网络入侵检测平台

最新推荐文章于 2024-03-08 18:57:17 发布
最新推荐文章于 2024-03-08 18:57:17 发布
阅读量920 收藏 2
点赞数
分类专栏: 网络安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/security_yj/article/details/120151142
版权

一套完整的基于开源框架的网络入侵检测平台。

suricata(检测引擎) + barnyard(数据分析) + snorby(页面展示)。

整体架构

pfring零拷贝

网卡驱动直接将报文数据传递到用户空间,减少内核数据拷贝而带来的性能开销

 性能测试

通过BPS设备,模拟真实的网络数据包来测试性能,BPS设备的两个口分别和交换机的1口和2口上相连形成环路,然后将1口的进出流量镜像到业务板,如下图:

安装

操作系统

为了和客户系统环境保持一致性,操作系统版本选择centos-6.5

镜像下载地址

http://archive.kernel.org/centos-vault/6.5/isos/x86_64/

选择最小化安装包

centos-6.5-x86_64-minimal

内核版本

2.6.32-431.el6.x86_64

辅助软件包

yum install lrzsz

yum install wget

yum install gdb

yum install ntp

yum install bc

yum install syslog

yum install tcpdump

网络数据包捕获工具

使用pf_ring_6.0.2版本

安装方法参考网站

http://www.ntop.org/

https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Installation_of_Suricata_stable_with_PF_RING_(STABLE)_on_Ubuntu_server_1204

流程图如下:

安装步骤如下

cd ~

yum install gcc

yum install ncurses-devel

wget http://archive.kernel.org/centos-vault/6.5/os/Source/SPackages/kernel-2.6.32-431.el6.src.rpm

rpm -ivh kernel-2.6.32-431.el6.src.rpm

cd ./rpmbuild/SOURCES/

tar -jxvf linux-2.6.32-431.el6.tar.bz2

cp linux-2.6.32-431.el6 /usr/src/kernels/ -rf

cd /usr/src/kernels/linux-2.6.32-431.el6/

make menuconfig

1) Select “Enable loadable module support”, then “Module signature verification (EXPERIMENTAL)”. Disable it.
2) Then go back to the main menu, select “Cryptographic API” then “In-kernel signature checker (EXPERIMENTAL)” and disable that one too.

make

cd /lib/modules/2.6.32-431.el6.x86_64

rm build -rf

ln -s /usr/src/kernels/linux-2.6.32-431.el6/ build

cd ~

wget http://downloads.sourceforge.net/project/ntop/PF_RING/PF_RING-6.0.2.tar.gz

cd PF_RING-6.0.2/kernel

Make&&make install

insmod pf_ring.ko transparent_mode=2 min_num_slot=65534

cd ~

wget http://archive.kernel.org/centos-vault/6.5/os/Source/SPackages/numactl-2.0.7-8.el6.src.rpm

rpm -ivh numactl-2.0.7-8.el6.src.rpm

cd rpmbuild/SOURCES

tar -zxvf numactl-2.0.7.tar.gz

cd numactl-2.0.7

make&&make install

cd ~/PF_RING-6.0.2/userland/lib

./configure --prefix=/usr/local/pfring

make&&make install

网卡驱动

ethtool -i eth4查看网卡驱动名称

cd ~PF_RING-6.0.2/drivers/PF_RING_aware/intel/ixgbe/ixgbe-3.21.2-zc/src/

make

cp ixgbe.ko /lib/modules/2.6.32-431.el6.x86_64/kernel/drivers/net/ixgbe/ixgbe.ko

rmmod ixgbe

insmod ixgbe.ko

检测引擎

使用suricata_2.0.7版本

参考网站

https://redmine.openinfosecfoundation.org/projects/suricata/wiki/CentOS_65_Installation

安装步骤如下

sudo yum -y install libpcap libpcap-devel libnet libnet-devel pcre \

pcre-devel gcc gcc-c++ automake autoconf libtool make libyaml \

libyaml-devel zlib zlib-devel file-devel libcap-ng-devel

cd ~

wget http://www.netfilter.org/projects/libnfnetlink/files/libnfnetlink-1.0.1.tar.bz2

tar -zjvf libnfnetlink-1.0.1.tar.bz2</

最低0.47元/天 解锁文章
security_yj
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
入侵一个网站的服务器拿数据,入侵一个网站的服务器拿数据
weixin_29740913的博客
08-06 1277
入侵一个网站的服务器拿数据库 内容精选换一换Joomla是一套全球知名的内容管理系统,即Joomla CMS(Content Management System)。Joomla是使用PHP语言加上Mysql数据开发的软件系统,是网站的一个基础管理平台,适合从个人网站到各种企业网站、分类信息系统、电商销售类型的各类网站。本文档指导用户使用华为云市场镜像“Joomla 网站内容管理系统PHPWind(...
网络安全入侵检测技术
02-25
入侵检测技术作为网络安全中的一项重要技术已有近30年的发展历史,随着中国移动网络的开放与发展,入侵检测系统(IDS)也...因特网上频繁发生的大规模网络入侵和计算机病毒泛滥等事件使很多政府部门、商业和教育机构等
信息安全_构建全流量入侵检测平台.pptx
08-14
近年来,网络安全的国际形势日益严峻,不断增长的安全威胁给企业和个人都带来巨大的挑战。企业面临越来越多的安全挑战,如何能在攻防对抗中占主动地位? 传统的IDS系统做一个形象的比喻,假如防火墙是一幢大楼的门锁的话,那么IDS就是这幢大楼里的监视系统。然而面临愈发严峻的网络安全态势,IDS系统的缺陷日益显露: 1、基于规则检测,可检测攻击类型有限 2、关注检测过程,不关注结果,误报率高 3、没有保留全部原始流量数据,不便于事后追溯 4、扩展性不高 因此,引入全流量入侵检测技术架构就很有必要了。我们会通过镜像端口获取Nginx后端进出的Http流量,结合Bro抓包进行规则匹配检测和异常流量分析。常见的如SQL注入、暴力破解、撞库攻击、CC攻击等攻击手段,都可以通过异常分析引擎进行检测。 目录 安全威胁感知体系建设 全流量入侵检测平台 安全收益和平台扩展
IDS入侵检测系统
热门推荐
谢公子的博客
11-22 2万+
目录 IDS入侵检测系统 入侵检测系统的作用 入侵检测系统功能 入侵检测系统的分类 入侵检测系统的架构 入侵检测工作过程  数据检测技术 误用检测 异常检测 IDS的部署 基于网络的IDS 基于主机的IDS 入侵检测系统的局限性  IDS入侵检测系统 IDS(intrusion detection system)入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输...
关于计算机网络入侵的网站,计算机网络安全服务器入侵与防御
weixin_35822833的博客
07-20 209
摘要:计算机网络的高速发展给计算机网络管理提出了更高的要求。早期的互联网并未充分地考虑其安全问题,但今天这个安全问题愈加突出,成为研究热点和世界瞩目的焦点。互联网的管理人员正在着手解决这个问题,但是实际效果并不理想,这也说明了解决安全问题的难度。计算机网络安全受到包括窃听、篡改与重发、假冒、抵赖及病毒、特洛伊木马在内的多种安全问题威胁,然而安全问题还远不止这些。 本文重点阐述如何利用木马入侵服务器...
Snorby: 实时监控您的网络安全
gitblog_00001的博客
03-08 402
Snorby: 实时监控您的网络安全 Snorby 是一个开源的 SIEM(安全信息和事件管理)系统,用于实时监控和分析网络安全事件。它可以帮助您检测、响应并预防潜在的安全威胁。 Snorby 能做什么? Snorby 提供了一种简单的方法来收集、组织和分析来自不同来源的安全事件数据。以下是 Snorby 的主要功能: 网络流量监控:通过 Snorby 监控网络流量,并在发现异常行为时发出警报。...
网络入侵检测系统源码.zip
01-24
网络入侵检测系统源码.zip主要针对计算机相关专业的正在做课程设计和期末大作业的学生和需要项目实战练习的学习者。包含全部项目源码、该项目可以直接使用、项目都经过严格调试,下载即用确保可以运行! 网络入侵...
基于CNN-BiLSTM-Attention模型的网络入侵检测方法的python实现源码.zip
03-04
基于CNN-BiLSTM-Attention模型的网络入侵检测方法的python实现源码.zip基于CNN-BiLSTM-Attention模型的网络入侵检测方法的python实现源码.zip基于CNN-BiLSTM-Attention模型的网络入侵检测方法的python实现源码.zip...
基于CNN卷积神经网络网络入侵检测python源码+详细注释.zip
最新发布
03-11
基于CNN卷积神经网络网络入侵检测python源码+详细注释.zip随着信息技术的飞速发展,网络安全问题日益凸显,网络入侵检测作为维护网络安全的重要手段,受到了广泛关注。传统的网络入侵检测方法往往依赖于手工提取...
suricata之进程亲和性(绑定cpu核心)
08-22 293
/ 一个名为 taf_mutex 的互斥锁,用于保护线程亲和性设置的访问。// 一个 CPU 集合,用于存储低优先级线程允许运行的 CPU。// 一个 CPU 集合,用于存储中优先级线程允许运行的 CPU。// 一个 CPU 集合,用于存储高优先级线程允许运行的 CPU。// 一个指向字符串的指针,用于存储线程亲和性类型的名称。
Sprient 网络攻击测试仪的配置说明
12-16
Sprient公司的的网络攻击测试仪的详细配置说明,有需要的可以下载下来看看。
实验9-10 在Windows下搭建入侵检测平台
YkingH的博客
04-28 3907
掌握在Windows中搭建基于snort入侵检测系统(IDS),熟悉简单的配置方法,能够使用IDS检测并分析网络中的数据流。Snort是一个强大的基于误用检测的轻量级网络入侵检测系统,它具有实时数据流量分析和日志IP网络数据包的能力,能够进行协议分析,对内容进行搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行实时警报。
【开源】CentOS7 安装 suricata
roshy的专栏
04-25 3077
安装依赖 $ sudo yum install wget libpcap-devel libnet-devel pcre-devel gcc-c++ automake autoconf libtool make libyaml-devel zlib-devel file-devel jansson-devel nss-devel 下载安装包 开始下载的最新版本发现没有对应的最新规则,4.0有 下...
虹科网络可视化 | 如何使用pfring加速Zeek流量分析?
Hongke_Tech的博客
05-20 230
【虹科网络安全与可视化】 简介 zeek Zeek是一个开源网络流量分析器。许多用户将Zeek用作网络安全监视器(NSM),以支持对可疑或恶意活动的调查。Zeek还支持安全领域以外的各种流量分析任务,包括性能评估和故障排除。 pfring PF_RING是一种新型的网络套接字,和libpcap相比可显着提高数据包捕获速度,如果使用PF_RING ZC(zero copy)驱动程序可实现极高的数据包捕获/传输速度,PF_RING ZC在足够的硬件条件下可实现100G数据包抓取。 .
使用Pfsense+Snorby构建入侵检测系统
chengfangang的专栏
11-17 5741
0×00 背景 不要抱有侥幸心理,其实有只眼睛一直在监视你的一举一动。 黑客攻击是不可避免的,常在江湖飘,哪有不被黑(谁也不敢说自己的网络是绝对安全的)。被黑了怎么办?肯定是第一时间修复漏洞和清除后门啦!该怎么修复漏洞了?漏洞又在那里了?这个时候研究IDS的人就出来了: IDS: 全称入侵检测系统。专业上讲IDS就是依照一定的安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可
Suricata入侵检测系统的搭建
煜铭2011
11-20 8536
0x01、安装CentOS1 基于CentOS-6.8-x86_64-bin-DVD1.iso,安装时选择desktop, customiz now,databases-->>mysql*, 进行安装mysql, 这里我们要配置可以访问外网。尽量选择多的开发包,不要选择最小化安装,因为那样的话,系统会缺失很多依赖包的,在后期编译的时候会出现很多问题的。毕竟现在硬盘和内存都很大了,不必节省那么点空间
snort for snorby ***检测系统搭建
weixin_34262482的博客
05-08 275
搭建一个***检测系统简单介绍一下:Snorby是一个Ruby on Rails的Web应用程序,网络安全监控与目前流行的***检测系统(Snort的项目Suricata和Sagan)的接口。该项目的目标是创建一个免费的,开源和竞争力的网络监控应用,为私人和企业使用1、在安装snorby之前,需要安装Ruby, ImageMagick, Rails 和 Wkhtmltopdf...
Snort参考网站
有理论,有实验,有结论,可为一篇文章
01-20 1970
Snort简介 https://www.jianshu.com/p/113345bbf2f7 https://www.jianshu.com/p/969ef1ef8afa Bro和Snort的比较分析 https://blog.csdn.net/yanwenyuan0102/article/details/722233 搭建windows的网络入侵检测系统 http://www.doc88.com...
搭建基于Suricata+Barnyard2+Base的IDS前端Snorby
weixin_34289454的博客
03-08 491
rootsecurity · 2013/10/02 23:460x00关于CentOS+Base+Barnyard2+Suricata就不多说了,这里有文章已经写的很详细了。请参考:drops.wooyun.org/tips/4130x01这里安装CentOS6系统同样是使用最小化安装,[email protected] @Development Tools @Development Librar...
计算机网络安全第五章入侵检测技术课件(“检测”相关文档)共74张.pptx
11-14
"计算机网络安全第五章入侵检测技术的课件,包含了入侵检测的概述、技术实现、分布式入侵检测、相关标准以及系统实例,总计74张幻灯片。" 入侵检测技术是计算机网络安全的重要组成部分,它起源于20世纪80年代的研究...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值