文件名称:puppy-hids:Linux主机入侵检测系统演示,采用netlink_audit协议,支持主机与容器进程,网络,文件监控
文件大小:11.64MB
文件格式:ZIP
更新时间:2024-03-31 15:09:39
系统开源
方便使用 四个模块: 网站:前端输入服务器检测规则,黑白名单,代理监控文件,审核规则到mongodb;响应代理定时获取在线服务器列表 服务器:提供代理rpc服务器调用,从mongodb中获取代理监控配置,保存服务器在线信息到mongodb,发送日志到进行可视化 代理:netlink家族的NETLINK_AUDIT协议监听SYSCALL时间,规则可以动态配置;读取/ proc文件系统需要管理员权限运行 守护程序:响应服务器指令下发(socket) 系统采用netlink_audit协议检测进程执行,连接系统调用,仅依赖内核kauditd,这个在内核2.6集成;对于安装第三方auditd用户程序服务需要停止,否则代理接收不到系统通过netlink传递的事件信息,通过libpcap抓取网络连接五元组信息,在/ proc补全进程argv,comm,path等信息,对与短暂进程,网络连接建立LRU
【文件预览】:
puppy-hids-master
----.gitignore(860B)
----go.mod(162B)
----server()
--------go.mod(407B)
--------safecheck()
--------private.pem(2KB)
--------server.go(3KB)
--------cert.pem(1KB)
--------models()
--------go.sum(52KB)
--------action()
--------utils()
----datainfo_agent.json(3KB)
----config.txt(516B)
----go.sum(615B)
----README.md(2KB)
----web()
--------go.mod(247B)
--------models()
--------go.sum(5KB)
--------main.go(491B)
--------routers()
--------common()
--------upload()
--------test()
--------setting()
----daemon()
--------log()
--------install()
--------task()
--------common()
--------daemon.go(4KB)
----datainfo_es.json(1KB)
----error_alert.md(552B)
----agent()
--------client()
--------go.mod(371B)
--------collect()
--------agent.go(973B)
--------go.sum(61KB)
--------config()
--------CreateLogFile_test.go(174B)
--------common()
--------monitor()
--------test()
----rules.json(3KB)