Проверьте необычную активность сетевого устройства (C)

Question

Мне нужно написать программу переменного тока для выполнения следующего алгоритма.

1: запуск

2: обнаружение сети и связанных с ней устройств (у IDPS есть БД, и предполагается наличие доступных устройств)подлежит регистрации)

(если устройство является действительным, но не зарегистрированным, его следует ввести в БД)

3: регистрация данных (приложить следующее)

         -timestamp

         -priority

         -MAC address

         -channel number

         -ID of the devices

4: возможность обнаружения

          - check whether it s authorized

          -check whether its working properly n securely

          -compare anomalities n unusual usage patterns(if any) with the already 
           registered anomalities n patterns pespectively.

            case1:presence-->stop the application

            case2:absence--> continue application

            case3:unusual activity butabsent in the registered
            list--> provoke the user

5: конец

какие-либо указания?(Понятия не имею, как это сделать :()

Answer 1

Написание системы обнаружения / предотвращения вторжений - сложная тема, на которую невозможно ответить в одном вопросе SO.Тем не менее, Bro и Snort обе имеют библиотеки, которые будут выполнять большую часть того, что вы просите (ведение журнала и обнаружение), а в руководствах по Snort показан псевдокод того, как все это работает.Бро имеет отличную вики , охватывающую его работу.

Answer 2

Для первых 3 пунктов я бы посоветовал вам взглянуть на libpcap ( tcpdump / libpcap ). Для обнаружения аномальной сетевой активности это немного сложнее, вы можете взглянуть на snort и использовать его как инструмент внешнего анализа.