用互联网上免费可得的开放源代码软件实现一个完整的网络入侵检测系统的过程。 二、 系统概述 本系统采用三层分布式体系结构:网络入侵探测器、入侵事件数据库和基于Web的分析控制台。为了避免不必要的网络流量,本例将网络入侵探测器和入侵事件数据库整合在一台主机中,用标准浏览器异地访问主机上的Web服务器作为分析控制台,两者之间的通信采用HTTPS安全加密协议传输。 由于实现本系统所需的软件较多,有必要在此进行简要的说明: Snort 功能简述:网络入侵探测器; 正式网址:http://www.snort.org/ 软件版本:1.8.6 Libpcap 功能简述:Snort所依赖的网络抓包库; 正式网址:http://www.tcpdump.org/ 软件版本:0.7.1 MySQL 功能简述:入侵事件数据库; 正式网址:http://www.mysql.org/ 软件版本:3.23.49 Apache 功能简述:Web服务器; 正式网址:http://www.apache.org/ 软件版本:1.3.24 Mod_ssl 功能简述:为Apache提供SSL加密功能的模块; 正式网址:http://www.modssl.org/ 软件版本:2.8.8 OpenSSL 功能简述:开放源代码的SSL加密库,为mod_ssl所依赖; 正式网址:http://www.openssl.org/ 软件版本:0.9.6d MM 功能简述:为Apache的模块提供共享内存服务; 正式网址:http://www.engelschall.com/sw/mm/ 软件版本:1.1.3 PHP 功能简述:ACID的实现语言; 正式网址:http://www.php.net/ 软件版本:4.0.6 GD 功能简述:被PHP用来即时生成PNG和JPG图像的库; 正式网址:http://www.boutell.com/gd/ 软件版本:1.8.4 ACID 功能简述:基于Web的入侵事件数据库分析控制台; 正式网址:http://www.cert.org/kb/aircert/ 软件版本:0.9.6b21 ADODB 功能简述:为ACID提供便捷的数据库接口; 正式网址:http://php.weblogs.com/ADODB 软件版本:2.00 PHPlot 功能简述:ACID所依赖的制图库; 正式网址:http://www.phplot.com/ 软件版本:4.4.6 上述软件都是开源软件,可以直接登录相应软件的正式网站,下载源代码。此外,需要特别说明的一点是虽然本例中网络入侵检测系统所采用的系统平台是Solaris 8 for Intel Platform,但是在其它种类的系统平台上,如Linux 、OpenBSD以及Windows 2000等,其具体的实现步骤大同小异,因此就不在另行说明了。