网络安全小白之路——阿里云课程（入侵检测系统IDS）

本人是一个网络安全小白，最近开始从阿里云课程学习，这是我的第一篇博客，我也是因为进行了入侵检测系统实验后心血来潮，十分想写一篇博客来进行总结，废话不多说下面进入正题
入侵检测系统又叫IDS，从形态上它分为硬件和软件，软件的话一般多使用Snort监测软件加上一些其他的组件对网络攻击行为进行监测。从系统类型它又可以分为主机监测（HIDS）和网络监测（NIDS），从原理上可分为异常入侵检测和误用入侵检测，异常入侵检测顾名思义就是通过异常行为来监测，而误用入侵监测则是多方面的根据行为，攻击手段，通过与自身知识库的匹配来“推断”出是否有攻击行为。
IDS入侵检测系统相较于防火墙的优势是，防火墙只能通过一定规则来防止外部的入侵行为，在规则设定不当的时候有可能使正常服务器连接“掉线”，而入侵检测系统则可以放外也可以防内，从而更全面的的监测到黑客行为，进而实行相应紧急措施。
接下来简单讲解一下Snort软件的搭建，这是一款开源免费的软件，但是IDS所需要用的规则库则需要在其官网上购买（因为规则制定起来很麻烦，而且制定不当可能会有其他问题产生，故建议直接购买）。搭建Snort环境需要Php（用于网页），WinPcap（用于抓包）， apache（网站程序），BASE（图形化显示监测信息），mysql（数据库），Adodb（连接Php和sql数据库），Jpgraph（Php环境下图形化分析），ACID(基于php的入侵监测分析控制台)。ps：建议安装phpstudy，里面一步安装mysql，apache，php三个套件。
首先需要建立两个数据库，分别是snort和snort_archive
图借用的是阿里云实验用图，先登录sql服务器，默认用户名密码都是root，然后用create语句进行数据库的创建

然后在MySQL\bin目录下，按住shift加鼠标右键，启用命令行，将Snort\schemas下的create_mysql分别导入进我们之前创立的 两个库当中
退出，重新登陆进mysql

创立base和snort用户

为这两个用户分配权限，因为是两个用户两个库，故语句对应有四句，具体参照图

找到Snort目录下的snort.conf文档

进行编辑，各位要根据实际自己安装的路径进行修改，本图只是作为一个参考

BASE的安装，我们把BASE解压，复制粘贴到一开始Phpstudy的php程序对应的www安装目录下，然后打开浏览器，输入localhost，进行相应配置
配置前需要将Adodb组件解压至phpstudy下PHP5目录
然后配置第一步，在PATH TO ADODB下我们复制粘贴刚刚Adodb安装的目录

数据库信息就是填我们之前创立的那两个账户和密码
第三步是填BASE的认证信息和用户名，自己设定用户名和密码

如果出现了警告信息，就去它对应目录下，用NotePAD++打开对应文件，进行错误的查找，这里阿里云教程中的错误是没有启用邮箱功能却在配置文件上启用，所以我们在这两条语句上加上#号进行注释。
无报错信息后点击右边的Create db
这时候就会显示出BASE图形化监测页面了

最后一步我们就只用到Snort\bin目录下用命令行启用snort.exe ,


-l后面跟日志存放路径（一般打开来都是乱码），-c跟的是Config文件

Snort环境就这样搭建好了，大家也可以试着用一些UDP工具或简单地Ping地址来验证Snort是否启用成功