Advertisement

Puppy-HIDS: Linux 主机入侵检测系统的展示,利用 netlink_audit 协议,涵盖主机和容器的进程、网络及文件监控功能

  •  5星
  •     浏览量: 0
  •     大小:None
  •      文件类型:None

简介:
Puppy-HIDS是一款基于Linux的入侵检测系统,采用netlink_audit协议实现对主机与容器的全面监控,包括进程、网络活动及文件变化。 系统采用四个模块进行操作:网站前端用于输入服务器检测规则、黑白名单以及代理监控文件,并将审核规则存储到MongoDB;响应代理定时获取在线服务器列表。 服务器端提供RPC服务,从MongoDB中读取代理配置信息并保存服务器的在线状态和日志数据。同时,通过NETLINK_AUDIT协议监听系统调用事件(SYSCALL),支持动态调整监控规则,并且需要管理员权限来访问/proc文件系统的相关信息以运行守护程序。 该守护程序能够响应来自服务器端的任务指令并通过socket进行通信。它依赖于内核中的kauditd功能,在Linux 2.6版本中已集成,而无需额外安装第三方的auditd服务软件包。对于已经存在此类审计工具的情况,则需要先停止这些服务以确保代理可以接收到通过NETLINK协议传递的所有系统事件。 此外,系统使用libpcap库来捕获网络连接中的五元组信息,并在/proc文件中补充进程的相关参数(如argv、comm和path等)。对于那些生命周期短暂的进程或快速建立的网络链接,则采用LRU算法进行缓存管理。

全部评论 (0)

还没有任何评论哟~
客服
客服
客服关闭
  • Puppy-HIDS: Linux netlink_audit
    优质
    Puppy-HIDS是一款基于Linux的入侵检测系统,采用netlink_audit协议实现对主机与容器的全面监控,包括进程、网络活动及文件变化。 系统采用四个模块进行操作:网站前端用于输入服务器检测规则、黑白名单以及代理监控文件,并将审核规则存储到MongoDB;响应代理定时获取在线服务器列表。 服务器端提供RPC服务,从MongoDB中读取代理配置信息并保存服务器的在线状态和日志数据。同时,通过NETLINK_AUDIT协议监听系统调用事件(SYSCALL),支持动态调整监控规则,并且需要管理员权限来访问/proc文件系统的相关信息以运行守护程序。 该守护程序能够响应来自服务器端的任务指令并通过socket进行通信。它依赖于内核中的kauditd功能,在Linux 2.6版本中已集成,而无需额外安装第三方的auditd服务软件包。对于已经存在此类审计工具的情况,则需要先停止这些服务以确保代理可以接收到通过NETLINK协议传递的所有系统事件。 此外,系统使用libpcap库来捕获网络连接中的五元组信息,并在/proc文件中补充进程的相关参数(如argv、comm和path等)。对于那些生命周期短暂的进程或快速建立的网络链接,则采用LRU算法进行缓存管理。
  • (HIDS) - 开源版
    优质
    开源版主机入侵检测系统(HIDS)是一款针对服务器安全防护设计的软件工具,通过监控和分析主机层面的日志与行为数据,识别并响应潜在威胁。 这是一个基于主机的入侵检测系统,由四个组件构成:端口扫描检测器、策略执行器、网络统计分析工具以及漏洞检测器。后端程序使用C语言编写,前端界面则是通过Qt Designer和Glade设计制作而成。
  • 基于
    优质
    本研究探讨了基于主机的网络入侵检测系统的设计与实现,旨在提高网络安全防御能力,通过监测主机行为来识别潜在威胁。 利用WINPCAP和MFC开发了一个网络入侵检测系统。该基于主机的网络入侵检测系统可以在运行Windows操作系统的计算机上部署,并能够执行预定的网络监测以识别可能存在的网络入侵行为。此系统提供了一种针对FTP协议入侵的扫描策略,同时支持用户添加自定义扫描策略。
  • OSSEC-HIDS: 一个开源行日志分析、完整性策略等操作。
    优质
    OSSEC是一款功能强大的开源主机入侵检测工具,专注于日志分析、文件完整性监控和实时行为警报,以保障系统的安全性和稳定性。 OSSEC v3.6.0 版权所有 © 2019 趋势科技公司。有关 OSSEC 的更多信息,请访问我们的网站以获取最新资讯。 OSSEC 是一个用于监控和控制系统的完整平台,它将基于主机的入侵检测(HIDS)、日志监视以及 SIM/SIEM 功能整合在了一个简单、强大且开源的解决方案中。 最新的发行版可以在 ossec 网站上找到,并提供当前稳定版本的信息。 有关发布文档,请访问相应的网站获取详细资料。 开发历程:OSSEC 的开发版本托管于 GitHub 上,只需简单的 git 克隆即可获得最新代码库。 此外,您可以查看屏幕截图和文件完整性监控功能。攻击检测帮助和支持也随时可用。 如需加入我们的社区进行讨论和技术支持,请通过 ossec.slack.com 和 Discord 加入我们(原文中提到了联系方式,但已按要求删除)。
  • Linux
    优质
    本项目聚焦于开发一款在Linux环境下运行的高效能网络入侵检测系统,旨在通过实时监控和分析网络流量来预防恶意攻击。 《Linux网络入侵检测系统》作者:刘文涛,出版方:电子工业出版社。
  • Java语言开发.rar
    优质
    本资源提供了一个基于Java编程语言设计与实现的主机入侵检测系统的源代码和相关文档。该系统旨在实时监控并分析计算机主机的安全状态,有效识别潜在威胁及异常活动,确保网络安全稳定运行。 基于Java语言实现的主机入侵检测系统。
  • Python制台
    优质
    本项目探索了如何运用Python编程语言在控制台环境中实施有效的网络入侵检测系统(NIDS),旨在实时监控和分析网络流量数据以识别潜在的安全威胁。 这是一个非常完整的入侵检测系统(IDS)实现,主要功能包括检测 SYN 洪水攻击、ARP 欺骗、端口扫描,并提供日志记录、实时检测和控制台交互。 代码功能总结如下: **攻击检测功能** - **SYN 洪水攻击** - 系统通过检查 TCP 数据包中的 SYN 标志,统计每个 IP 地址的 SYN 数据包数量来判断是否达到阈值。 - **ARP 欺骗** - 该系统会识别同一 IP 地址绑定多个 MAC 地址的情况,并通过对比记录的 MAC 地址集合确定是否存在欺骗行为。 - **端口扫描** - 系统检测源 IP 对目标主机进行大量端口扫描的行为,通过统计已扫描过的端口号来判断是否发生端口扫描攻击。 **日志记录** - 当系统检测到异常活动时,会将相应的攻击类型、IP 地址以及其它详细信息记录在 ids_logs.txt 文件中。 **实时数据包捕获** - 使用 Scapy 库来捕捉网络中的数据包,并对其进行即时分析处理。 **控制台交互菜单** - 提供用户界面选项以启动或停止检测功能,查看日志内容或者退出程序。
  • LinuxZabbix.pdf
    优质
    本PDF文档深入探讨了如何利用Zabbix在Linux服务器上实施高效监控策略,涵盖配置、安装及高级管理技巧。 使用Zabbix监控Linux主机可以有效地管理和维护系统的性能与稳定性。通过配置相应的监控项、触发器以及报警规则,管理员能够实时了解服务器的状态,并在出现异常情况时迅速做出响应。这不仅有助于提高IT服务的质量,还能减少因系统故障导致的业务中断风险。