入侵檢測護航電子商務〔作者:___________單位:___________:___________〕

[摘要]隨著因特網(wǎng)的飛速開展，電子商務正得到越來越廣泛的應用。電子商務的平安性是影響其成敗的一個關(guān)鍵因素。入侵檢測系統(tǒng)是傳統(tǒng)被動方式的網(wǎng)絡平安檢測手段的重要補充,它是一種主動、實時、自動檢測入侵行為的工具和手段。Snort是國外的一個開放源代碼的入侵檢測系統(tǒng)。通過探討Snort技術(shù)原理,提出如何構(gòu)建入侵檢測系統(tǒng)的應用解決方案，并給出了該網(wǎng)絡監(jiān)控系統(tǒng)的結(jié)構(gòu)圖。

[關(guān)鍵詞]電子商務入侵檢測系統(tǒng)Snort網(wǎng)絡平安

電子商務中蘊藏著巨大的經(jīng)濟利益，因而平安問題也變得越來越突出。如何建立一個平安、便捷的電子商務應用環(huán)境，對信息提供足夠的保護，已經(jīng)成為電子商務的所有參與者十分關(guān)心的話題。電子商務效勞器都采用各種平安策略和平安保護手段，但大多數(shù)都是以靜態(tài)防護為主。以防火墻為主的靜態(tài)防護已經(jīng)不能滿足現(xiàn)在的要求，這有必要提出一種新的平安保護理念——-Win32.zip〔Windows版本的PHP腳本環(huán)境支持〕、JPGRAPH-2.0.tar.gz〔PHP下面的圖形庫〕、PHPMyAdmin-2.2.7-pl1-php3.zip〔基于PHP的Mysql數(shù)據(jù)庫管理程序〕。

二、Snort入侵檢測系統(tǒng)的安裝

系統(tǒng)安裝在Windows2000Server平臺上，安裝過程如下：

1.安裝snort2.8.exe與winPCAP：采用默認安裝。翻開C:\Snort\etc下的snort.conf文件〔可以使用記事本或是寫字板翻開〕。配置：varRULE_PATHc:/snort/rules、includec:\snort\etc\classification.config和includeC:\Snort\etc\reference.config

配置snort的輸出插件：

outputdatabase:alert,mysql,host=localhostport=3306dbname=snortuser=rootpassword=your_passwordsensor_name=nencoding=asciidetail=Full

2.安裝Mysql：安裝時可以選擇將Mysql安裝在c:\mysql5，采用默認安裝即可，之后設置Mysql為效勞方式運行，在命令提示符里面輸入：c:\mysql5\binmysqld-nt–install。啟動Mysql效勞：在命令提示符里輸入:netstartmysql或開始→設置→控制面板→管理工具→效勞→啟動“MYSQL〞效勞。

創(chuàng)立snort運行必須的snort庫和snort_archive庫：

mysqlusemysql;、mysqlcreatedatabasesnort;和mysqlcreatedatabasesnort_archive;

使用c:\snort\contrib目錄下的create_mysql腳本建立Snort運行必須的數(shù)據(jù)表：將C:\Snort\schemas下的create_mysql文件拷貝到C:\mysql5\bin目錄下后執(zhí)行：

mysqlsourcecreate_mysql

為Mysql建立Snort和ACID帳號：使ACID能正常訪問Mysql中與snort相關(guān)的數(shù)據(jù)文件：mysqlgrantusageon*.*to“acid〞@〞ocalhost〞identifiedby〞acidtest〞;和mysqlgrantusageon*.*to“snort〞@〞localhost〞identifiedby“snorttest’;

為acid用戶和snort用戶分配相關(guān)權(quán)限：

mysqlgrantselect,insert,update,delete,create,alteronsnort.*to“acid〞@〞localhost〞;

mysqlgrantselect,insertonsnort.*to“snort〞@〞localhost〞;

mysqlgrantselect,insert,update,delete,create,alteronsnort_archive.*to〞acid〞@〞localhost〞;

為acid擁護和snort擁護設置密碼：

mysqlsetpasswordfor“snort〞@〞localhost〞=password(‘yourpassword‘);

mysqlsetpasswordfor“acid〞@〞localhost〞=password(‘yourpassword’);

3.安裝APACHE：在安裝過程中選擇“ServiceforAllUsers〞選項，這樣會在Windows啟動的時候自動運行APACHE，并把APACHE效勞作為一個獨立與用戶登錄的效勞運行。在安裝時要注意，如果安裝了IIS并起用了webserver，由于IISWebServer的默認監(jiān)聽端口是80，會和APACHEWebServer沖突，為辟免沖突，將APACHE的監(jiān)聽端口配置成其他不常用端口，如1080。修改C:\apache\Apache2\conf文件夾下面的d.conf文件，修改Listen80為Listen1080。安裝apache后將它做為效勞方式運行，在命令提示符下輸入：C:\apache\apache2\binapahcekinstall。

4.安裝PHP5：安裝PHP5，并添加Apache對PHP的支持與PHP對Mysql的支持。解壓文件安裝PHP-5.1.1-Win32.zip到c:\php5?？截恜hp5ts.dll文件到c:\winnt\system\system32，拷貝php.ini-dist至c:\winnt\system\php.ini。將php.ini中的extension=php_gd2.dll、extension=php_mysql.dll錢的“#〞去掉，同時拷貝c:\php5\extension下的php_gd2.dll與php_mysql.dll至c:\winnt\system\。

添加gd庫的支持，在C:\apache\Apache2\conf\d.conf中添加LoadModulephp5_module“c:/php5/php5apache2.dll〞與AddTypeapplication/x-d-php.php。

啟動Apache效勞：開始→設置→控制面板→管理工具→效勞→啟動“Apache2〞效勞。在C:\apache\Apache2\htdocs目錄下新建webinf.php，文件內(nèi)容為：?，F(xiàn)在就可以使用://localhost:1080/webinf.php查看效勞器的PHP、Mysql、Aapche等配置信息。

5.ADODB、JPGRAPH、ACID的安裝：解壓縮ADODB456.zip至c:\php5\adodb目錄下；安裝安裝JPGRAPH庫：解壓縮jpgraph-2.0.tar.gz至c:\php5\jpgraph；安裝ACID：解壓縮ACID-0.9.6b23.tar.gz至c:\apache\apache2\htdocs\acid目錄下。修改acid_conf.php文件：

$DBlib_path=“c:\php5\adodb〞;、$alert_dbname=“snort〞;、$alert_host=“l(fā)ocalhost〞;、$alert_port=“3306〞;、$alert_user=“acid〞和$alert_password=“yourpassword〞;

/*ArchiveDBconnectionparameters*/

$archive_dbname=“snort_archive〞;、$archive_host=“l(fā)ocalhost〞;、$archive_port=“3306〞;、$archive_user=“acid〞;、$archive_password=“yourpassword〞;和$ChartLib_path=“c:\php5\jpgraph\src〞;

建立acid運行必須的數(shù)據(jù)庫：翻開://localhost:1080/acid/acid_db_setup.php，按照頁面上的提示操作既可。

到此，Snort入侵檢測系統(tǒng)已經(jīng)安裝完畢，運行snort檢測網(wǎng)絡數(shù)據(jù)包，并使用ACID監(jiān)視效勞器情況。系統(tǒng)安裝后，ACID主界面分類顯示數(shù)據(jù)庫中當前數(shù)據(jù)。主界面顯示信息包括：觸發(fā)平安規(guī)那么的網(wǎng)絡流量中各協(xié)議所占比例、警報數(shù)量、入侵主機和目標主機IP地址及端口號等。ACID控制還提供搜索功能，用戶可根據(jù)時間、IP地址、端口號、協(xié)議類型,以及數(shù)據(jù)凈荷〔payload〕等條件靈活組合，在入侵事件數(shù)據(jù)庫中進行查詢，以幫助網(wǎng)管員分析。

三、結(jié)語

隨著電子商務的興起，電子商務效勞器的平安問題已經(jīng)不能無視。本文介紹了一個Windows平臺下基于Snort的入侵檢測系統(tǒng)，它能很好的保護電子商務效勞器。為電子商務的美好未來，添上了濃墨重彩的一筆，使電子商務在更平安的環(huán)境下健康開展。

參考文獻:

[1]ThomasM.Chen．IntrusionDetectionforViruses