网络入侵检测 StratosphereLinuxIPS 部署过程

指导手册(英文): https://stratospherelinuxips.readthedocs.io/en/develop/

项目地址: https://github.com/stratosphereips/StratosphereLinuxIPS/

Gitee克隆地址: https://gitee.com/skyxingcheng/StratosphereLinuxIPS/

需要用到的文件zeek: https://pan.baidu.com/s/1Q-lGBm7J84nWcZJNfsHT5A 提取码:iua3

由于国内网络问题,最好下载此文件。(文件大小 336 MB)

实机部署

注意使用虚拟机时不要吝啬我这里分配16G内存和16核心CPU,内存低会导致zeek编译失败,核心少编译会很慢

克隆项目到本机

git clone https://gitee.com/skyxingcheng/StratosphereLinuxIPS.git

将zeek解压到同目录StratosphereLinuxIPS

tar -zvxf zeek.tar.gz -C /some/StratosphereLinuxIPS

开始安装软件包

apt-get updateapt-get -y install curl git redis python3.7-minimal python3-redis python3-pip python3-watchdog nodejs npmpython3 -m pip install --upgrade pippip3 install maxminddb colorama validators urllib3 numpy sklearn pandas certifi keras redis==3.4.1 slackclient stix2 cabby pip3 install --ignore-installed sixpip3 install tensorflow npm install blessed blessed-contrib redis async chalk strip-ansi@6.0.0 clipboardy fs sorted-array-async yargs

编译安装zeek (编译时没有出现错误,如果内存<=4G时编译报错请加大内存)

cd StratosphereLinuxIPS/zeekapt-get -y install cmake make gcc g++ flex bison libpcap-dev libssl-dev python-dev swig zlib1g-dev./configuremake -j16 #16线程模式make installln --symbolic /usr/local/zeek/bin/zeek /usr/bin/zeekexport PATH=$PATH:/usr/local/zeek/binecho "export PATH=$PATH:/usr/local/zeek/bin" >> ~/.bashrc

启动Redis-server

redis-server --daemonize yes

好了到这里安装基本就完成了

下面我们来修改配置文件

编辑文件StratosphereLinuxIPS/slips.conf

修改ti_files为如下(主要是替换掉了raw.githubuserconnect.com域名的文件,如果你的网络良好可无需替换)

ti_files = https://mcfp.felk.cvut.cz/publicDatasets/CTU-AIPP-BlackList/Todays-Blacklists/AIP_blacklist_for_IPs_seen_last_24_hours.csv, https://mcfp.felk.cvut.cz/publicDatasets/CTU-AIPP-BlackList/Todays-Blacklists/AIP_historical_blacklist_prioritized_by_newest_attackers.csv, https://cdn.jsdelivr.net/gh/stratosphereips/Civilsphere@main/threatintel/strangereallintel-cyberthreatintel.csv, https://cdn.jsdelivr.net/gh/Te-k/stalkerware-indicators@master/network.csv, https://cdn.jsdelivr.net/gh/stratosphereips/Civilsphere@main/threatintel/adserversandtrackers.csv, https://cdn.jsdelivr.net/gh/stratosphereips/Civilsphere@main/threatintel/civilsphereindicators.csv, https://cdn.jsdelivr.net/gh/botherder/targetedthreats@master/targetedthreats.csv,https://osint.digitalside.it/Threat-Intel/lists/latestdomains.txt, https://osint.digitalside.it/Threat-Intel/lists/latestips.txt

然后我们来运行一个示例更新本地文件

cd StratosphereLinuxIPS/
chmod +x slips.py
./slips.py -c slips.conf -r dataset/hide-and-seek-short.pcap

由于上游源Nodejs版本过低,需要更新,请自行检查是否需要更新(你的Node版本不应低于12)

node --version
curl -sL https://deb.nodesource.com/setup_12.x | sudo -E bash -
apt-get -y install nodejs

现在我们开始网卡监听,同时启动图形界面(-G)

若仅监听在另一页面启动图形界面可开始监听后执行./kalipso.sh

./slips.py -c slips.conf -i ens33 -G

我们用了一下后台扫描,过一小段时间可以看到控制台已经有输出了

我们用kail进行端口扫描(等待时间有点长)可以看到已经检测出扫描端口的操作

注:如果你的控制台界面出现乱码,则可能是由于nodejs版本问题,建议更换为文中的nodejs12

本文使用的是网易163源Debian10-Buster

玩的开心:)

网络入侵检测Slips--StratosphereLinuxIPS 部署过程相关推荐

  1. 2w行C++代码制作网络入侵检测系统,网友直呼:666

    网络入侵检测系统,是指对收集漏洞信息.造成拒绝访问及获取超出合法范围的系统控制权等危害计算机系统安全的行为,进行检测的软件与硬件的组合. 一个VC++ 网络入侵检测模块及程序代码,源代码完整,包括所需 ...

  2. 【Microsoft Azure 的1024种玩法】二十九.基于Azure VM快速实现网络入侵检测 (IDS) 及网络安全监视 (NSM)

    [简介] 数据包捕获是一个重要组件,可以实施网络入侵检测系统 (IDS) 并执行网络安全监视 (NSM). 我们可以借助开源 IDS 工具来处理数据包捕获,并检查潜在网络入侵和恶意活动的签名. 使用网 ...

  3. 网络安全实验-入侵检测-基于网络入侵检测系统

     实验目的: 1.掌握snort IDS工作机理 2.应用snort三种方式工作 3.熟练编写snort规则 实验原理: 一.snort IDS概述 snort IDS(入侵检测系统)是一个强大的网络 ...

  4. 网络入侵检测--Snort软件配置文件snort.conf详解

    Snort最重要的工作模式就是NIDS,网络入侵检测,在NIDS模式下,snort.conf文件是必不可少的. 那么今天,我们来仔细阅读以下snort.conf这个文件,看一下每个部分的功能,都是配置 ...

  5. 综述类_网络入侵检测技术综述

    文章目录 网络入侵检测技术综述 大纲 一.入侵检测系统分类 1.基于数据来源划分 2.基于检测技术划分 二.基于传统机器学习的入侵检测 1.入侵数据处理 2.监督机器学习技术 3.无监督机器学习技术 ...

  6. 使用Suricata和ELK进行网络入侵检测

    数据包捕获是实现网络入侵检测系统(IDS)和执行网络安全监控(NSM)的关键组件. 有几种开源IDS工具可以处理数据包捕获并查找可能的网络入侵和恶意活动的签名. 其中一个开源工具是Suricata,这 ...

  7. java分类Kdd99数据集_KDD-CUP99 网络入侵检测数据集的处理与研究

    对于入侵检测的研究,需要大量有效的实验数据.数据可以通过抓包工具来采集,如Unix下的Tcpdump,Windows下的libdump,或者专用的软件snort捕捉数据包,生成连接记录作为数据源.本文 ...

  8. 五大免费企业网络入侵检测工具(IDS)

    Snort一直都是网络入侵检测(IDS)和入侵防御工具(IPS)的领导者,并且,随着开源社区的持续发展,为其母公司Sourcefire(多年来,Sourcefire提供有供应商支持和即时更新的功能齐全 ...

  9. 端到端的基于深度学习的网络入侵检测方法

    摘要 当前网络入侵检测大多使用人工特征,但是人工特征往往不能适应新型攻击,重新设计人工特征又需要专家知识.对此,提出了一种算法,该算法从网络流量数据中提取会话作为样本,并将样本送入两个神经网络,会话的 ...

最新文章

  1. 五一到底去哪玩?哪个景点人少又好玩?手把手教你玩Python爬虫
  2. 如何用 ajax 连接mysql数据库,并且获取从中返回的数据。ajax获取从mysql返回的数据。responseXML分别输出不同数据的方法。...
  3. mycat 资料汇总
  4. 那些把天聊死的神操作。。| 今日最佳
  5. 安卓linux开机画面,Android系统的开机画面显示过程分析(1)
  6. Ubuntu 手动安装JDK
  7. php 管理mysql数据库_php管理mysql数据库类
  8. loading窗口动画 web_分享web前端七款HTML5 Loading动画特效集锦
  9. MySQL 8.0 的 5 个新特性,太实用了!
  10. 利用HP优盘启动盘格式化工具制作U盘Dos启动盘
  11. 3.Python 进阶知识
  12. 设置电脑的保护色(绿豆沙色)
  13. 【ONES 校招前端笔试+一面】
  14. Fabric CA 配置与应用
  15. 关于严蔚敏老师《数据结构(C语言版)》书中代码的误解
  16. 动态规划_(dynamic programming)_python_最大子序列(最长公共子序列)(可非连续子序列(several versions))
  17. origin如何绘制双y轴曲线_如何在origin图中,做出双Y轴?
  18. Mybatis复杂映射映射文件
  19. Python 医学知识图谱问答系统(一),建立医学知识图谱,基于neo4j知识图谱的医学问答体系
  20. windows下安装VMware Workstation14.0Pro(VMware系列一)

热门文章

  1. 1、射频功率放大器设计之偏置电路设计
  2. mac 关机系统命令集合
  3. 阿里云RDS 读写分离
  4. solor快速_Solr快速教程
  5. 【区块链与密码学】第1-3讲:加密数字货币的通俗故事
  6. css旋转后不动,css3旋转过渡,不走捷径
  7. 解决AH00558: httpd: Could not reliably determine the server's fully qualified domain name, using local
  8. unity 2017_Unity GDC 2017主题演讲的更新
  9. nnunet(二十二) preprocessing
  10. 大恶人吉日嘎拉之走火入魔闭门造车之.NET疯狂架构经验分享系列之(二)后台服务代码部分