AIDE入侵检测系统

一、AIDE简介

? AIDE(Advanced Intrusion Detection Environment)
? 高级入侵检测环境)是一个入侵检测工具,主要用途是检查文件的完整性,审计计算机上的那些文件被更改过了。
? AIDE能够构造一个指定文件的数据库,它使用aide.conf作为其配置文件。AIDE数据库能够保存文件的各种属性,包括:权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文件大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小以及连接数。AIDE还
能够使用下列算法:sha1、md5、rmd160、tiger,以密文形式建立每个文件的校验码或散列号.
? 不应该对那些经常变动的文件进行检测,例如:日志文件、邮件、/proc文件系统、用户起始目录以及临时目录.

二、安装配置

1、安装

yum install -y aide

查看安装生成的文件

  1. [[email protected] ~]# rpm -ql aide
  2. /etc/aide.conf #配置文件
  3. /etc/logrotate.d/aide
  4. /usr/sbin/aide #2进制文件
  5. /usr/share/doc/aide-0.15.1
  6. /usr/share/doc/aide-0.15.1/AUTHORS
  7. /usr/share/doc/aide-0.15.1/COPYING
  8. /usr/share/doc/aide-0.15.1/ChangeLog
  9. /usr/share/doc/aide-0.15.1/NEWS
  10. /usr/share/doc/aide-0.15.1/README
  11. /usr/share/doc/aide-0.15.1/README.quickstart
  12. /usr/share/doc/aide-0.15.1/contrib
  13. /usr/share/doc/aide-0.15.1/contrib/aide-attributes.sh
  14. /usr/share/doc/aide-0.15.1/contrib/bzip2.sh
  15. /usr/share/doc/aide-0.15.1/contrib/gpg2_check.sh
  16. /usr/share/doc/aide-0.15.1/contrib/gpg2_update.sh
  17. /usr/share/doc/aide-0.15.1/contrib/gpg_check.sh
  18. /usr/share/doc/aide-0.15.1/contrib/gpg_update.sh
  19. /usr/share/doc/aide-0.15.1/contrib/sshaide.sh
  20. /usr/share/doc/aide-0.15.1/manual.html
  21. /usr/share/man/man1/aide.1.gz
  22. /usr/share/man/man5/aide.conf.5.gz
  23. /var/lib/aide #aide的数据库文件
  24. /var/log/aide #aide的日志

2、配置aide

首先我们先查看aide的配置文件 /etc/aide.conf

  1. @@define DBDIR /var/lib/aide
  2. @@define LOGDIR /var/log/aide
  3. 表示定义了两个变量,下面会直接引用这两个变量 DBDIR LOGDIR
  4. database=file:@@{DBDIR}/aide.db.gz 表示数据库的位置
  5. database_out=file:@@{DBDIR}/aide.db.new.gz 表示检测的数据库的位置
  6. report_url=file:@@{LOGDIR}/aide.log aide的日志文件
  7. report_url=stdout 表示输出到屏幕
  8. ---------------------------------------------------------------------
  9. 再往下的配置文件定义,需要检测的文件的权限,默认配置文件中就有说明,这里不再赘述
  10. ALLXTRAHASHES = sha1+rmd160+sha256+sha512+tiger
  11. EVERYTHING = R+ALLXTRAHASHES
  12. DIR = p+i+n+u+g+acl+selinux+xattrs
  13. .
  14. .
  15. .
  16. 这些表示定义一些权限的集合
  17. /boot/ CONTENT_EX
  18. /bin/ CONTENT_EX
  19. /sbin/ CONTENT_EX
  20. /lib/ CONTENT_EX
  21. /lib64/ CONTENT_EX
  22. /opt/ CONTENT
  23. 这些是系统默认的检测的目录,其格式就是
  24. 目录 权限的集合 #这里应该明白是什么意思吧,就是,一个目录对应要检测的权限项目,而这个权限项目可以通过变量自己定义,或者直接引用系统默认的选项都行
  25. 在这个配置文件中我们只需要将我们需要特定的目录加以配置就可以了,就以/app为例
  26. /app DIR #表示我们检测 /app 这个目录的 DIR 这些属性,当DIR这些属性发生变化时会报警。

现在我们来初始话aide的数据库

  1. [[email protected] etc]# aide --init #初始化数据库
  2. AIDE, version 0.15.1
  3. ### AIDE database at /var/lib/aide/aide.db.new.gz initialized.

现在我们修改一下/app下的数据

  1. [[email protected] etc]# cd /app/
  2. [[email protected] app]# ll
  3. 总用量 28
  4. -rw-r--r--. 1 root root 57 1月 7 21:21 fist.des3
  5. -rw-r--r--. 1 root root 16 1月 6 19:44 fist_encrypt
  6. -rw-r--r--. 1 root root 16 1月 7 21:21 new_file
  7. -rw-r--r--. 1 root root 1679 1月 7 22:40 private_key
  8. -rw-------. 1 root root 1679 1月 7 23:04 private_key.tmp
  9. -rw-r--r--. 1 root root 451 1月 7 22:58 pub_key
  10. -rw-r--r--. 1 root root 1679 1月 7 23:00 pub_key.tmp
  11. [[email protected] app]# chown apache.apache /app/fist.des3

我们修改了/app/fist.des3文件,现在我们使用aide来检测一下

  1. [[email protected] app]# ls /var/lib/aide/
  2. aide.db.new.gz
  3. [[email protected] app]# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz 这里我们需要改名,为什么要改名,请看下上面配置文件的前两条
  4. aide的原理就是,将新老两个数据进行对比,属性不一致的条目就报警。
  1. [[email protected] app]# aide --check
  2. AIDE 0.15.1 found differences between database and filesystem!!
  3. Start timestamp: 2018-01-10 21:30:42
  4. Summary:
  5. Total number of files: 239213
  6. Added files: 0
  7. Removed files: 0
  8. Changed files: 1
  9. ---------------------------------------------------
  10. Changed files:
  11. ---------------------------------------------------
  12. changed: /app/fist.des3
  13. ---------------------------------------------------
  14. Detailed information about changes:
  15. ---------------------------------------------------
  16. File: /app/fist.des3
  17. Uid : 0 , 48
  18. Gid : 0 , 48
  19. 已经检测除了我们改的那个文件的权限。

下一步,我们更新是当前数据库为最新数据

  1. [[email protected] app]# aide --update
  2. AIDE 0.15.1 found differences between database and filesystem!!
  3. Start timestamp: 2018-01-10 21:35:28
  4. Summary:
  5. Total number of files: 239213
  6. Added files: 0
  7. Removed files: 0
  8. Changed files: 1
  9. ---------------------------------------------------
  10. Changed files:
  11. ---------------------------------------------------
  12. changed: /app/fist.des3
  13. ---------------------------------------------------
  14. Detailed information about changes:
  15. ---------------------------------------------------
  16. File: /app/fist.des3
  17. Uid : 0 , 48
  18. Gid : 0 , 48
  19. update操作会生成一个新的aide.db.new.gz
  20. 现在我们需要将旧库删除,将新库改名
  21. -rw-------. 1 root root 9107067 1月 10 21:10 aide.db.gz
  22. -rw-------. 1 root root 9107065 1月 10 21:38 aide.db.new.gz
  23. [[email protected] aide]# rm aide.db.gz
  24. rm:是否删除普通文件 "aide.db.gz"?y
  25. [[email protected] aide]# mv aide.db.new.gz aide.db.gz

aide简单的配置就完成了

一、AIDE简介

? AIDE(Advanced Intrusion Detection Environment)
? 高级入侵检测环境)是一个入侵检测工具,主要用途是检查文件的完整性,审计计算机上的那些文件被更改过了。
? AIDE能够构造一个指定文件的数据库,它使用aide.conf作为其配置文件。AIDE数据库能够保存文件的各种属性,包括:权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文件大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小以及连接数。AIDE还
能够使用下列算法:sha1、md5、rmd160、tiger,以密文形式建立每个文件的校验码或散列号.
? 不应该对那些经常变动的文件进行检测,例如:日志文件、邮件、/proc文件系统、用户起始目录以及临时目录.

二、安装配置

1、安装

yum install -y aide

查看安装生成的文件

  1. [[email protected] ~]# rpm -ql aide
  2. /etc/aide.conf #配置文件
  3. /etc/logrotate.d/aide
  4. /usr/sbin/aide #2进制文件
  5. /usr/share/doc/aide-0.15.1
  6. /usr/share/doc/aide-0.15.1/AUTHORS
  7. /usr/share/doc/aide-0.15.1/COPYING
  8. /usr/share/doc/aide-0.15.1/ChangeLog
  9. /usr/share/doc/aide-0.15.1/NEWS
  10. /usr/share/doc/aide-0.15.1/README
  11. /usr/share/doc/aide-0.15.1/README.quickstart
  12. /usr/share/doc/aide-0.15.1/contrib
  13. /usr/share/doc/aide-0.15.1/contrib/aide-attributes.sh
  14. /usr/share/doc/aide-0.15.1/contrib/bzip2.sh
  15. /usr/share/doc/aide-0.15.1/contrib/gpg2_check.sh
  16. /usr/share/doc/aide-0.15.1/contrib/gpg2_update.sh
  17. /usr/share/doc/aide-0.15.1/contrib/gpg_check.sh
  18. /usr/share/doc/aide-0.15.1/contrib/gpg_update.sh
  19. /usr/share/doc/aide-0.15.1/contrib/sshaide.sh
  20. /usr/share/doc/aide-0.15.1/manual.html
  21. /usr/share/man/man1/aide.1.gz
  22. /usr/share/man/man5/aide.conf.5.gz
  23. /var/lib/aide #aide的数据库文件
  24. /var/log/aide #aide的日志

2、配置aide

首先我们先查看aide的配置文件 /etc/aide.conf

  1. @@define DBDIR /var/lib/aide
  2. @@define LOGDIR /var/log/aide
  3. 表示定义了两个变量,下面会直接引用这两个变量 DBDIR LOGDIR
  4. database=file:@@{DBDIR}/aide.db.gz 表示数据库的位置
  5. database_out=file:@@{DBDIR}/aide.db.new.gz 表示检测的数据库的位置
  6. report_url=file:@@{LOGDIR}/aide.log aide的日志文件
  7. report_url=stdout 表示输出到屏幕
  8. ---------------------------------------------------------------------
  9. 再往下的配置文件定义,需要检测的文件的权限,默认配置文件中就有说明,这里不再赘述
  10. ALLXTRAHASHES = sha1+rmd160+sha256+sha512+tiger
  11. EVERYTHING = R+ALLXTRAHASHES
  12. DIR = p+i+n+u+g+acl+selinux+xattrs
  13. .
  14. .
  15. .
  16. 这些表示定义一些权限的集合
  17. /boot/ CONTENT_EX
  18. /bin/ CONTENT_EX
  19. /sbin/ CONTENT_EX
  20. /lib/ CONTENT_EX
  21. /lib64/ CONTENT_EX
  22. /opt/ CONTENT
  23. 这些是系统默认的检测的目录,其格式就是
  24. 目录 权限的集合 #这里应该明白是什么意思吧,就是,一个目录对应要检测的权限项目,而这个权限项目可以通过变量自己定义,或者直接引用系统默认的选项都行
  25. 在这个配置文件中我们只需要将我们需要特定的目录加以配置就可以了,就以/app为例
  26. /app DIR #表示我们检测 /app 这个目录的 DIR 这些属性,当DIR这些属性发生变化时会报警。

现在我们来初始话aide的数据库

  1. [[email protected] etc]# aide --init #初始化数据库
  2. AIDE, version 0.15.1
  3. ### AIDE database at /var/lib/aide/aide.db.new.gz initialized.

现在我们修改一下/app下的数据

  1. [[email protected] etc]# cd /app/
  2. [[email protected] app]# ll
  3. 总用量 28
  4. -rw-r--r--. 1 root root 57 1月 7 21:21 fist.des3
  5. -rw-r--r--. 1 root root 16 1月 6 19:44 fist_encrypt
  6. -rw-r--r--. 1 root root 16 1月 7 21:21 new_file
  7. -rw-r--r--. 1 root root 1679 1月 7 22:40 private_key
  8. -rw-------. 1 root root 1679 1月 7 23:04 private_key.tmp
  9. -rw-r--r--. 1 root root 451 1月 7 22:58 pub_key
  10. -rw-r--r--. 1 root root 1679 1月 7 23:00 pub_key.tmp
  11. [[email protected] app]# chown apache.apache /app/fist.des3

我们修改了/app/fist.des3文件,现在我们使用aide来检测一下

  1. [[email protected] app]# ls /var/lib/aide/
  2. aide.db.new.gz
  3. [[email protected] app]# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz 这里我们需要改名,为什么要改名,请看下上面配置文件的前两条
  4. aide的原理就是,将新老两个数据进行对比,属性不一致的条目就报警。
  1. [[email protected] app]# aide --check
  2. AIDE 0.15.1 found differences between database and filesystem!!
  3. Start timestamp: 2018-01-10 21:30:42
  4. Summary:
  5. Total number of files: 239213
  6. Added files: 0
  7. Removed files: 0
  8. Changed files: 1
  9. ---------------------------------------------------
  10. Changed files:
  11. ---------------------------------------------------
  12. changed: /app/fist.des3
  13. ---------------------------------------------------
  14. Detailed information about changes:
  15. ---------------------------------------------------
  16. File: /app/fist.des3
  17. Uid : 0 , 48
  18. Gid : 0 , 48
  19. 已经检测除了我们改的那个文件的权限。

下一步,我们更新是当前数据库为最新数据

  1. [[email protected] app]# aide --update
  2. AIDE 0.15.1 found differences between database and filesystem!!
  3. Start timestamp: 2018-01-10 21:35:28
  4. Summary:
  5. Total number of files: 239213
  6. Added files: 0
  7. Removed files: 0
  8. Changed files: 1
  9. ---------------------------------------------------
  10. Changed files:
  11. ---------------------------------------------------
  12. changed: /app/fist.des3
  13. ---------------------------------------------------
  14. Detailed information about changes:
  15. ---------------------------------------------------
  16. File: /app/fist.des3
  17. Uid : 0 , 48
  18. Gid : 0 , 48
  19. update操作会生成一个新的aide.db.new.gz
  20. 现在我们需要将旧库删除,将新库改名
  21. -rw-------. 1 root root 9107067 1月 10 21:10 aide.db.gz
  22. -rw-------. 1 root root 9107065 1月 10 21:38 aide.db.new.gz
  23. [[email protected] aide]# rm aide.db.gz
  24. rm:是否删除普通文件 "aide.db.gz"?y
  25. [[email protected] aide]# mv aide.db.new.gz aide.db.gz

aide简单的配置就完成了

一、AIDE简介

? AIDE(Advanced Intrusion Detection Environment)
? 高级入侵检测环境)是一个入侵检测工具,主要用途是检查文件的完整性,审计计算机上的那些文件被更改过了。
? AIDE能够构造一个指定文件的数据库,它使用aide.conf作为其配置文件。AIDE数据库能够保存文件的各种属性,包括:权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文件大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小以及连接数。AIDE还
能够使用下列算法:sha1、md5、rmd160、tiger,以密文形式建立每个文件的校验码或散列号.
? 不应该对那些经常变动的文件进行检测,例如:日志文件、邮件、/proc文件系统、用户起始目录以及临时目录.

二、安装配置

1、安装

yum install -y aide

查看安装生成的文件

  1. [[email protected] ~]# rpm -ql aide
  2. /etc/aide.conf #配置文件
  3. /etc/logrotate.d/aide
  4. /usr/sbin/aide #2进制文件
  5. /usr/share/doc/aide-0.15.1
  6. /usr/share/doc/aide-0.15.1/AUTHORS
  7. /usr/share/doc/aide-0.15.1/COPYING
  8. /usr/share/doc/aide-0.15.1/ChangeLog
  9. /usr/share/doc/aide-0.15.1/NEWS
  10. /usr/share/doc/aide-0.15.1/README
  11. /usr/share/doc/aide-0.15.1/README.quickstart
  12. /usr/share/doc/aide-0.15.1/contrib
  13. /usr/share/doc/aide-0.15.1/contrib/aide-attributes.sh
  14. /usr/share/doc/aide-0.15.1/contrib/bzip2.sh
  15. /usr/share/doc/aide-0.15.1/contrib/gpg2_check.sh
  16. /usr/share/doc/aide-0.15.1/contrib/gpg2_update.sh
  17. /usr/share/doc/aide-0.15.1/contrib/gpg_check.sh
  18. /usr/share/doc/aide-0.15.1/contrib/gpg_update.sh
  19. /usr/share/doc/aide-0.15.1/contrib/sshaide.sh
  20. /usr/share/doc/aide-0.15.1/manual.html
  21. /usr/share/man/man1/aide.1.gz
  22. /usr/share/man/man5/aide.conf.5.gz
  23. /var/lib/aide #aide的数据库文件
  24. /var/log/aide #aide的日志

2、配置aide

首先我们先查看aide的配置文件 /etc/aide.conf

  1. @@define DBDIR /var/lib/aide
  2. @@define LOGDIR /var/log/aide
  3. 表示定义了两个变量,下面会直接引用这两个变量 DBDIR LOGDIR
  4. database=file:@@{DBDIR}/aide.db.gz 表示数据库的位置
  5. database_out=file:@@{DBDIR}/aide.db.new.gz 表示检测的数据库的位置
  6. report_url=file:@@{LOGDIR}/aide.log aide的日志文件
  7. report_url=stdout 表示输出到屏幕
  8. ---------------------------------------------------------------------
  9. 再往下的配置文件定义,需要检测的文件的权限,默认配置文件中就有说明,这里不再赘述
  10. ALLXTRAHASHES = sha1+rmd160+sha256+sha512+tiger
  11. EVERYTHING = R+ALLXTRAHASHES
  12. DIR = p+i+n+u+g+acl+selinux+xattrs
  13. .
  14. .
  15. .
  16. 这些表示定义一些权限的集合
  17. /boot/ CONTENT_EX
  18. /bin/ CONTENT_EX
  19. /sbin/ CONTENT_EX
  20. /lib/ CONTENT_EX
  21. /lib64/ CONTENT_EX
  22. /opt/ CONTENT
  23. 这些是系统默认的检测的目录,其格式就是
  24. 目录 权限的集合 #这里应该明白是什么意思吧,就是,一个目录对应要检测的权限项目,而这个权限项目可以通过变量自己定义,或者直接引用系统默认的选项都行
  25. 在这个配置文件中我们只需要将我们需要特定的目录加以配置就可以了,就以/app为例
  26. /app DIR #表示我们检测 /app 这个目录的 DIR 这些属性,当DIR这些属性发生变化时会报警。

现在我们来初始话aide的数据库

  1. [[email protected] etc]# aide --init #初始化数据库
  2. AIDE, version 0.15.1
  3. ### AIDE database at /var/lib/aide/aide.db.new.gz initialized.

现在我们修改一下/app下的数据

  1. [[email protected] etc]# cd /app/
  2. [[email protected] app]# ll
  3. 总用量 28
  4. -rw-r--r--. 1 root root 57 1月 7 21:21 fist.des3
  5. -rw-r--r--. 1 root root 16 1月 6 19:44 fist_encrypt
  6. -rw-r--r--. 1 root root 16 1月 7 21:21 new_file
  7. -rw-r--r--. 1 root root 1679 1月 7 22:40 private_key
  8. -rw-------. 1 root root 1679 1月 7 23:04 private_key.tmp
  9. -rw-r--r--. 1 root root 451 1月 7 22:58 pub_key
  10. -rw-r--r--. 1 root root 1679 1月 7 23:00 pub_key.tmp
  11. [[email protected] app]# chown apache.apache /app/fist.des3

我们修改了/app/fist.des3文件,现在我们使用aide来检测一下

  1. [[email protected] app]# ls /var/lib/aide/
  2. aide.db.new.gz
  3. [[email protected] app]# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz 这里我们需要改名,为什么要改名,请看下上面配置文件的前两条
  4. aide的原理就是,将新老两个数据进行对比,属性不一致的条目就报警。
  1. [[email protected] app]# aide --check
  2. AIDE 0.15.1 found differences between database and filesystem!!
  3. Start timestamp: 2018-01-10 21:30:42
  4. Summary:
  5. Total number of files: 239213
  6. Added files: 0
  7. Removed files: 0
  8. Changed files: 1
  9. ---------------------------------------------------
  10. Changed files:
  11. ---------------------------------------------------
  12. changed: /app/fist.des3
  13. ---------------------------------------------------
  14. Detailed information about changes:
  15. ---------------------------------------------------
  16. File: /app/fist.des3
  17. Uid : 0 , 48
  18. Gid : 0 , 48
  19. 已经检测除了我们改的那个文件的权限。

下一步,我们更新是当前数据库为最新数据

  1. [[email protected] app]# aide --update
  2. AIDE 0.15.1 found differences between database and filesystem!!
  3. Start timestamp: 2018-01-10 21:35:28
  4. Summary:
  5. Total number of files: 239213
  6. Added files: 0
  7. Removed files: 0
  8. Changed files: 1
  9. ---------------------------------------------------
  10. Changed files:
  11. ---------------------------------------------------
  12. changed: /app/fist.des3
  13. ---------------------------------------------------
  14. Detailed information about changes:
  15. ---------------------------------------------------
  16. File: /app/fist.des3
  17. Uid : 0 , 48
  18. Gid : 0 , 48
  19. update操作会生成一个新的aide.db.new.gz
  20. 现在我们需要将旧库删除,将新库改名
  21. -rw-------. 1 root root 9107067 1月 10 21:10 aide.db.gz
  22. -rw-------. 1 root root 9107065 1月 10 21:38 aide.db.new.gz
  23. [[email protected] aide]# rm aide.db.gz
  24. rm:是否删除普通文件 "aide.db.gz"?y
  25. [[email protected] aide]# mv aide.db.new.gz aide.db.gz

aide简单的配置就完成了

原文地址:https://www.cnblogs.com/momenglin/p/8486064.html

时间: 2024-10-06 15:16:21

AIDE入侵检测系统的相关文章

如何在CentOS上配置基于主机的入侵检测系统?

任何系统管理员想要在其生产服务器上最先部署的安全措施之一就是检测文件篡改的机制――不法分子篡改的不仅仅是文件内容,还有文件属性. AIDE(全称“高级入侵检测环境”)是一种基于主机的开源入侵检测系统.AIDE通过检查许多文件属性的不一致性来检查系统二进制文件和基本配 置文件的完整性,这些文件属性包括权限.文件类型.索引节点(inode).链接数量.链接名称.用户.用户组.文件大小.块计数.修改时间.访问时间. 创建时间.访问控制列表(acl).SELinux安全上下文.xattrs以及md5/s

搭建开源入侵检测系统Snort并实现与防火墙联动

Snort作为一款优秀的开源主机入侵检测系统,在windows和Linux平台上均可安装运行.BT5作为曾经的一款经典的渗透神器,基于 Ubuntu,里面已经预装很多的应用,比如Mysql.Apache.Snort等等.Guardian是snort的插件,通过读取snort报警日 志将入侵IP加入到Iptables中.Iptables 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统. 本文详细介绍了BT5中安装snrot NIDS并实现与iptables防火墙联动的过程.

构建基于Suricata+Splunk的IDS入侵检测系统

一.什么是IDS和IPS? IDS(Intrusion Detection Systems):入侵检测系统,是一种网络安全设备或应用软件,可以依照一定的安全策略,对网络.系统的运行状况进行监视,尽可能发现各种攻击企图.攻击行为或者攻击结果,并发出安全警报. IPS(Intrusion Prevention System):入侵防御系统,除了具有IDS的监控检测功能之外,可以深度感知检测数据流量,对恶意报文进行丢弃,以阻止这些异常的或是具有伤害性的网络行为. NSM:网络安全监控系统,用于收集.检

基于网络(NIDS)的入侵检测系统

入侵(Instruction)是个 广义的概念,不仅包括被发起攻击的人取得超出合法权限的系统的控制权,也包括搜集漏洞信息,造成拒绝访问(Denial of service)等对计算机系统造成危害的行为. 通过被动地监测网络上传输的原始流量,对获取的网络数据进行处理,从中提取有用的信息,再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件.此类检测系统不依赖操作系统作为检测资源,可应用于不同的操作系统平台:配置简单,不需要任何特殊的审计和登录机制:可检测协议攻击.特定环境的攻击等多种

SNORT入侵检测系统

0x00 一条简单的规则 alert tcp 202.110.8.1 any -> 122.111.90.8 80 (msg:"Web Access"; sid:1) alert:表示如果此条规则被触发则告警 tcp:协议类型 ip地址:源/目的IP地址 any/80:端口号 ->:方向操作符,还有<>双向. msg:在告警和包日志中打印消息 sid:Snort规则id - 这条规则看字面意思就很容易理解.Snort就是利用规则来匹配数据包进行实时流量分析,网络

基于主机入侵检测系统

一般主要使用操作系统的审计.跟踪日志作为数据源,某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息以检测入侵.这种类型的检测系统不需要额外的硬件.对网络流量不敏感,效率高,能准确定位入侵并及时进行反应,但是占用主机资源,依赖于主机的可靠性,所能检测的攻击类型受限.不能检测网络攻击. 1.1操作系统的审计 审计是指收集有关系统资源使用情况的数据.审计数据提供安全相关的系统事件的记录.以后便可以使用此数据来指定系统上执行的操作的职责.成功的审计应包括识别和验证. 通常审计服务的操作: (1

十一、入侵检测系统

简介 入侵检测系统(intrusion detection system,简称IDS) 是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备.它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术. 依照一定的安全策略,通过软.硬件,对网络.系统的运行状况进行监视,尽可能发现各种攻击企图.攻击行为或者攻击结果,以保证网络系统资源的机密性.完整性和可用性. IDS组成 一个入侵检测系统分为四个组件. 事件产生器(Event generators

CentOS7下的AIDE入侵检测配置

1.AIDE的简单介绍 AIDE通过扫描一台(未被篡改)的Linux服务器的文件系统来构建文件属性数据库,以后将服务器文件属性与数据库中的进行校对,然后在服务器运行时对被修改的索引了的文件发出警告.出于这个原因,AIDE必须在系统更新后或其配置文件进行合法修改后重新对受保护的文件做索引. 2.安装并简单配置aide [[email protected] ~]# yum -y install aide [[email protected] ~]# vim /etc/aide.conf  # 添加下

linux系统centos搭建入侵检测系统snort及问题总结与解答

一.环境准备 1.安装Centos6(安装选择开发环境,这样可以少装一些开发包),设置NAT获取,让系统可以上网,外加一台XP用于测试(可用可不). 2.安装wget(本身不带) 3.更换源(也可以不换,有的源有时候一些软件没有和速度很慢,自行选择) #mv /etc/yum.repos.d/CentOS-Base.repo/etc/yum.repos.d/CentOS-Base.repo.backup #wget -O /etc/yum.repos.d/CentOS-Base.repo htt