基于阿里云云平台快速实现网络入侵检测 (IDS) 及网络安全监视 (NSM)

本文涉及的产品
云防火墙,500元 1000GB
简介: 数据包捕获是一个重要组件,可以实施网络入侵检测系统 (IDS) 并执行网络安全监视 (NSM)。 我们可以借助开源 IDS 工具来处理数据包捕获,并检查潜在网络入侵和恶意活动的签名。 使用网络观察程序提供的数据包捕获,可以分析网络中是否存在任何有害入侵或漏洞,Suricata 就是这样的一种开源工具,它是一个 IDS 引擎,可使用规则集来监视网络流量,每当出现可疑事件时,它会触发警报。 Suricata 提供多线程引擎,意味着它能够以更高的速度和效率执行网络流量分析,在本文中将会介绍到如何在 ECS 中使用Suricata来对网络进行入侵检测,同时并根据Suricata中给定的威胁规则匹配的

【简介】

数据包捕获是一个重要组件,可以实施网络入侵检测系统 (IDS) 并执行网络安全监视 (NSM)。 我们可以借助开源 IDS 工具来处理数据包捕获,并检查潜在网络入侵和恶意活动的签名。 使用网络观察程序提供的数据包捕获,可以分析网络中是否存在任何有害入侵或漏洞,Suricata 就是这样的一种开源工具,它是一个 IDS 引擎,可使用规则集来监视网络流量,每当出现可疑事件时,它会触发警报。 Suricata 提供多线程引擎,意味着它能够以更高的速度和效率执行网络流量分析,在本文中将会介绍到如何在 ECS 中使用Suricata来对网络进行入侵检测,同时并根据Suricata中给定的威胁规则匹配的的数据包出发报警,以此达到实时安全威胁监测。


操作步骤

一.远程连接云服务器

1.使用远程工具登陆到服务器中

windows系统可使用xshell或者Putty登陆,Mac系统可直接使用terminal登陆,当然,你也可以直接阿里云云平台控制面板上直接进行VNC连接,本篇文章使用Mac系统下terminal工具直接远程连接,其他的小伙伴如果是使用的是Xshell工具的话,连接方式也是一样的,不过你需要先打开Xshell软件,在其命令行中执行如下命令登陆到云服务器中即可


ssh root@服务器的IP地址  注:@后面是要填写自己ECS服务器的IP地址

例如:ssh root@192.168.1.1


②.Are you sure you want to continue connecting ?####它在问我们是否要继续连接?我们的回答是?“YES”,并回车

image.png

③.输入自己创建服务器时设置的密码~

image.png

④.当出现"root@的主机变成服务器的主机名"的时候证明已经连接到服务器内部


二.下载安装 Suricata

1.使用Apt命令下载Suricata

sudo add-apt-repository ppa:oisf/suricata-stable

image.png

2.使用apt update 的命令进行更新

sudoapt update

image.png

3.使用apt install 安装suricata jq

sudoaptinstall suricata jq


安装过程如下图所示:

image.png

4.安装完成后,使用sudo suricata --build-info命令来看Suricata 版本

sudo suricata --build-info

具体版本信息如下图所示

image.png

image.png

三.Suricata基本配置

1.使用Ip a 命令 检查 Suricata 在哪个接口上运行以及该接口的 IP,具体如下所示

image.png

2.查看suricata.yaml配置文件

suricata.yaml配置文件里很多的配置项目,我们主要关注HOME_NET变量的设置和网络接口的配置及Af-packet配置,如下是Af-packet配置详情

image.png

四.下载 Emerging Threats 规则集

1.目前,我们尚未创建运行 Suricata 所需的任何规则。 如果想要检测特定的网络威胁,可以创建自己的规则,本文使用可免费访问的 Emerging Threats 规则集,如下图所示,我们使用如下命令下载该规则集

wgethttps://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz

tar zxf emerging.rules.tar.gz


image.png

2.下载完毕以后对其tar.gz文件进行解压缩

image.png

3.解压缩完毕以后,并将其复制到目录rules中

image.png

4.如下图是下载解压并复制到rules目录中文件

image.png

五.使用 Suricata 处理数据包捕获

1.安装规则后,Suricata 可以正常运行,我们对其进行重新启动下:


sudo systemctl restart suricata

image.png

2.我们执行如下命令,来对suricata的日志进行滚轮触发


sudotail -f /var/log/suricata/fast.log


image.png

3. 我们在服务器中使用Curl 命令请求下地址进行验证


curlhttp://testmyids.com/curlhttp://www.baidu.com/


4.如下图所示,我们在日志中看到以下包括时间戳和系统的 IP的访问记录输出

image.png

相关文章
|
27天前
|
存储 监控 安全
网络安全视角:从地域到账号的阿里云日志审计实践
日志审计的必要性在于其能够帮助企业和组织落实法律要求,打破信息孤岛和应对安全威胁。选择 SLS 下日志审计应用,一方面是选择国家网络安全专用认证的日志分析产品,另一方面可以快速帮助大型公司统一管理多组地域、多个账号的日志数据。除了在日志服务中存储、查看和分析日志外,还可通过报表分析和告警配置,主动发现潜在的安全威胁,增强云上资产安全。
123 10
|
5天前
|
算法 安全 大数据
【算法合规新时代】企业如何把握“清朗·网络平台算法典型问题治理”专项行动?
在数字化时代,算法推动社会发展,但也带来了信息茧房、大数据杀熟等问题。中央网信办发布《关于开展“清朗·网络平台算法典型问题治理”专项行动的通知》,针对六大算法问题进行整治,明确企业需落实算法安全主体责任,建立健全审核与管理制度,并对算法进行全面审查和备案。企业应积极自查自纠,确保算法合规透明,防范风险,迎接新机遇。
|
2月前
|
NoSQL 关系型数据库 MySQL
《docker高级篇(大厂进阶):4.Docker网络》包括:是什么、常用基本命令、能干嘛、网络模式、docker平台架构图解
《docker高级篇(大厂进阶):4.Docker网络》包括:是什么、常用基本命令、能干嘛、网络模式、docker平台架构图解
198 56
《docker高级篇(大厂进阶):4.Docker网络》包括:是什么、常用基本命令、能干嘛、网络模式、docker平台架构图解
|
1月前
|
运维 监控 Cloud Native
构建深度可观测、可集成的网络智能运维平台
本文介绍了构建深度可观测、可集成的网络智能运维平台(简称NIS),旨在解决云上网络运维面临的复杂挑战。内容涵盖云网络运维的三大难题、打造云原生AIOps工具集的解决思路、可观测性对业务稳定的重要性,以及产品发布的亮点,包括流量分析NPM、网络架构巡检和自动化运维OpenAPI,助力客户实现自助运维与优化。
|
2月前
|
运维 供应链 安全
阿里云先知安全沙龙(武汉站) - 网络空间安全中的红蓝对抗实践
网络空间安全中的红蓝对抗场景通过模拟真实的攻防演练,帮助国家关键基础设施单位提升安全水平。具体案例包括快递单位、航空公司、一线城市及智能汽车品牌等,在演练中发现潜在攻击路径,有效识别和防范风险,确保系统稳定运行。演练涵盖情报收集、无差别攻击、针对性打击、稳固据点、横向渗透和控制目标等关键步骤,全面提升防护能力。
|
2月前
|
存储 监控 安全
网络安全视角:从地域到账号的阿里云日志审计实践
日志审计的必要性在于其能够帮助企业和组织落实法律要求,打破信息孤岛和应对安全威胁。选择 SLS 下日志审计应用,一方面是选择国家网络安全专用认证的日志分析产品,另一方面可以快速帮助大型公司统一管理多组地域、多个账号的日志数据。除了在日志服务中存储、查看和分析日志外,还可通过报表分析和告警配置,主动发现潜在的安全威胁,增强云上资产安全。
|
3月前
|
安全 Windows
【Azure Cloud Service】在Windows系统中抓取网络包 ( 不需要另外安全抓包工具)
通常,在生产环境中,为了保证系统环境的安全和纯粹,是不建议安装其它软件或排查工具(如果可以安装,也是需要走审批流程)。 本文将介绍一种,不用安装Wireshark / tcpdump 等工具,使用Windows系统自带的 netsh trace 命令来获取网络包的步骤
99 32
|
2月前
|
云安全 人工智能 安全
|
2月前
|
存储 安全 网络安全
云计算与网络安全:探索云服务的安全挑战与策略
在数字化的浪潮下,云计算成为企业转型的重要推手。然而,随着云服务的普及,网络安全问题也日益凸显。本文将深入探讨云计算环境下的安全挑战,并提出相应的防护策略,旨在为企业构建安全的云环境提供指导。
|
3月前
|
安全 搜索推荐 网络安全
HTTPS协议是**一种通过计算机网络进行安全通信的传输协议
HTTPS协议是**一种通过计算机网络进行安全通信的传输协议
91 11

热门文章

最新文章