入侵检测系统

snort 外网 | | 路由 | | 防火墙 | snort | web mail dns ftp IDS 入侵检测系统 snort 第一步:安装snort (以下步骤是在rhel6.5平台做的) # yum groupinstall "Development tools" -y # yum install pcre-devel zlib-devel # rpm -ivh libpcap-1.4.0-1.20130826git2dbcaa1.el6.x86_64.rpm # rpm -ivh libpcap-devel-1.4.0-1.20130826git2dbcaa1.el6.x86_64.rpm # tar xf libdnet-1.11.tar.gz -C /usr/src/ # cd /usr/src/libdnet-1.11/ # ./configure --with-pic # make # make install # echo /usr/local/lib > /etc/ld.so.conf.d/snort.conf # ldconfig # tar xf daq-2.0.4.tar.gz -C /usr/src/ # cd /usr/src/daq-2.0.4/ # ./configure # make # make install # echo /usr

0 | 1 一.什么是IDS和IPS？ IDS(Intrusion Detection Systems)：入侵检测系统，是一种网络安全设备或应用软件，可以依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，并发出安全警报。 IPS(Intrusion Prevention System)：入侵防御系统，除了具有IDS的监控检测功能之外，可以深度感知检测数据流量，对恶意报文进行丢弃，以阻止这些异常的或是具有伤害性的网络行为。 NSM：网络安全监控系统，用于收集、检测和分析网络安全数据，通常IDS是其组成部分之一。 IPS入侵防御系统，是在IDS入侵检测系统的基础上，增加了事件处理以及安全防护功能，能够主动对安全事件进行响应。 0 | 1 二.IDS/IPS的功能及分类 1.IDS根据两种方法进行分类：按照数据来源、按照入侵检测策略。 按照数据来源分类 基于网络的入侵检测系统（NIDS） 基于主机的入侵监测系统（HIDS） 分布式入侵检测系统（DIDS） 按照入侵检测策略分类 滥用检测 异常检测 完整性分析 2.IPS从功能上具有以下几个组成部分： 数据采集：采集和捕获流量数据 入侵检测：分析流量和日志数据，发现安全异常行为并发出警报,常见的有Snort、Suricata、Bro 结果展示：用于分析IDS警报并进行友好展示

Snort是开源的基于实时网络流量分析和数据包记录的入侵检测系统 官方文档位置：https://www.snort.org/documents 查看官档《Snort 2.9.8.x on CentOS 6.x and 7.x》 依据《CentOS6实验机模板搭建部署》克隆实验机进行部署测试 经测试，官档写的并不好，本实验根据官档进行安装，还有一些问题，本博文只做一次实验记录 后期会发布一篇根据其他博文，类似基于snort+barnyard2+base的入侵检测系统的实验转载博文 1° 增加配置epel源，安装系统包 yum - y install epel-release yum - y install gcc flex bison tcpdump \ zlib zlib-devel libpcap libpcap-devel \ pcre pcre-devel libdnet libdnet-devel # 还需要libdnet-debuginfo包，可以从rpmfind网站找到 axel https://www .rpmfind .net /linux/epel/ 6 /x86_64/debug/Packages/l/libdnet-debuginfo- 1.12 - 6. el6 .x 86_64 .rpm yum - y localinstall libdnet