发布时间:2025-12-09 22:05:49 浏览次数:4
从前面的学习中,我们学会了获取和监听流量,然而想实际为网络安全防护提供技术支撑,就要做成网络入侵检测系统(network intrusion detection system,NIDS),对收集漏洞信息、造成拒绝访问及获取超出合法范围的系统控制权等危害计算机系统安全的行为,进行检测。
网络入侵检测系统通常包括三个必要的功能组件:信息来源、分析引擎和响应组件。
请看我这篇之前的文章:【点击前往】
What is Suricata
架构
Suricata安装
根据实验所使用的环境,参考suricata官网进行安装。命令如下:
安装完成后可以查看一下版本信息,确认安装成功:
suricata -V
更新规则库
更新ET Open规则库命令如下:
注意,suricata默认规则库的位置为:
/var/lib/suricata/rules/suricata.rules常用规则关键字
Suricata使用
在数据包所在目录下运行命令,假设数据包名为test.pcap:
生成四个结果文件:
其中,fast.log记录了包含的具体alert情况,包括时间、五元组信息、告警id和告警信息等,是我们本次重点分析的对象。eve.json则记录了告警信息、flow流信息、协议解析的信息(例如http,dns等),以及攻击的payload等。
这也是一个仿生概念,模仿猪笼草的捉虫小猪笼。
这里以honeyd为例,Honeyd由NielsProvos创建,是一个开源程序,使用户能够在各种计算机网络上创建和运行虚拟主机。用户可以配置这个虚拟主机以模仿不同类型的服务器,达到防御真实服务器免遭入侵的效果。
Honeyd主要用于计算机安全领域。通过使用该工具同时模仿多个网络主机,Honeyd可以干扰威胁入侵。例如,如果一个网络有2个真实服务器,并且其中有一个正在运行Honeyd,那么网络就会向攻击者展示正在运行的数百个虚拟服务器,从而为安全人员提供更多时间来抓住黑客。
OSSEC HIDS是一个基于多平台,可扩展和开源的入侵检测系统,具有强大的关联和分析引擎。
OSSEC HIDS是否适用于所有操作系统?它可在大多数操作系统上运行,包括Linux,MacOS,Solaris,HP-UX,AIX和Windows。
OSSEC HIDS执行完整性检查,日志分析,基于时间的警报,日志分析和主动响应。它通常用作SEM / SIM的解决方案,由于其出色的日志分析引擎,许多大学,ISP和公司正在运行此工具来监控和分析其IDS,防火墙,身份验证日志和Web服务器。
什么是Sguil?
用tcl/ tk编写的Sguil是为网络安全分析师构建的。该工具的主要组件是一个直观的GUI,可以访问会话数据,实时事件和原始数据包捕获。它还有助于实现事件驱动分析和网络安全监控。
Sguil适用于所有操作系统吗?
Sguil可以在任何支持tcl / tk的操作系统上运行(包括Linux,* BSD,Solaris,MacOS和Win32)。
Sguil的典型用途是什么?
Sguil用于将您的IDS警报绑定到TCP / IP会话,数据包日志,完整内容和其他信息的数据库中。对于其大部分数据,Sguil使用后端,使用户能够针对各种类型的安全事件执行SQL查询。
免责声明:本站内容(文字信息+图片素材)来源于互联网公开数据整理或转载,仅用于学习参考,如有侵权问题,请及时联系本站删除,我们将在5个工作日内处理。联系邮箱:303555158#qq.com(把#换成@)
微信便捷交流