬，就說明成功了，按Ctrl+C停止掉。

啟動snort：

# service snort start

安裝、配置基本分析與安全引擎（BASE）

1、安裝acidbase軟體包(已安裝)

apt-get update 更新源列表

apt-get install acidbase

這裡選擇mysql，前面還有兩個對話方塊，一個是ok，

一個是yes，我這裡就沒截圖了。

這裡密碼都輸入123456，要輸入幾次。

這裡需重新建立snort使用者

mysql -u root -p123456

mysql> grant create, insert, select, update on snortdb.* to snort@localhost;

mysql> set password for snort@localhost=password('snortpassword');

2、配置Apache檔案

將acidbase的安裝目錄複製到/var/www目錄中

# cp -r /usr/share/acidbase/ /var/www/

修改apache配置檔案：（如下圖）

vi /etc/apache2/sites-available/default

在檔案底部</VirtualHost>一行之前加入acidbase相關內容（上圖紅框框部分）

配置好了後，需要重啟apache2

# service apache2 restart

修改php.ini檔案

vi /etc/php5/apache2/php.ini

將acidbase目錄的許可權設定為777

chmod 777 -R /var/www/*

3、配置BASE

將現有的配置檔案改名，否則無法使用web介面配置base。

# mv /etc/acidbase/base_conf.php /etc/acidbase/base_conf.php-orig

還有軟連結檔案

#rm /var/www/acidbase/base_conf.php

現在通過瀏覽器開啟 http://10.1.1.106/acidbase/

開始配置我們的基本安全分析引擎了。

開啟上面的網址，出現瞭如下介面：

單擊Continue按鈕，進入Step1of5介面，如下圖所示：

這裡我選擇的是簡體中文

輸入ADODB的路徑“/usr/share/php/adodb”，單擊提交按鈕。

提醒：這裡ADODB的路徑，可以用如下命令去搜索

find / -name adodb

提交後，進入了Step 2 of 5介面，如下圖所示：

輸入資料庫資訊,Pick a Database type：MySQL，Database Name：snortdb，Database Host：127.0.0.1，Database User Name：snort，Database Password：snortpassword

單擊下面的提交按鈕進入Step 3 of 5，如下圖所示：

設定使用者名稱和密碼

單擊提交按鈕，進入Step 4 of 5介面，如下圖所示：

單擊上圖紅框框部分，在資料庫中建立BASE用到的表。

如果出現：

Successfully created 'acid_ag'

Successfully created 'acid_ag_alert'

Successfully created 'acid_ip_cache'

Successfully created 'acid_event'

Successfully created 'base_roles'

Successfully INSERTED Admin role

Successfully INSERTED Authenticated User role

Successfully INSERTED Anonymous User role

Successfully INSERTED Alert Group Editor role

Successfully created 'base_users'

表示資料表建立成功，單擊Now continue to step 5，進入管理介面，如下圖：

使用基本安全分析引擎檢視入侵日誌

1、使用nmap對ids主機進行埠掃描

使用桌面上的nmap對ids主機進行埠掃描

重新整理瀏覽器頁面，就可以看到“埠掃描通訊”有資料了，點選進去可以檢視詳情。