3.2.4.2. Cài đặt Snort với Barnyard2
Barnyard2 [8] được viết nhằm mục đích đảm nhận các tác vụ xử lý xuất để Snort có thể dành nhiều tài nguyên hơn cho việc xử lý các gói tin. Nó phụ trách phân tích và xử lý các log/alert unified2 của Snort và gửi chúng tới cơ sở dữ liệu. Barnyard2 chạy độc lập với Snort, nó khơng cần phải phân tích và xử lý các log/alert trong thời gian thực, có nghĩa là cùng một lúc Snort tạo ra chúng Barnyard2 chỉ cần theo dõi có bao nhiêu log/alert trong một thời gian nhất định.
Phiên bản hiện tại của Barnyard2-1.8 có những tính năng sau: Phân tích các gói tin unified2.
Sử dụng cú pháp cấu hình tương tự như của Snort để đơn giản hóa việc triển khai.Hỗ trợ tất cả các plugin đầu ra của Snort( trừ alert_sf_socket) .
3.2.4.3. Cài đặt Snort với Base
Basic Analysis and Security Engine (BASE) [8] là trong những cơng cụ phân tích và kiểm duyệt dữ liệu. BASE dựa trên những đoạn mã viết bằng ngôn ngữ PHP, cung cấp giao diện giữa một trình suyệt Web (Web Browser) và cơ sở dữ liệu Snort (như MySQL).
BASE cung cấp những tính năng sau:
Một giao diện (interface) dùng tìm kiếm cơ sở dữ liệu và xây dụng bảng truy vấn. Việc tìm kiếm có thể được thực hiện bởi những tham số chẳng hạn như địa chỉ IP của attacker hay những sự kiện như thời gian, ngày tháng hay những luật “ bẫy ” được.
Một trình duyệt gói tin, gói tin bắt được và giải mã thông tin ở lớp 3, 4 sẽ được hiện thị cụ thể.
Khả năng quản lý dữ liệu bao gồm nhóm những cảnh báo (nhóm những sự kiện liên quan tới xâm nhập ), xóa cảnh báo hay kết xuất thông điệp đến hộp thư điện tử (e-mail).
Minh họa bẳng đồ thị và trạng thái. BASE hồn tồn miễn phí.
3.3. Thử nghiệm một số kịch bản phát hiện xâm nhập
3.3.1. Mơ hình thử nghiệm
Mơ hình thử nghiệm phát hiện xâm nhập được minh họa trên hình 3.7. Trong đó, Snort giám sát toàn bộ lưu lượng mạng đi đến máy chủ để phát hiện các hành vi xâm nhập. Luận văn xây dựng 2 kịch bản phát hiện các hành vi xâm nhập và cung cấp một số kết quả bước đầu.