网络安全·网络入侵检测系统

news/2024/11/7 16:51:07/

网络入侵检测系统

从前面的学习中,我们学会了获取和监听流量,然而想实际为网络安全防护提供技术支撑,就要做成网络入侵检测系统(network intrusion detection system,NIDS),对收集漏洞信息、造成拒绝访问及获取超出合法范围的系统控制权等危害计算机系统安全的行为,进行检测。

网络入侵检测系统通常包括三个必要的功能组件:信息来源、分析引擎和响应组件。

  • 信息来源:它负责收集被检测网络或系统的各种信息,并把这些信息作为资料提供给IDS分析引擎组件。
  • 分析引擎:它利用统计或规则的方式找出可能的入侵行为,并将事件提供给下面的响应组件。
    响应组件:它根据分析引擎的输出采取应有的行为,通常具有自动化机制,如主动通知系统管理员、中断入侵者的连接和搜集入侵信息等。

常用开源NIDS介绍

1.Snort

请看我这篇之前的文章:【点击前往】

2.Suricata

What is Suricata

  • Suricata是一个免费,开源,成熟,高性能,稳定的网络威胁检测引擎
  • 系统功能包括:实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线pcap处理
  • Suricata依靠强大的可扩展性的规则和特征语言过滤网络流量,并支持LUA脚本语言
  • 输出文件格式为YAML或JSON,方便与其他数据库或安全数据分析平台集成 Suricata采用社区驱动开发,有利于版本的维护和新特性的迭代

架构
在这里插入图片描述
Suricata安装
根据实验所使用的环境,参考suricata官网进行安装。命令如下:

sudo apt-get install suricata
echo "deb http://http.debian.net/debian buster-backports main" > /etc/apt/sources.list.d/backports.list
apt-get update
apt-get install suricata -t buster-backports

安装完成后可以查看一下版本信息,确认安装成功:

suricata -V

在这里插入图片描述
更新规则库
更新ET Open规则库命令如下:

sudo suricata-update

注意,suricata默认规则库的位置为:

/var/lib/suricata/rules/suricata.rules

常用规则关键字
在这里插入图片描述

Suricata使用
在数据包所在目录下运行命令,假设数据包名为test.pcap:

suricata -r test.pcap -k none

生成四个结果文件:

在这里插入图片描述

其中,fast.log记录了包含的具体alert情况,包括时间、五元组信息、告警id和告警信息等,是我们本次重点分析的对象。eve.json则记录了告警信息、flow流信息、协议解析的信息(例如http,dns等),以及攻击的payload等。

3.蜜罐

这也是一个仿生概念,模仿猪笼草的捉虫小猪笼。
这里以honeyd为例,Honeyd由NielsProvos创建,是一个开源程序,使用户能够在各种计算机网络上创建和运行虚拟主机。用户可以配置这个虚拟主机以模仿不同类型的服务器,达到防御真实服务器免遭入侵的效果。
在这里插入图片描述
Honeyd主要用于计算机安全领域。通过使用该工具同时模仿多个网络主机,Honeyd可以干扰威胁入侵。例如,如果一个网络有2个真实服务器,并且其中有一个正在运行Honeyd,那么网络就会向攻击者展示正在运行的数百个虚拟服务器,从而为安全人员提供更多时间来抓住黑客。

在这里插入图片描述

4.OSSEC HIDS

OSSEC HIDS是一个基于多平台,可扩展和开源的入侵检测系统,具有强大的关联和分析引擎。

OSSEC HIDS是否适用于所有操作系统?它可在大多数操作系统上运行,包括Linux,MacOS,Solaris,HP-UX,AIX和Windows。

OSSEC HIDS执行完整性检查,日志分析,基于时间的警报,日志分析和主动响应。它通常用作SEM / SIM的解决方案,由于其出色的日志分析引擎,许多大学,ISP和公司正在运行此工具来监控和分析其IDS,防火墙,身份验证日志和Web服务器。

在这里插入图片描述

5.SGUIL

什么是Sguil?
用tcl/ tk编写的Sguil是为网络安全分析师构建的。该工具的主要组件是一个直观的GUI,可以访问会话数据,实时事件和原始数据包捕获。它还有助于实现事件驱动分析和网络安全监控。

Sguil适用于所有操作系统吗?
Sguil可以在任何支持tcl / tk的操作系统上运行(包括Linux,* BSD,Solaris,MacOS和Win32)。

Sguil的典型用途是什么?
Sguil用于将您的IDS警报绑定到TCP / IP会话,数据包日志,完整内容和其他信息的数据库中。对于其大部分数据,Sguil使用后端,使用户能够针对各种类型的安全事件执行SQL查询。


http://www.ppmy.cn/news/355884.html

相关文章

入侵检测系统的原理与应用

入侵检测是一种主动保护自己免受攻击的网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性…

什么是入侵检测系统?有哪些分类?

在现在网络中,攻击无处不在,可以不夸张的说,每一秒都有企业或者个人被网络攻击。有人说了,不是有防火墙嘛? 确实,防火墙是防止有害和可疑流量流入系统的首选解决方案,但是防火墙并不能保证 100…

安全防御——IDS(入侵检测系统)

安全防御——IDS(入侵检测系统) IDS介绍为什么需要IDSIDS的工作原理IDS的工作过程第一步:信息收集第二步:数据分析 IDS的主要检测方法1、模式匹配(误用检测)2、统计分析(异常检测)3、…

入侵检测---IDS

1. 什么是IDS? 入侵检测:针对防火墙涉及不到的地方采取措施,捕捉有问题的流量特征,将特征做成特征数据库,对后面的流量进行匹配判断有无入侵。 经典理论---入侵检测访问控制的三种用户: 合法用户伪装者-…

入侵检测系统

文章目录 IDS 入侵检测系统 (旁路部署)概述意义入侵检测系统的特点入侵检测原理入侵检测的技术实现入侵检测系统评价指标 IPS 入侵防御系统(串行部署)入侵防御技术入侵防御技术优势入侵防御系统入侵检测系统与入侵防御系统对比 系统漏洞病毒开…

设备安全——入侵检测IDS

目录 1. 什么是IDS?2. IDS和防火墙有什么不同?2.1 检测与监测2.2 设备所处点不同2.3 作用点不同2.4 动作不同 3. IDS工作原理?3.1、IDS分为实时入侵检测和事后入侵检测:3.2、入侵检测分类:3.3、入侵检测技术途径&#…

入侵检测

入侵者 入侵者分为三类: 假冒者:指未经授权就使用计算机和穿透系统的访问控制机制而冒用合法账户的人。违法者:指访问未经授权的程序,数据或资源的合法用户。秘密用户:获得了系统的超级控制权,并利用超级控…

入侵检测技术

入侵检测 入侵检测可以被定义为对计算机和网络系统资源的恶意使用行为进行识别和相应处理的技术。 恶意行为包括系统外部的入侵和内部用户的非授权行为。入侵检测是为保证计算机系统的安全而设计与配置的、一种能够及时发现并报告系统中未授权或异常现象的技术,是…