一个网络入侵检测系统的实现(2) 正式网址:http://php.weblogs.com/ADODB 软件版本:2.00 PHPlot 功能简述:ACID所依赖的制图库; 正式网址:http://www.phplot.com/ 软件版本:4.4.6 上述软件都是开源软件,可以直接登录相应软件的正式网站,下载源代码。此外,需要特别说明的一点是虽然本例中网络入侵检测系统所采用的系统平台是Solaris 8 for Intel Platform,但是在其它种类的系统平台上,如Linux 、OpenBSD以及Windows 2000等,其具体的实现步骤大同小异,因此就不在另行说明了。 三、 安装及配置 在正式进行软件安装之前,请检查系统,确保拥有符合ANSI标准的C/C++编译器等软件开发工具。 1、 安装MySQL 首先,以超级用户的身份登录系统,创建mysql 用户和mysql用户组; 然后,以mysql身份登录,执行下列命令: $gzip -d -c mysql-3.23.49.tar.gz tar xvf - $cd mysql-3.23.49 $./configure $make $make install 这样,就按照缺省配置将MySQL安装在/usr/local目录下。然后将源代码树中的缺省配置文件my.cnf拷贝到/etc目录下。接下来,以超级用户身份执行源码树中scripts目录下的可执行脚本文件mysql_install_db来创建初始数据库。用/etc/init.d/mysql.server命令启动数据库服务器后,使用/usr/local/bin/mysqladmin程序来改变数据库管理员的口令。 2、 安装Snort 首先安装Snort所依赖的库libpcap: #gzip -d -c libpcap-0.7.1.tar.gz tar xvf - #cd libpcap-0.7.1 #./configure #make #make install 这样libpcap缺省地安装在/usr/local目录下。 然后开始安装Snort: #gzip -d -c snort-1.8.6.tar.gz tar xvf - #cd snort-1.8.6 #./configure --prefix=/usr/local --with-mysql=/usr/local --with-libpcap-includes=/usr/local --with-libpcap-libraries-/usr/local #make #make install 安装完毕后,将源码树中的snort.conf文件、classification.config文件和规则文件(*.rules)拷贝到系统的/etc目录下。 按照下列步骤配置Snort将其捕获的网络信息输出到MySQL数据库: 1) 创建Snort入侵事件数据库和存档数据库: #/usr/local/bin/mysqladmin -u root -p create snort #/usr/local/bin/mysqladmin -u root -p create snort_archive
