一个网络入侵检测系统的实现(4) #make #make install 此处采用的是PHP的Apache动态模块DSO安装模式,完成之后,将会在/usr/local/libexec目录下生成Apache DSO模块libphp4.so。然后,还需将源码树中的PHP缺省配置文件php.ini-dist拷贝到/etc目录下并更名为php.ini;最后为了通知Apache启用PHP模块,编辑Apache的配置文件httpd.conf加入如下两行: AddType application/x-httpd-php .php LoadModule php4_module libexec/libphp4.so 至此完成PHP的安装。 5、 安装ACID 该部分的安装工作具体包括三个软件包:adodb200.tar.gz、phplot-4.4.6.tar.gz和acid-0.9.6b21.tar.gz。安装过程十分简单,只需分别将这三个软件包解压缩并展开在Apache服务器的文档根目录下即可,具体操作如下所示: #cd /usr/local/htdoCS #gzip -d -c adodb200.tar.gz tar xvf - #gzip -d -c phplot-4.4.6.tar.gz tar xvf - #gzip -d -c acid-0.9.6b21.tar.gz tar xvf - #chown -R root:other * #chmod -R 755 * 然后开始配置工作,转到acid-0.9.6b21目录下编辑ACID的配置文件:acid_conf.php给下列变量赋值: $Dblib_path="../adodb200" $DBtype="mysql" $alert_dbname="snort" $alert_host="localhost" $alert_port="3306" $alert_user="root" $alert_password="abc123" $archive_dbname="snort_archive" $archive_host="localhost" $archive_port="3306" $archive_user="root" $archive_password="abc123" $ChartLib_path="../phplot-4.4.6" $Chart_file_format="png" $portscan_file="/var/log/snort/portscan.log" 至此,网络入侵检测系统的软件安装工作结束。 四、 系统部署及运行 本系统被部署在网络服务器所处的DMZ区,用来监控来自互联网和内网的网络流量。负责监控的网络探测器Snort使用无IP地址的网卡进行监听以保证网络入侵检测系统自身的安全;通过另一块网卡接入内网并为其分配内网所使用的私有IP地址,以便从内网访问分析控制台程序ACID。通过启用Apache服务器的用户身份验证和访问控制机制并结合SSL以保证系统的访问安全。 另外,布署网络入侵检测系统的关键是应当保证系统的监听网卡所连接的设备端口能够"看到"受监控网段的全部网络流量。在共享式网络中这不是问题,但在交换式网络中由于交换机的每个端口拥有自己的冲突域,因此无法捕获除广播和组播之外的网络流量。这就要求交换机提供监控端口,本网络使用的是Cisco Catalyst系列交换机,其监控端口是通过端口的SPAN特性来实现的,用交换机管理软件启用该特性即可。 为了运行该系统,以超级用户身份执行下列命令: #/etc/init.d/mysql.server start #/usr/local/bin/snort -c /etc/snort.conf -l /var/log/snort -I elx0 -D
