网上找了一堆开源的入侵检测系统，大多数版本都老掉牙了，看来这类开源系统不太活跃
绝大多数IDS系统的实现都是通过侦听网卡流量，分析其中的数据进行正则匹配，搭配类似ELK日志系统和其他GUI界面进行展示，近年来随着Docker的发展，搭建不在复杂，我也是菜鸟中的菜鸟，今天试着玩一下Security onion，希望可以在搭建个简易的内网入侵检测系统。

这类系统一般需要网络环境的配合，如可以将流量进行镜像的路由或者交换机，将检测系统接入可以分析网内的流量包，也可以在边缘网络进行侦听，可以采用在不同VLAN部署传感器的方案，将数据传输到主服务器进行分析展示。

Security onion官网：https://securityonion.net/
官方文档：https://docs.securityonion.net/en/16.04/

1.搭建准备

• Security onion OS
• VM虚拟机
• 桥接模式网络

2.安装系统

OS安装方式非常简单，和其他Linux发行版差不多，其中选择中文安装到最后经常安装莫名崩溃，我这里选择了英文安装

3.初始化

安装完成后，我们重启进入系统的桌面
进入桌面有个Setup，我们点击安装，输入安装系统的时候创建的密码，此时会让你选择工作的网卡和网络模式，我这里只有一张网卡选择了dhcp，提示重启应用更改，点击重启后再次点击Setup进行安装，这时会提示你已设置过网络是否跳过，我们选择跳过。

界面到了选择安装模式的时候，我们这里选择evaluation 模式进行快速安装。以后有机会在写一篇生产模式的安装。。。
下一步会提示你创建IDS系统的用户密码，此用户用来登录IDS平台，后续点击下一步即可
安装完成后不停点击ok即可

4.放开防火墙

系统默认关闭了所有的外部访问，我们这里为了方便管理进行防火墙设置，右键桌面打开终端输入

sudo so-allow

显示预设的规则，我们选择a，输入放开的白名单ip，回车确认即可

5.web界面

完成上述操作后我们打开浏览器，输入https访问服务器的IP，忽略安全警告

出现这界面基本上算安装成功了，我们也可以在命令行中输入sudo so-status 查看各组件的状态，所有OK即可
如果有问题的话，可以尝试 sudo so-restart 重启所有服务
我们点击squert，输入刚创建的用户密码，进入squert界面

界面显示了网内和系统的一些安全信息，至此简易搭建的平台就完成了，至于如何使用我个人也仍在摸索中，有时间会后续跟新的！！！