## Amangeldi Nurgalym, СИБ 23-01

### Этот код который я написал представляет собой базовую программу для системы обнаружения вторжений (IDS), которая анализирует сетевой трафик в реальном времени:

In [3]:
import logging
import time
from scapy.all import *
from collections import defaultdict

class RealTimeIntrusionDetector:
    def __init__(self, threshold=10, time_window=10, log_file="intrusion.log"):
        """
        threshold: Максимальное количество пакетов от одного IP в пределах временного окна.
        time_window: Временное окно для анализа частоты пакетов (в секундах).
        log_file: Файл для записи логов о вторжениях.
        """
        self.threshold = threshold
        self.time_window = time_window
        self.ip_timestamps = defaultdict(list)
        
        # Настройка логирования
        logging.basicConfig(
            filename=log_file,
            level=logging.INFO,
            format="%(asctime)s - %(message)s"
        )
        print(f"Логирование настроено. Логи записываются в {log_file}.")

    def detect_anomaly(self, packet):
        """
        Анализ пакетов для обнаружения аномалий.
        Проверяется частота пакетов от одного IP-адреса в пределах временного окна.
        """
        if IP in packet:
            src_ip = packet[IP].src
            current_time = time.time()

            # Удаление старых временных меток
            self.ip_timestamps[src_ip] = [
                ts for ts in self.ip_timestamps[src_ip]
                if current_time - ts <= self.time_window
            ]

            # Добавление текущей временной метки
            self.ip_timestamps[src_ip].append(current_time)

            # Проверка порогового значения
            if len(self.ip_timestamps[src_ip]) > self.threshold:
                return True, src_ip

        return False, None

    def packet_handler(self, packet):
        """
        Обработка каждого сетевого пакета.
        Если аномалия обнаружена, она логируется и выводится в консоль.
        """
        anomaly_detected, src_ip = self.detect_anomaly(packet)
        if anomaly_detected:
            message = f"Вторжение обнаружено! Источник: {src_ip}."
            print(message)
            logging.info(message)

    def sniff_traffic(self, duration=30):
        """
        Захват трафика с ограничением по времени.
        duration: Время захвата трафика (в секундах).
        """
        print(f"Мониторинг сетевого трафика в течение {duration} секунд...")
        sniff(prn=self.packet_handler, store=False, timeout=duration)
        print("Мониторинг завершён.")


In [6]:
if __name__ == '__main__':
    detector = RealTimeIntrusionDetector(threshold=10, time_window=10, log_file="intrusion.log")
    detector.sniff_traffic(duration=5)  # Мониторинг определенного времени


Логирование настроено. Логи записываются в intrusion.log.
Мониторинг сетевого трафика в течение 5 секунд...
Вторжение обнаружено! Источник: 192.168.76.18.
Вторжение обнаружено! Источник: 192.168.76.18.
Вторжение обнаружено! Источник: 192.168.76.18.
Вторжение обнаружено! Источник: 192.168.76.18.
Вторжение обнаружено! Источник: 192.168.76.18.
Вторжение обнаружено! Источник: 192.168.76.18.
Вторжение обнаружено! Источник: 192.168.76.18.
Вторжение обнаружено! Источник: 192.168.76.18.
Вторжение обнаружено! Источник: 192.168.76.18.
Вторжение обнаружено! Источник: 192.168.76.18.
Вторжение обнаружено! Источник: 192.168.76.18.
Вторжение обнаружено! Источник: 192.168.76.18.
Вторжение обнаружено! Источник: 192.168.76.18.
Вторжение обнаружено! Источник: 192.168.76.18.
Вторжение обнаружено! Источник: 192.168.76.18.
Вторжение обнаружено! Источник: 192.168.76.18.
Вторжение обнаружено! Источник: 192.168.76.18.
Вторжение обнаружено! Источник: 192.168.76.18.
Вторжение обнаружено! Источник: 192.168.76.18.

### Приведённая выше программа предназначена для создания базовой системы обнаружения вторжений в реальном времени с помощью Python. Основная библиотека, которую мы используем для перехвата пакетов, - Scapy

### Логи записываются в файл intrusion.log. После завершения программы, откроем файл intrusion.log, чтобы увидеть обнаруженные аномалии.