一、部署IDS***检测系统所需软件:
 
acid-0.9.6b23.tar.gz
基于 php 的***检测数据库分析控制台
http://www.cert.org/kb/acid
adodb465.zip
ADOdb Active Data Objects Data Base )库 for PHP
http://prdownloads.sourceforge.net/a dodb/
apache_2.2.2-win32-x86- no_ssl.msi
Windows 版本的 Apache Web 服务器
http://mirror.vmmatrix.net/apache
jpgraph-1.20.4a.tar.gz
面向对象的图形库 for PHP
http://www.aditus.nu/jpgraph
mysql-5.0.22-win32.zip
Windows 版本的 Mysql 数据库服务器
http://dev.mysql.com/
php-5.1.6-Win32.zip
Windows 版本的 php 脚本
http://www.php.net/
snort_2_6_0_Installer.exe
Windows 版本的 Snort 安装包
http://www.snort.org/
WinPcap_3_1.exe
网络数据包截取驱动程序
二、安装步骤:

计划把所有的软件包安装到 c:\

1、 安装 apache

指定安装目录 c:\apache   
2、安 php

解压缩 php c:\php5 文件夹

复制 php5ts.dll 文件到  c:\windows\system32 文件夹

复制 php.ini-dist  c:\windows 下并重命名为 php.ini
在apache2\conf\httpd.conf文件中添加:
    LoadModule  php5_module  "c:/php5/php5apache2.dll"
    AddType  application/x-httpd-php .php
新版本的写法:loadmodule php5_module c:/php5/php5apache2_2.dll。
3、打PHP的补丁
解压缩php5apache2.dll-php5.1.x.zip到C:\php5apache2.dll-php5.1.x目录
将C:\php5apache2.dll-php5.1.x目录下的php5apache2.dll文件拷贝到c:\php5目录下
将C:\php5apache2.dll-php5.1.x.目录下的httpd.exe.manifest文件拷贝到c:\apache\bin目录下
运行C:\php5apache2.dll-php5.1.x目录下的vcredist_x86.exe文件
4、 修改 c:\widows\php.ini 文件 , extension=php_gd2.dll 前的分号
5将C:\php5\ext\php_gd2.dll拷贝c:\windows目录
6 c:\apache\htdocs 文件夹下编写 test.php 文件内容为 <?phpinfo () ; ?>
测试方法:
    重启apache
 打开浏览器输入 如果浏览到了 php http://lcoalhsot/test.php.的信息则说明一切正常, 注意:如果 test.php 文件出现下载提示,原因是 addtype 的那句话有错误,检查修改就可以了
7、 安装 winpcap

采取默认值即可   

8、 安装 snort 并指定路径为 c:\snort 文件夹  

9、 测试 snort 安装是否正确

C:\snort\snort\bin\snort.exe –W,如果安装 snort成功会出现一个可爱的小猪,
10、 安装 mysql

指定路径为 c:\mysql

11、 创建 snort 数据库的表

复制 c:\snort\schames 文件夹下的 create_mysql 文件到 c:\mysql\bin 文件夹下

打开 mysql 的的客户端执行如下命令

mysql> Create database snort;

mysql> Create database snort_archive;

mysql> Use snort;

mysql> Source create_mysql;
mysql> show tables;

mysql> Use snort_archive;

mysql> Source create_mysql;
mysql> show tables;

建立acid 和snort 用户
mysql> grant usage on *.* to "acid"@"localhost" identified by "acidtest";
mysql> grant usage on *.* to "snort"@localhost" identified by "snorttest";

mysql> grant select,insert,update,delete,create,alter on snort .* to "acid"@"localhost"; 
mysql> grant select,insert,update,delete,create,alter on snort_archive .* to "acid"@"localhost";
mysql> grant select,insert,update,delete,create,alter on snort .* to "snort"@"localhost";
mysql> grant select,insert,update,delete,create,alter on snort_archive .* to "acid"@"localhost";

12、 加入 php mysql 的支持:

修改 c:\windows\php.ini 文件去掉  extension=php_mysql.dll 前的分号。

复制c:\php5\ext 文件夹下的 php_mysql.dll 文件到 c:\windows 文件夹。

复制c:\php5\libmysql.dll文件到c:\windows\system32下
13、 安装 adodb

解压缩 adodb c:\php5\adodb 文件夹下。   

14、 安装 jgraph

解压缩 jpgraph c:\php5\jpgraph 文件夹下。   

15、 安装 acid

解压缩 acid c\apache\htdocs\acid 文件夹下

修改 acid_conf.php 文件
$DBlib_path = "c:\php5\adodb";
$alert_dbname   = "snort";
$alert_host     = "localhost";
$alert_port     = "3306";
$alert_user     = "snort";
$alert_password = "snorttest";
/* Archive DB connection parameters */
$archive_dbname   = "snort_archive";
$archive_host     = "localhost";
$archive_port     = "3306";
$archive_user     = "acid";
$archive_password = "acidtest";
$ChartLib_path = "c:\php5\jpgraph\src";
 
16、 在浏览器中初始化 acid 数据库:
在打开页面中点取“Create ACID AG”按钮,让系统自动在mysql中建立acid 运行必须的数据库
17、简单的snort配置,打开c:\Snort\etc下的snort.conf文件,将下列各行修改如下:
dynamicengine c:\Snort\lib\snort_dynamicengine\sf_engine.dll
dynamicpreprocessor directory c:\Snort\lib\snort_dynamicpreprocessor
var RULE_PATH c:/snort/rules
include c:\snort\etc\classification.config
include c:\Snort\etc\reference.config
修改snort.conf里的dynamicpreprocessor directory c:\Snort\lib\snort_dynamicpreprocessor时,将dynamicpreprocessor file /usr/local/lib/snort_dynamicpreprocessor/libsf_dcerpc_preproc.so
dynamicpreprocessor file /usr/local/lib/snort_dynamicpreprocessor/libsf_dns_preproc.so
dynamicpreprocessor file /usr/local/lib/snort_dynamicpreprocessor/libsf_ftptelnet_preproc.so
dynamicpreprocessor file /usr/local/lib/snort_dynamicpreprocessor/libsf_smtp_preproc.so
dynamicpreprocessor file /usr/local/lib/snort_dynamicpreprocessor/libsf_ssh_preproc.so
改为:
dynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_dcerpc.dll
dynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_dns.dll
dynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_ftptelnet.dll
dynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_smtp.dll
dynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_ssh.dllhttp://localhost/acid/acid_db_setup.php
配置snort的输出插件, 打开c:\Snort\etc下的snort.conf文件,添加如下行:
output database: alert, Mysql, host=localhost port=3306 dbname=snort user=root password=111111  encoding=hex detail=Full
# }
(注意:如果mysql和snort不在同一台服务器上,要将“localhost”改为具体的mysql服务器的ip地址)
18、 为Snort添加响应规则,或配置Snort的规则,也可以从Internet下载已有的规则,
本实例是通过现有的规则包——snortrules-snapshot-CURRENT.tar解压到c:\snort相应目录来实现的(规则需要注册才可以下载)
19、 启动 snort ***检测

c:\>snort –c c:\snort\etc\snort.conf –l c:\snort\log –devX
-X 参数用于在数据链接层记录raw packet 数据
-d 参数记录应用层的数据
-e 参数显示/记录第二层报文头数据
-c 参数用以指定snort 的配置文件的路径
-i 参数指定监视的网络适配器的编号
20、如果出现以下 错误

ERROR: Unable to open rules file: ../rules/local.rules or c:\snort\etc\../rules/local.rules

Fatal Error, Quitting..

处理方法 规则包还没有安装

21、再次 行20项命令,出现如下错误:

Loading dynamic engine /usr/local/lib/snort_dynamicengine/libsf_engine.so... ERROR: Failed to load /usr/local/lib/snort_dynamicengine/libsf_engine.so: 126

Fatal Error, Quitting..

处理方法 : snort 的配置文件中指定 libsf_engine. 的路径和文件名

Loading dynamic preprocessor library /usr/local/lib/snort_dynamicpreprocessor/libsf_dcerpc_preproc.so... ERROR: Failed to load /usr/local/lib/snort_dynamicpreprocessor/libsf_dcerpc_preproc.so: 126

处理方法 snort 的配置文件中指定 libsf_dcerpc_prepro 的路径和文件名
修改以上错误后再次运行C:\snort\bin\snort.exe –c “c:\snort\etc\snort.conf” –l “c:\snort\log” –d -e –X  -v -i 2
2为网卡的编号。
此时会出现:Not Using PCAP_FRAMES

关闭snort运行程序,输入:Set PCAP_FRAMES=MAX ,snort -W保存配置。
再次运行: C:\snort\bin\snort.exe –c “c:\snort\etc\snort.conf” –l “c:\snort\log” –d -e –X -v i 2
此时会出现:using PCAP_FRAMES即可
23、运行扫描软件X-Scan 查看统计数据