检查网络设备的异常活动（C）

Question

我需要编写一个c程序来执行以下算法。

1：开始

2：网络的检测和其相关设备（IDPS具有DB和 可用设备都应该被检查在）

（如果，该装置是一个有效的但没有登记，它是前人的精力 进入DB）

3：数据的日志记录（附加以下）

  -timestamp 

     -priority 

     -MAC address 

     -channel number 

     -ID of the devices 

4：检测能力

  - check whether it s authorized 

      -check whether its working properly n securely 

      -compare anomalities n unusual usage patterns(if any) with the already 
      registered anomalities n patterns pespectively. 

      case1:presence-->stop the application 

      case2:absence--> continue application 

      case3:unusual activity butabsent in the registered 
      list--> provoke the user 

5：端

任何guidlines？ （我不知道该怎么做:(）

Answer 1

对于第一个3点，我建议你看看libpcap（tcpdump/libpcap）。 对于异常网络活动检测它有点复杂，你可以看看snort和使用它像外部分析工具。

Answer 2

写一个入侵检测/防御系统是一个复杂的话题，超出了可以在一个SO问题得到解答。但是，Bro和Snort都有库，将做你所要求的大多数事情（记录和检测），以及Snort的手册显示它是如何工作的伪代码，Bro有很好的wiki覆盖它的操作。