怎么做IDS,入侵检测

最新推荐文章于 2024-08-28 19:10:41 发布
原创 最新推荐文章于 2024-08-28 19:10:41 发布 · 707 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#IDS入侵检测

要在Linux系统上实现入侵检测系统(IDS),您可以选择许多开源或商业工具。以下是使用开源工具Snort和Suricata来实施入侵检测系统的详细步骤:

选择IDS工具

1. Snort

Snort是一款流行的开源网络入侵检测和防御系统(IDS/IPS)。

2. Suricata

Suricata是另一个开源网络威胁检测引擎,提供强大的入侵检测和防御功能。

以下是安装和配置Snort和Suricata的步骤。

使用Snort进行IDS

1. 安装Snort

首先,确保您的系统已更新:

sudo yum update -y

安装依赖:

sudo yum install -y epel-release
sudo yum install -y gcc flex bison zlib libpcap pcre libdnet tcpdump libdnet-devel libpcap-devel pcre-devel

下载并安装DAQ:

wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz
tar -xvzf daq-2.0.6.tar.gz
cd daq-2.0.6
./configure && make && sudo make install
cd ..

下载并安装Snort:

wget https://www.snort.org/downloads/snort/snort-2.9.20.tar.gz
tar -xvzf snort-2.9.20.tar.gz
cd snort-2.9.20
./configure && make && sudo make install
cd ..
2. 配置Snort

创建必要的目录:

sudo mkdir /etc/snort
sudo mkdir /etc/snort/rules
sudo mkdir /var/log/snort
sudo mkdir /usr/local/lib/snort_dynamicrules

复制配置文件:

sudo cp etc/*.conf* /etc/snort/
sudo cp etc/*.map /etc/snort/
sudo cp etc/*.dtd /etc/snort/

编辑主配置文件 /etc/snort/snort.conf,根据网络环境和需求进行配置。

3. 下载规则集

下载并解压规则集(需要注册):

wget https://www.snort.org/rules/snortrules-snapshot-29120.tar.gz -O snortrules.tar.gz
tar -xvzf snortrules.tar.gz -C /etc/snort/rules
4. 运行Snort

运行Snort进行测试:

sudo snort -T -c /etc/snort/snort.conf

如果没有错误,可以启动Snort:

sudo snort -A console -q -c /etc/snort/snort.conf -i eth0

使用Suricata进行IDS

1. 安装Suricata

首先,确保您的系统已更新:

sudo yum update -y

安装EPEL仓库和依赖:

sudo yum install -y epel-release
sudo yum install -y suricata
2. 配置Suricata

Suricata的配置文件位于 /etc/suricata/suricata.yaml。根据您的网络环境和需求编辑此文件。

3. 下载规则集

下载规则集:

wget https://rules.emergingthreats.net/open/suricata-5.0/emerging.rules.tar.gz
tar -xvzf emerging.rules.tar.gz -C /etc/suricata/rules
4. 运行Suricata

测试配置文件:

sudo suricata -T -c /etc/suricata/suricata.yaml -v

启动Suricata:

sudo suricata -c /etc/suricata/suricata.yaml -i eth0

集中日志管理和监控

无论使用哪种IDS工具,都建议使用集中日志管理工具来收集和分析日志数据。例如,您可以使用ELK Stack(Elasticsearch, Logstash, Kibana)来集中管理和可视化日志数据。

1. 安装Elasticsearch
sudo yum install -y elasticsearch
sudo systemctl enable elasticsearch
sudo systemctl start elasticsearch
2. 安装Logstash
sudo yum install -y logstash

配置Logstash以收集Snort或Suricata日志。

3. 安装Kibana
sudo yum install -y kibana
sudo systemctl enable kibana
sudo systemctl start kibana

配置Kibana以可视化Elasticsearch中的数据。

总结

通过安装和配置Snort或Suricata,并结合集中日志管理和监控工具,您可以有效地实现入侵检测,保护系统和网络免受潜在的威胁。定期更新规则集和监控日志数据是确保IDS有效性的关键。

IDS入侵检测系统与开源IDS-snort的安装与编写规则
weixin_64655821的博客
10-01 4713
IDS入侵检测系统与开源IDS-snort的安装与编写规则
IDS入侵检测系统
Kele_ya的博客
09-23 537
入侵检测
最好用的五大开源入侵检测工具
2301_76161259的博客
04-12 2435
作为网络安全专业人士,我们一直在阻止攻击者访问我们的网络,但随着移动设备,分布式团队和物联网(IoT)的兴起,使得对网络的保护更加困难。网络安全工作者不得不引起重视的问题是,当攻击者成功攻陷你的网络时,你发现攻击的时间越长,数据泄露所造成的损失越大。通过采用强大的事件响应计划支持的可靠入侵检测系统(IDS),用户可以减少漏洞的潜在损害。IDS通常分为两组:基于特征码的IDS,它会通过扫描发现它们存在的已知的恶意流量并进行警报。此外还有基于异常的IDS,它会通过查看基线来暴露异常状况。
开源工具利器之基于主机的IDS:Wazuh
黑白的博客
04-19 7428
服务器端安装了wazuh的服务后,服务自动就会采集本台服务器上的信息,服务器上不需要再装agent默认目录为active-response:响应的脚本agentless:无代理安装,即用户名密码etc:配置,ossec.conf核心配置文件ruleset:自带规则库,建议不改log:日志,预警核心以下两个目录记录了何时、触发了哪些规则/var/ossec/logs/alerts/alerts.json:json格式的预警信息,用于分析展示,这不就是给elk用于展示的嘛。
开源的IDS(入侵检测系统)-- Snort (转)
csd3176的博客
01-25 484
开源的IDS(入侵检测系统)-- Snort (转)[@more@][开源项目之三] 开源的IDS(入侵检测系统)-- Snort 说起Snort可以说大多数据搞网络安全的人都对它非常了解,甚至于可能基于它做过开发。它是...
IDS 开源
weixin_33806914的博客
01-11 378
Snort一直都是网络***检测(IDS)和***防御工具(IPS)的领导者,并且,随着开源社区的持续发展,为其母公司Sourcefire(多 年来,Sourcefire提供有供应商支持和即时更新的功能齐全的商业版本Snort,同时仍然免费提供功能有限的免费版本Snort)持续不断的支 持,Snort很可能会继续保持其领导地位。虽然Snort“称霸”这个市场,但也有其他供应商...
几个IDS开源系统介绍
热门推荐
chinajust的专栏
11-29 1万+
Snort     在1998年,Marty Roesch先生用C语言开发了开放源代码(Open Source)的入侵检测系统,Snort  基于libpcap。目前最著名最活跃的开放源码NIDS项目,定位于轻量级的入侵检测系统,已经实现了网络探测器和许多第三方的管理及日志分析工具( http://www.snort.org/ ) Prelude IDS
ids入侵检测
04-07
IDS 入侵检测 IDS 基本定义 当越来越多的公司将其核心业务向互联网转移的时候,网络安全作为 一个无法回避的问题摆在人们面前。公司一般采用防火墙作为安全的第一 道防线。 而随着攻击者技能的日趋成熟, 攻击工具与...
IDS——入侵检测
qq_47175413的博客
08-01 589
签名过滤器的作用:签名过滤器是若干签名的集合,我们根据特定的条件如严重性、协议、威胁类型等,将IPS特征库中适用于当前业务的签名筛选到签名过滤器中,后续就可以重点关注这些签名的防御效果。对收集来的报文,入侵检测系统提取相应的流量统计特征值,并利用内置的入侵知识库,与这些流量特征进行智能分析比较匹配。根据预设的阀值,匹配耦合度较高的报文流量将被认为是进攻,入侵检测系统将根据相应的配置进行报警或进行有限度的反击。对已知的入侵行为和手段进行分析,提取检测特征,构建攻击模式或攻击签名,判断入侵行为。
入侵检测---IDS
qq_52016943的博客
09-10 2608
IDS入侵检测
Firestorm IDS-开源
07-17
Firestorm 是一个极高性能的网络入侵检测系统 (NIDS)。 目前它只是一个传感器,但计划包括对分析、报告、远程控制台和动态传感器配置的真正支持。 它是完全可插拔的
SNĒZ:流行的开源IDS程序-开源
04-13
SNĒZ是流行的开源IDS程序SNORT:registered:和Suricata的Web界面。 IDS输出可以是unified2或JSON格式。
Security Onion(安全洋葱)开源入侵检测系统(ids)安装
xhscxj的博客
06-05 5860
Security Onion是一款专为入侵检测和NSM(网络安全监控)设计的Linux发行版。其安装过程很简单,在短时间内就可以部署一套完整的NSM收集、检测和分析的套件。Security Onion可能是主动的,用于识别漏洞或过期的SSL证书。或者也可能是被动的,如事件响应和网络取证。其镜像可以作为传感器分布在网络中,以监控多个VLAN和子网。
Suricata 开源网络入侵检测系统(IDS)和入侵防御系统(IPS)安装和使用
最新发布
zengliguang的专栏
08-28 2550
Suricata 是一个强大的开源网络入侵检测系统(IDS)和入侵防御系统(IPS)。
ossec开源ids
专注-享学课堂
04-25 825
 企业依靠一种开源安全工具保护自身往往并不是一个好主意,因为与所有开源产品一样,攻击者可以获取这个相同的工具,找到其漏洞并利用它们来攻击企业。为了让攻击者更难实现其攻击目的,企业应该打造自己的开源安全工具套件。企业应选择多种工具,如果其中一个工具存在漏洞,其他安全工具可帮助克服这个漏洞;企业的工具包中的工具越多,企业就能更好地保护其数据,而不会受到特定开源安全程序中漏洞的影响。 开源安全工
开源网络入侵检测(IDS)工具
janthinasnail的博客
03-05 685
开源的网络入侵检测工具有很多,可能Suricata、Snort使用的比较多,不过Suricata更好一些。 详见:https://www.cnblogs.com/gaoyuechen/p/8594167.html
开源IDS工具比较
allway2的博客
06-25 6111
无论您需要监视主机还是连接主机的网络以识别最新威胁,都有一些出色的开源入侵检测IDS)工具可供您使用。 开源IDS工具列表 Snort Suricata Bro (Zeek) OSSEC Samhain Labs OpenDLP IDS检测技术 有两种主要的威胁检测技术:基于签名的检测和基于异常的检测。当您决定使用签名还是异常检测引擎时,这些检测技术非常重要,但是供应商已经意识到了每种技术的优势,并且有些正在将两者都内置到他们的产品中。了解它们的优点和缺点,可以使您了解它们如何相互补充。
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 4174
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
入侵检测系统IDS详解:概念、历史与任务
入侵检测系统(Intrusion Detection System, IDS)是网络安全领域的重要组成部分,其主要目标是对网络和系统资源的未经授权使用进行实时监控、记录和报警。这一概念最早在1980年由James在为美国空军做的报告...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

MonkeyKing.sun

对你有帮助的话,可以打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值