入侵检测护航电子商务

入侵检测护航电子商务〔作者:___________单位:___________:___________〕

[摘要]随着因特网的飞速开展，电子商务正得到越来越广泛的应用。电子商务的平安性是影响其成败的一个关键因素。入侵检测系统是传统被动方式的网络平安检测手段的重要补充,它是一种主动、实时、自动检测入侵行为的工具和手段。Snort是国外的一个开放源代码的入侵检测系统。通过探讨Snort技术原理,提出如何构建入侵检测系统的应用解决方案，并给出了该网络监控系统的结构图。

[关键词]电子商务入侵检测系统Snort网络平安

电子商务中蕴藏着巨大的经济利益，因而平安问题也变得越来越突出。如何建立一个平安、便捷的电子商务应用环境，对信息提供足够的保护，已经成为电子商务的所有参与者十分关心的话题。电子商务效劳器都采用各种平安策略和平安保护手段，但大多数都是以静态防护为主。以防火墙为主的静态防护已经不能满足现在的要求，这有必要提出一种新的平安保护理念——-Win32.zip〔Windows版本的PHP脚本环境支持〕、JPGRAPH-2.0.tar.gz〔PHP下面的图形库〕、PHPMyAdmin-2.2.7-pl1-php3.zip〔基于PHP的Mysql数据库管理程序〕。

二、Snort入侵检测系统的安装

系统安装在Windows2000Server平台上，安装过程如下：

1.安装snort2.8.exe与winPCAP：采用默认安装。翻开C:\Snort\etc下的snort.conf文件〔可以使用记事本或是写字板翻开〕。配置：varRULE_PATHc:/snort/rules、includec:\snort\etc\classification.config和includeC:\Snort\etc\reference.config

配置snort的输出插件：

outputdatabase:alert,mysql,host=localhostport=3306dbname=snortuser=rootpassword=your_passwordsensor_name=nencoding=asciidetail=Full

2.安装Mysql：安装时可以选择将Mysql安装在c:\mysql5，采用默认安装即可，之后设置Mysql为效劳方式运行，在命令提示符里面输入：c:\mysql5\binmysqld-nt–install。启动Mysql效劳：在命令提示符里输入:netstartmysql或开始→设置→控制面板→管理工具→效劳→启动“MYSQL〞效劳。

创立snort运行必须的snort库和snort_archive库：

mysqlusemysql;、mysqlcreatedatabasesnort;和mysqlcreatedatabasesnort_archive;

使用c:\snort\contrib目录下的create_mysql脚本建立Snort运行必须的数据表：将C:\Snort\schemas下的create_mysql文件拷贝到C:\mysql5\bin目录下后执行：

mysqlsourcecreate_mysql

为Mysql建立Snort和ACID帐号：使ACID能正常访问Mysql中与snort相关的数据文件：mysqlgrantusageon*.*to“acid〞@〞ocalhost〞identifiedby〞acidtest〞;和mysqlgrantusageon*.*to“snort〞@〞localhost〞identifiedby“snorttest’;

为acid用户和snort用户分配相关权限：

mysqlgrantselect,insert,update,delete,create,alteronsnort.*to“acid〞@〞localhost〞;

mysqlgrantselect,insertonsnort.*to“snort〞@〞localhost〞;

mysqlgrantselect,insert,update,delete,create,alteronsnort_archive.*to〞acid〞@〞localhost〞;

为acid拥护和snort拥护设置密码：

mysqlsetpasswordfor“snort〞@〞localhost〞=password(‘yourpassword‘);

mysqlsetpasswordfor“acid〞@〞localhost〞=password(‘yourpassword’);

3.安装APACHE：在安装过程中选择“ServiceforAllUsers〞选项，这样会在Windows启动的时候自动运行APACHE，并把APACHE效劳作为一个独立与用户登录的效劳运行。在安装时要注意，如果安装了IIS并起用了webserver，由于IISWebServer的默认监听端口是80，会和APACHEWebServer冲突，为辟免冲突，将APACHE的监听端口配置成其他不常用端口，如1080。修改C:\apache\Apache2\conf文件夹下面的d.conf文件，修改Listen80为Listen1080。安装apache后将它做为效劳方式运行，在命令提示符下输入：C:\apache\apache2\binapahcekinstall。

4.安装PHP5：安装PHP5，并添加Apache对PHP的支持与PHP对Mysql的支持。解压文件安装PHP-5.1.1-Win32.zip到c:\php5。拷贝php5ts.dll文件到c:\winnt\system\system32，拷贝php.ini-dist至c:\winnt\system\php.ini。将php.ini中的extension=php_gd2.dll、extension=php_mysql.dll钱的“#〞去掉，同时拷贝c:\php5\extension下的php_gd2.dll与php_mysql.dll至c:\winnt\system\。

添加gd库的支持，在C:\apache\Apache2\conf\d.conf中添加LoadModulephp5_module“c:/php5/php5apache2.dll〞与AddTypeapplication/x-d-php.php。

启动Apache效劳：开始→设置→控制面板→管理工具→效劳→启动“Apache2〞效劳。在C:\apache\Apache2\htdocs目录下新建webinf.php，文件内容为：。现在就可以使用://localhost:1080/webinf.php查看效劳器的PHP、Mysql、Aapche等配置信息。

5.ADODB、JPGRAPH、ACID的安装：解压缩ADODB456.zip至c:\php5\adodb目录下；安装安装JPGRAPH库：解压缩jpgraph-2.0.tar.gz至c:\php5\jpgraph；安装ACID：解压缩ACID-0.9.6b23.tar.gz至c:\apache\apache2\htdocs\acid目录下。修改acid_conf.php文件：

$DBlib_path=“c:\php5\adodb〞;、$alert_dbname=“snort〞;、$alert_host=“localhost〞;、$alert_port=“3306〞;、$alert_user=“acid〞和$alert_password=“yourpassword〞;

/*ArchiveDBconnectionparameters*/

$archive_dbname=“snort_archive〞;、$archive_host=“localhost〞;、$archive_port=“3306〞;、$archive_user=“acid〞;、$archive_password=“yourpassword〞;和$ChartLib_path=“c:\php5\jpgraph\src〞;

建立acid运行必须的数据库：翻开://localhost:1080/acid/acid_db_setup.php，按照页面上的提示操作既可。

到此，Snort入侵检测系统已经安装完毕，运行snort检测网络数据包，并使用ACID监视效劳器情况。系统安装后，ACID主界面分类显示数据库中当前数据。主界面显示信息包括：触发平安规那么的网络流量中各协议所占比例、警报数量、入侵主机和目标主机IP地址及端口号等。ACID控制还提供搜索功能，用户可根据时间、IP地址、端口号、协议类型,以及数据净荷〔payload〕等条件灵活组合，在入侵事件数据库中进行查询，以帮助网管员分析。

三、结语

随着电子商务的兴起，电子商务效劳器的平安问题已经不能无视。本文介绍了一个Windows平台下基于Snort的入侵检测系统，它能很好的保护电子商务效劳器。为电子商务的美好未来，添上了浓墨重彩的一笔，使电子商务在更平安的环境下健康开展。

参考文献:

[1]ThomasM.Chen．IntrusionDetectionforViruses