BIONS -believe it or not , snort-
Last Update : 2004/07/10
Last Release : Ver 0.3a
はじめに
BIONS -believe it or not , snort-(以下BIONS)は、オープンソースの IDS である Snort (http://www.snort.org/) のアラートログを1日/1週間/1ヶ月/1年単位で グラフ化し、Web ブラウザに表示するツールです。
また、過去24時間のアラートの回数をシグネイチャ別にカウントし表示します。
BIONS は、当初 ACID (http://acidlab.sourceforge.net/)の Graph Alert data を補うプラグインという形で作っていましたが、ACID に依存しない形で作り直したものです。 ACID / pigeye (http://sourceforge.net/projects/char-siu/) を参考にしています。
ライセンス
BIONS は GNU GPL に準拠したフリーソフトウェアです。GPL に従い、改変および 再配布が可能です。
必要環境
- Snort (http://www.snort.org/)
-
outputプラグインとして、MySQL か PostgreSQLを使用
- PHP (http://www.php.net/)
-
ソースからインストールする場合は、./configure のオプションに、 --with-gd が必要です。
また、RDBMS を利用する為、mysql か postgresql を使用するオプションが必要です。
詳しくは、 <?php phpinfo(); ?> 等で確認して下さい。
- Pear DB (http://pear.php.net/)
-
DB接続のクラスライブラリとして、Pear の DB クラスを使用しています。
- jpgraph (http://www.aditus.nu/jpgraph/)
-
PHP で、グラフを作成するクラスライブラリです。
- GD (http://www.boutell.com/gd/)
-
GD は、画像を作成するライブラリです。
- MySQL (http://www.mysql.com/)
- PostgreSQL (http://www.postgresql.org/)
インストール
Snort がインストールされ、データベースに正常に出力されている事を前提に インストール方法を説明します。
Web にて閲覧可能なディレクトリに、BIONSを展開します。
$ tar xvzf bions-x.x.tar.gz
jpgraph-1.xx.tar.gz を、適当なディレクトリに展開します。
$ cd bions-x.x
$ tar xvzf ../jpgraph-1.xx.tar.gz
設定
BIONSの設定ファイル(bions_conf.php)を編集します。
- データベース関連の設定
-
- DB_TYPE
- PostgreSQL = pgsql , MySQL = mysql
-
- DB_SYNT
- データベース関連構文、通常は空白""で問題ありません。
-
- DB_PROT
- DBへの接続方法 tcp/unix/unix()/unix(unixドメインソケットのパス)
-
- DB_HOST
- DBが稼動しているサーバのアドレス(localhost:3306)等、unixドメインソケット接続の場合は空白
-
- DB_NAME
- データベース名
-
- DB_USER
- データベースへ接続する際のユーザ名
-
- DB_PASS
- データベースへ接続する際のパスワード(設定してない場合は、"")
-
- DB_OPTS
- データベースへ接続するオプション、通常は空白""で問題ありません。
- jpgraph のインストールパス
-
- JPGRAPH_PATH
- jpgraph.php が存在するパス
- センサー
-
- SENSORS
- 非固定IPで運用されている場合は、Sensorsが複数表示されます。その場合は、"false"に設定すると、合計値のみを表示します。 また、snort.confのoutputプラグイン設定を
output database: alert, postgresql, user=snort dbname=snort sensor_name=sensor1
とする事でも可能です。
ダウンロード
最新版はVer 0.3aです
- bions-0.3a.tar.gz (*2)
- MD5チェックサム : 53b29c710cc81ce7a786d2907cea30ee
- ファイルサイズ : 16656byte
- bions-0.3.tar.gz (*1)
- MD5チェックサム : 4a1582f14b41a5c959b4619705d2b177
- ファイルサイズ : 15261byte
- bions-0.2.tar.gz (*2)
- MD5チェックサム : eb6491153df019851786cb9ee25b69f8
- ファイルサイズ : 14532byte
- bions-0.1a.tar.gz (*1)
- MD5チェックサム : fb3e2b106b4267049caa2f5ae396489b
- ファイルサイズ : 14532byte
- bions-0.1.tar.gz
- MD5チェックサム : e180772f0bcc770b818ab6a8f620219f
- ファイルサイズ : 14325byte
(*1)bions_conf.php ファイルは、1つ前のバージョンより変更の必要がありません。
(*2)bions_conf.php ファイルは、1つ前のバージョンより変更が必要です。
更新履歴
Ver 0.3a
- 重大なバグを修正(リモートの DB へ接続出来ない不具合)
- BionsCommon クラスのコンストラクタ追加
Ver 0.3
- 過去に戻れる機能を追加
- アラートリストをDBから得る際の処理の改善
Ver 0.2
- dsnの指定を配列に変更
- センサー毎のアラート表示時のアラートリスト(下の表)は、当該センサーのみの表示に変更、及びカウント数順に並び替え
- DB関連のエラーメッセージの表示に、getDebugInfo() を追加
- 暫定的に、時間指定機能を追加。URLの引数に、index.php?time=1074178800とすると表示(epoch)
Ver 0.1a
Ver 0.1
動作サンプル
動作サンプルです。
こちらは、実際の Snort にて出力させたデータを元に、BIONS と PostgreSQL にて動かしています。
フィードバック
BIONSについての、ご意見・ご要望・バグレポートは、 Ryo Nakano <ryo@ryonkn.com> までお願いします。