方便使用 四个模块： 网站：前端输入服务器检测规则，黑白名单，代理监控文件，审核规则到mongodb；响应代理定时获取在线服务器列表 服务器：提供代理rpc服务器调用，从mongodb中获取代理监控配置，保存服务器在线信息到mongodb，发送日志到进行可视化 代理：netlink家族的NETLINK_AUDIT协议监听SYSCALL时间，规则可以动态配置；读取/ proc文件系统需要管理员权限运行 守护程序：响应服务器指令下发（socket） 系统采用netlink_audit协议检测进程执行，连接系统调用，仅依赖内核kauditd，这个在内核2.6集成；对于安装第三方auditd用户程序服务需要停止，否则代理接收不到系统通过netlink传递的事件信息，通过libpcap抓取网络连接五元组信息，在/ proc补全进程argv，comm，path等信息，对与短暂进程，网络连接建立LRU

网络信息安全 入侵检测系统Snort 了解入侵检测系统的概念，体系结构和检测技术，学会使用开源入侵检测软件Snort

针对传统入侵检测技术难以适应大流量、高带宽的动态网络环境的局限性，在对软件人(SM)的基本理论和智能特性研究基础上，受其启发提出了基于群体软件人(MSM)的智能入侵防御系统协作控制模型。模型采取无控制中心的群体软件人分布式体系结构，避免了单个中心分析器带来的单点失效问题；同时该系统还充分利用了软件人智能协商控制机制，有效地解决信任社区内与社区间的协同预警及防御问题，也为网络安全防范提供了新的研究思路。

唐正军著的绝版书，现在已经买不到了，可以看看，里面的原理说的很清楚。

本人的毕业论文，水平较高，如需要源代码，可Q我 PS：由于过多的人索要，所以不再提供源码了，请自己实现，不实现也没关系，一般学校只要有论文交，答辩就讲讲ppt，不需要演示的，本人这个程序纯粹忽悠人的，不具任何实用价值

Snort是一个轻便的网络入侵检测系统，可以完成实时流量分析和对网络上的IP包登录进行测试等功能，能完成协议分析，内容查找／匹配，能用来探测多种攻击和嗅探（如缓冲区溢出、秘密断口扫描、CGI攻击、SMB嗅探、拇纹采集尝试等）。

入侵检测系统是实时网络自动违规识别和响应系统。它位于被保护的内部网络和不安全的外部网络之间，通过实时截获网络数据流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问时，网络信息安全检测预警系统能够根据系统安全策略做出反应，包括实时报警，事件登录，自动阻断通信连接或执行用户自定义的安全策略等。

windows 2003下snort入侵检测系统的详细部署

尼德斯 支持向量机（SVM）和Navie Bayesian分类的网络入侵检测系统。 使用的语言：Python 2.7.6

该资源是带目录标签的,是我一个个加上的,里面的内容好像是老版本,snort 2.2,代码结构虽然与现在最新版本的不完全相同,但流程大体不差,各位只要真心想学,还是很容易看懂的