g3tsyst3m/BriarIDS
GitHub: g3tsyst3m/BriarIDS
基于树莓派的一体化家庭入侵检测系统,集成 Suricata 和 Bro,提供简易 GUI 界面与低成本网络安全监控方案。
Stars: 228 | Forks: 50
# BriarIDS
* 另外请务必查看 [**WIKI**](https://github.com/g3tsyst3m/BriarIDS/wiki) 获取详细说明、演示视频等。我已经更新了很多有用的信息。*
如果 BriarIDS 被用于课堂教学的教育目的(即网络安全课程等),如果不介意的话,请给我一些反馈,让我知道它的运行情况。谢谢!
这是我的邮箱:g3tsyst3m@gmail.com
## 简介
一个简单而有效的树莓派 IDS。BriarIDS 配置为在 Raspbian 上运行,并利用 PyQT GUI 前端提供了一个监控家庭网络的一体化解决方案。Bro 现已集成到 BriarIDS GUI 中,以提供额外的日志记录选项。Snorby 的自动安装仍在开发中。将定期在 Wordpress 网站上发布进度说明。
## 为什么叫 BriarIDS?
有点俗气。这个名字来源于荆棘和黑莓灌木(树莓丛)在遭受攻击时为兔子提供的保护。
## 那么它与其他 IDS 解决方案有什么不同?
其实没什么不同。关键区别在于它的设置方式。这是一个使用 Suricata 的基于家庭网络的 IDS 解决方案,主要监控 WAN 流量(如果您愿意,也可以监控 LAN)。我在网上到处寻找一个使用树莓派且能让网络 TAP 正常工作的简单家庭 IDS,但没找到什么运气。我重申一下,虽然市面上有一些树莓派解决方案,有些甚至相当出色,但它们并不太适合基于家庭网络的配置。我只是想要一个简单的命令行解决方案,安装几分钟后就能配合使用。Snorby、SGUIL 和所有其他 GUI 前端总是很棒的辅助附加组件,它们很快就会集成到 BriarIDS 中。目前,我只想提供一个简单、相当直观且用户友好的可用 IDS。
## 为什么选择树莓派?
因为我想为房主提供一个最具成本效益且可行的解决方案来保护他们的网络,我知道只要配合得当,树莓派就能满足要求。加上一张不错的 SD 卡,一块树莓派大概需要 40 到 60 美元。其次,众所周知,您需要一个 tap 接口或某种方式将数据包导入您的监控接口。虽然市面上还有其他一些价格合理的解决方案,但我决定利用我家里现有的东西。这就是 Tomato 路由器固件派上用场的地方。IPTables --tee 功能完成了这项工作,轻松地将我所有的 WAN 数据包复制到树莓派设备上。一旦一切开始顺利运行,我想与大家分享这个解决方案。我知道我不可能是唯一一个渴望为家庭网络安全边界寻求简单且负担得起的解决方案的人。
## 它支持哪些树莓派操作系统(您亲自测试过的)?
Raspbian, DietPI
## 这可以移植到其他操作系统吗?
可以。根据您使用的 Linux 发行版,您可能需要调整一些 apt 软件包。我已经在 Kali Linux (Debian 4.8.15-1kali1 (2016-12-23) x86_64 GNU/Linux) 上成功安装了它。尝试在运行最新 Debian 或 Ubuntu 的 VM 中试用它。除了 critical-stack agent 和 libssl 之外,它应该可以正常运行。您需要下载 Intel x86/x64 的 .deb 文件,而不是脚本中当前设置为下载的 .arm deb 文件。至于 ssl,bro-2.5 目前仅支持 libssl1.0-dev,因此如果在 Kali Linux 或其他新仓库上安装,请确保已安装该库。
## 您在哪些路由器上测试过这个?
目前只有 Linksys E1200v2
## 您使用的是什么版本的 Tomato 固件?
tomato-E1200v2-NVRAM64K-1.28.RT-N5x-MIPSR2-132-Max.bin
## 我还有更多问题……
我就知道您会有。请查看 wiki 并告诉我需要添加什么内容。
## 为什么叫 BriarIDS?
有点俗气。这个名字来源于荆棘和黑莓灌木(树莓丛)在遭受攻击时为兔子提供的保护。
## 那么它与其他 IDS 解决方案有什么不同?
其实没什么不同。关键区别在于它的设置方式。这是一个使用 Suricata 的基于家庭网络的 IDS 解决方案,主要监控 WAN 流量(如果您愿意,也可以监控 LAN)。我在网上到处寻找一个使用树莓派且能让网络 TAP 正常工作的简单家庭 IDS,但没找到什么运气。我重申一下,虽然市面上有一些树莓派解决方案,有些甚至相当出色,但它们并不太适合基于家庭网络的配置。我只是想要一个简单的命令行解决方案,安装几分钟后就能配合使用。Snorby、SGUIL 和所有其他 GUI 前端总是很棒的辅助附加组件,它们很快就会集成到 BriarIDS 中。目前,我只想提供一个简单、相当直观且用户友好的可用 IDS。
## 为什么选择树莓派?
因为我想为房主提供一个最具成本效益且可行的解决方案来保护他们的网络,我知道只要配合得当,树莓派就能满足要求。加上一张不错的 SD 卡,一块树莓派大概需要 40 到 60 美元。其次,众所周知,您需要一个 tap 接口或某种方式将数据包导入您的监控接口。虽然市面上还有其他一些价格合理的解决方案,但我决定利用我家里现有的东西。这就是 Tomato 路由器固件派上用场的地方。IPTables --tee 功能完成了这项工作,轻松地将我所有的 WAN 数据包复制到树莓派设备上。一旦一切开始顺利运行,我想与大家分享这个解决方案。我知道我不可能是唯一一个渴望为家庭网络安全边界寻求简单且负担得起的解决方案的人。
## 它支持哪些树莓派操作系统(您亲自测试过的)?
Raspbian, DietPI
## 这可以移植到其他操作系统吗?
可以。根据您使用的 Linux 发行版,您可能需要调整一些 apt 软件包。我已经在 Kali Linux (Debian 4.8.15-1kali1 (2016-12-23) x86_64 GNU/Linux) 上成功安装了它。尝试在运行最新 Debian 或 Ubuntu 的 VM 中试用它。除了 critical-stack agent 和 libssl 之外,它应该可以正常运行。您需要下载 Intel x86/x64 的 .deb 文件,而不是脚本中当前设置为下载的 .arm deb 文件。至于 ssl,bro-2.5 目前仅支持 libssl1.0-dev,因此如果在 Kali Linux 或其他新仓库上安装,请确保已安装该库。
## 您在哪些路由器上测试过这个?
目前只有 Linksys E1200v2
## 您使用的是什么版本的 Tomato 固件?
tomato-E1200v2-NVRAM64K-1.28.RT-N5x-MIPSR2-132-Max.bin
## 我还有更多问题……
我就知道您会有。请查看 wiki 并告诉我需要添加什么内容。标签:AMSI绕过, Bro, Metaprompt, PyQT, Raspberry Pi, Raspbian, Rootkit, Snorby, Suricata, Zeek, 入侵检测系统, 内存执行, 内核模式, 图形化界面, 威胁检测, 安全数据湖, 家庭入侵检测, 家庭网络安全, 开源安全工具, 现代安全运营, 网络TAP, 网络安全, 逆向工具, 逆向工程平台, 隐私保护