Ko-dron/CodeAlpha_NetworkIDS
GitHub: Ko-dron/CodeAlpha_NetworkIDS
基于 Suricata 8.x 的轻量级 NIDS 项目,内置六条自定义规则用于实时检测端口扫描、暴力破解及可疑流量等常见网络攻击。
Stars: 0 | Forks: 0
# CodeAlpha — 网络入侵检测系统(任务 4)
一个基于 Suricata 8.x 构建的可运行网络入侵检测系统(NIDS),使用自定义检测规则。作为 CodeAlpha 网络安全实习项目的一部分构建。
## 功能说明
实时监控网络流量,当检测到可疑模式时触发告警——包括端口扫描、Ping 扫描、暴力破解尝试以及恶意流量特征。
## 使用的工具
- **Suricata 8.0.4** — IDS 引擎
- **`local.rules` 中的自定义规则** — 从零编写
- **Python 告警摘要脚本** — 解析 eve.json 生成可读报告
- **Kali Linux** — 测试环境
## 检测规则(local.rules)
| 规则 ID | 攻击类型 | 检测方法 |
|---------|-------------|-----------------|
| 1000001 | ICMP Ping 扫描 | 3 秒内来自同一源地址的 5 次以上 ICMP 回显请求 |
| 1000002 | TCP 端口扫描 | 3 秒内来自同一源地址的 20 个以上 SYN 数据包 |
| 1000003 | SSH 暴力破解 | 10 秒内 10 次以上 SSH 连接尝试 |
| 1000004 | HTTP 扫描器 | User-Agent 头部包含 "nikto" |
| 1000005 | 可疑 DNS | 查询 .xyz 顶级域名(常见 C2 域名) |
| 1000006 | 大型 ICMP 数据包 | 超过 1000 字节的 ICMP 数据包(DoS/隐蔽通道) |
## 运行方式
**安装 Suricata:**
```
sudo apt install suricata -y
```
**复制规则:**
```
sudo cp local.rules /var/lib/suricata/rules/local.rules
```
**启动 IDS:**
```
sudo suricata -c /etc/suricata/suricata.yaml -i eth0 -i lo -l /var/log/suricata/
```
**实时查看告警:**
```
tail -f /var/log/suricata/fast.log
```
**运行摘要报告:**
```
python3 alert_summary.py
```
## 测试规则
以下命令模拟攻击以验证检测是否生效:
```
# Ping 扫描
ping -c 10 -i 0.2 127.0.0.1
# 端口扫描(需要 nmap)
sudo nmap -sS --min-rate 100 127.0.0.1
# 大型 ICMP 数据包
sudo ping -c 5 -s 1500 127.0.0.1
# HTTP 扫描器模拟
curl -A "Mozilla/5.00 (Nikto/2.1.6)" http://127.0.0.1/
```
## 示例告警输出
```
05/17/2026-19:48:24 [**] [1:1000001:1] ICMP Ping Sweep Detected - Possible Reconnaissance [**] {ICMP} 127.0.0.1 -> 127.0.0.1
05/17/2026-19:48:27 [**] [1:1000002:1] TCP Port Scan Detected - Possible Nmap Scan [**] {TCP} 127.0.0.1:55625 -> 127.0.0.1:38292
05/17/2026-19:48:30 [**] [1:1000006:1] Large ICMP Packet Detected - Possible DoS or Covert Channel [**] {ICMP} 127.0.0.1 -> 127.0.0.1
```
## 法律与道德声明
所有测试均在本地虚拟机上针对 localhost 执行。
请勿在你未拥有或未获得明确授权的网络上运行入侵检测工具或攻击模拟。
在加纳,未经授权的网络监控受《2020 年网络安全法》禁止。
## 作者
Stanley Ansong — CodeAlpha 网络安全实习项目,2026 年。
标签:AMSI绕过, CTI, DNS异常检测, HTTP扫描器检测, ICMP大包检测, IDS规则, meg, Metaprompt, NIDS, Ping Sweep检测, Python, SSH暴力破解检测, Suricata, 信息安全, 入侵检测系统, 威胁检测, 安全数据湖, 容器化, 应用安全, 插件系统, 无后门, 现代安全运营, 端口扫描检测, 网络安全, 网络安全实习, 网络安全审计, 网络流量分析, 逆向工具, 防御绕过, 隐私保护