snorby

基于网路层的IDS系统搭建(入侵检测系统)

老子叫甜甜 提交于 2020-11-25 18:50:53
barnyard2+suricata+snorby 【Barnyard2安装】 #yum install -y gcc flex bison zlib libpcap tcpdump gcc-c++ pcre* zlib* libdnet libdnet-devel libyaml-devel file file-devel libtool libpcap libpcap-devel 下载daq并安装 #wget https://snort.org/downloads/snort/daq-2.0.6.tar.gz #tar zxvf daq-2.0.6.tar.gz #cd daq-2.0.6 #./configure && make && make install 下载libdnet并安装 #wget http://prdownloads.sourceforge.net/libdnet/libdnet-1.11.tar.gz #tar zxvf libdnet-1.11.tar.gz #cd libdnet-1.11 #./configure && make && make install 下载Barnyard2并安装 #cd .. #wget -O barnyard2.zip --no-check-certificate https://codeload.github.com

可视化Snort报警

*爱你&永不变心* 提交于 2020-08-11 20:30:33
可视化Snort报警 Snort默认输出报警内容存储在专门的报警文件里,由于没有专门的可视化界面,即使是专业的分析人员在查阅这些报警文件时非常不方便。大约在2000年,出现了ACID(Analysis Console for Intrusion Databases)这款工具,这也是最早的一款有关Snort报警可视化工具,再次之后还出现过Snorby开源可视化工具,由于他安装比较复杂又不是ACID分支,故在本文不做详细介绍。 第一代:ACID可视化效果** ACID出现年代比较久远当时的可视化效果非常弱,只有简单的柱状图显示。 图1 首次出现的ACID主界面 图2 改良之后的ACID主界面 第二代:BASE可视化效果 2003年ACID停止开发,进而演化出它的更新版本BASE,它提供了更强大的图形化分析和检索功能。不过BASE的生命终结于2011年,之后,BASE继续发展集成到OSSIM系统控制台中。 下面为大家介绍的BASE开源工具中就提供了将Snort报警数据通过图表(可以生成柱状图、折线图以及饼图)的方式展现给用户的功能。操作步骤如下: 步骤1:在BASE首页选择“Graph Alert Data”按钮 第三代:BASE升级版 BASE在2010年停止开发之后,将他升级版融入到OSSIM的仪表盘以及SIEM事件分析控制台当中,下面我们看看2011年出现的OSSIM 2