入侵檢測護航電子商務

[摘要] 隨著因特網的飛速發展，電子商務正得到越來越廣泛的應用。電子商務的安全性是影響其成敗的一個關鍵因素。入侵檢測系統是傳統被動方式的網絡安全檢測手段的重要補充，它是一種主動、實時、自動檢測入侵行為的工具和手段。Snort是國外的一個開放源代碼的入侵檢測系統。通過探討Snort技術原理，提出如何構建入侵檢測系統的應用解決方案，并給出了該網絡監控系統的結構圖。

[關鍵詞] 電子商務 入侵檢測系統 Snort 網絡安全

電子商務中蘊藏著巨大的經濟利益，因而安全問題也變得越來越突出。如何建立一個安全、便捷的電子商務應用環境，對信息提供足夠的保護，已經成為電子商務的所有參與者十分關心的話題。電子商務服務器都采用各種安全策略和安全保護手段，但大多數都是以靜態防護為主。以防火墻為主的靜態防護已經不能滿足現在的要求，這有必要提出一種新的安全保護理念——網絡入侵檢測技術在電子商務中的應用。

一、入侵檢測系統的實現

根據對網絡入侵檢測的研究，我們決定采用Snort來構建一個入侵檢測系統。Snort是一個用C語言編寫的免費開放源代碼軟件。Snort是一個跨平臺、輕量級、功能強大的網絡入侵檢測系統。Snort可以被設置為三種主要的工作模式：嗅探器（sniffer）模式、包記錄器（packet logger）模式和網絡入侵檢測系統（network intrusion detection system，NIDS）模式。嗅探器模式中，Snort簡單的從網絡中讀取數據包，并且以連續流的形式在控制臺（console）上顯示出來。包記錄器模式將數據包存入磁盤。網絡入侵檢測模式有最復雜的結構，同時它的配置也是最多樣化的。在這個工作模式下，Snort可以分析網絡數據流，監視其中的數據是否和用戶定義的規則（rule）相符，并且根據比較結果做出相應的動作（action）。

我們根據CIDF提出的通用模型的基礎了，構建了基于Windows平臺的Snort入侵檢測系統，系統結構如圖所示。

根據圖所示的結構，要完成這個Snort入侵檢測系統，我們需要如下組件：Winpcap4.1（Windows版本的Pcap）、Snort2.8（目前是最新的版本）、Mysql-5.0.16-win32.zip（Windows版本的Mysql數據庫服務器）、ACID-0.9.6b23.tar.gz（基于php的入侵檢測數據庫分析控制臺）、ADODB465.tgz（ADODB（Active Data Objects Data Base）庫for PHP）、APACHE_2055-win32.msi（Windows版本的APACHE Web服務器）、PHP-5.1.1-Win32.zip（Windows版本的PHP腳本環境支持）、JPGRAPH-2.0.tar.gz（PHP下面的圖形庫）、PHPMyAdmin-2.2.7-pl1-php3.zip（基于PHP的Mysql數據庫管理程序）。

二、Snort入侵檢測系統的安裝

系統安裝在Windows 2000 Server平臺上，安裝過程如下：

1.安裝snort2.8.exe與winPCAP：采用默認安裝。打開C:\\Snort\\etc下的snort.conf文件（可以使用記事本或是寫字板打開）。配置：var RULE_PATH c:/snort/rules、include c:\\snort\\etc\\classification.config和include C:\\Snort\\etc\\reference.config

配置snort的輸出插件：

output database: alert， mysql， host=localhost port=3306 dbname=snort user=root password=your_password sensor_name=n encoding=ascii detail=Full

2.安裝Mysql：安裝時可以選擇將Mysql安裝在c:\\mysql5，采用默認安裝即可，之后設置Mysql為服務方式運行，在命令提示符里面輸入：c:\\mysql5\\bin>mysqld-nt –install。啟動Mysql服務：在命令提示符里輸入:net start mysql 或開始→設置→控制面板→管理工具→服務→啟動“MYSQL”服務。

創建snort 運行必須的snort庫和snort_archive庫：

mysql>use mysql;、mysql>create database snort;和mysql>create database snort_archive;

使用c:\\snort\\contrib 目錄下的create_mysql 腳本建立Snort 運行必須的數據表：將C:\\Snort\\schemas下的create_mysql文件拷貝到C:\\mysql5\\bin目錄下后執行：

mysql>source create_mysql

為Mysql 建立Snort 和ACID帳號：使ACID能正常訪問Mysql中與snort相關的數據文件：mysql> grant usage on *.* to “acid”@”ocalhost” identified by”acidtest”;和mysql> grant usage on *.* to “snort”@”localhost” identified by “snorttest’;

為acid 用戶和snort 用戶分配相關權限：

mysql> grant select，insert，update，delete，create，alter on snort.* to“acid”@”localhost”;

mysql> grant select，insert on snort .* to “snort”@”localhost”;

mysql> grant select，insert，update，delete，create，alter on snort_archive .* to >”acid”@”localhost”;

為acid擁護和snort 擁護設置密碼：

mysql>set password for “snort”@”localhost” = password(‘your password‘);

mysql>set password for“acid”@”localhost”=password(‘your password’);

3.安裝APACHE：在安裝過程中選擇“Service for All Users”選項，這樣會在Windows啟動的時候自動運行APACHE，并把APACHE服務作為一個獨立與用戶登錄的服務運行。在安裝時要注意，如果安裝了IIS并起用了web server ，由于IIS Web Server的默認監聽端口是80，會和APACHE Web Server沖突，為辟免沖突，將APACHE的監聽端口配置成其他不常用端口，如1080。修改C:\\apache\\Apache2\\conf文件夾下面的httpd.conf文件，修改Listen 80為Listen 1080。安裝apache后將它做為服務方式運行，在命令提示符下輸入：C:\\apache\\apache2\\bin>apahce kinstall。

4.安裝PHP5：安裝PHP5，并添加Apache對PHP的支持與PHP對Mysql的支持。解壓文件安裝PHP-5.1.1-Win32.zip到c:\\php5?？截恜hp5ts.dll文件到c:\\winnt\\system\\system32，拷貝php.ini-dist 至c:\\winnt\\system\\php.ini。將php.ini中的extension=php_gd2.dll、extension=php_mysql.dll錢的“#”去掉，同時拷貝c:\\php5\\extension下的php_gd2.dll與php_mysql.dll至c:\\winnt\\system\\。

添加gd庫的支持，在C:\\apache\\Apache2\\conf\\httpd.conf中添加LoadModule php5_module “c:/php5/php5apache2.dll”與AddType application/x-httpd-php .php。

啟動Apache服務：開始→設置→控制面板→管理工具→服務→啟動“Apache2”服務 。在C:\\apache\\Apache2\\htdocs目錄下新建webinf.php，文件內容為： ?，F在就可以使用http://localhost:1080/webinf.php查看服務器的PHP、Mysql、Aapche等配置信息。

5.ADODB、JPGRAPH、ACID的安裝：解壓縮ADODB456.zip 至c:\\php5\\adodb 目錄下；安裝安裝JPGRAPH庫：解壓縮jpgraph-2.0.tar.gz 至c:\\php5\\jpgraph；安裝ACID：解壓縮ACID-0.9.6b23.tar.gz 至c:\\apache\\apache2\\htdocs\\acid 目錄下。修改acid_conf.php 文件 ：

$DBlib_path = “c:\\php5\\adodb”;、$alert_dbname = “snort”;、$alert_host = “localhost”; 、$alert_port = “3306”;、$alert_user =“acid”和$alert_password = “your password”;

/* Archive DB connection parameters */

$archive_dbname = “snort_archive”;、$archive_host = “localhost”;、$archive_port = “3306”; 、$archive_user = “acid”;、$archive_password = “your password”;和$ChartLib_path = “c:\\php5\\jpgraph\\src”;

建立acid 運行必須的數據庫：打開http://localhost:1080/acid/acid_db_setup.php，按照頁面上的提示操作既可。

到此，Snort入侵檢測系統已經安裝完畢，運行snort檢測網絡數據包，并使用ACID 監視服務器情況。系統安裝后，ACID主界面分類顯示數據庫中當前數據。主界面顯示信息包括：觸發安全規則的網絡流量中各協議所占比例、警報數量、入侵主機和目標主機IP地址及端口號等。ACID 控制還提供搜索功能，用戶可根據時間、IP地址、端口號、協議類型，以及數據凈荷（payload）等條件靈活組合，在入侵事件數據庫中進行查詢，以幫助網管員分析。

三、結語

隨著電子商務的興起，電子商務服務器的安全問題已經不能忽視。本文介紹了一個Windows平臺下基于Snort的入侵檢測系統，它能很好的保護電子商務服務器。為電子商務的美好未來，添上了濃墨重彩的一筆，使電子商務在更安全的環境下健康發展。

參考文獻:

[1]Thomas M.Chen．Intrusion Detection for Viruses and Worms[J]．Dept ofElectrical Engineering Southern Methodist University，2004

[2]唐正軍李繼華編著:入侵檢測技術[M]．2001-05

[3]CIDF working group The Common Intrusion Detection Framework Architecture[EB/OL]．http://www.Gidos.org/