绝对不能错过的5款开源入侵检测工具

栏目: 编程工具 · 发布时间: 6年前

内容简介:入侵检测系统(IDS)不可或缺,可用于监视网络、标记可疑活动或自动阻止潜在恶意流量。以下5款IDS可称之为开源IDS首选。作为网络安全专业人士,阻止攻击者访问公司网络是我们的职责,但随着移动设备、分布式团队和物联网的兴起,保护网络边界这个任务的困难度呈指数级增加。令人沮丧的现实是,攻击者有时候确实能成功侵入公司网络,而安全团队发现攻击的用时越长,数据泄露的损失就越大。

入侵检测系统(IDS)不可或缺,可用于监视网络、标记可疑活动或自动阻止潜在恶意流量。以下5款IDS可称之为开源IDS首选。

绝对不能错过的5款开源入侵检测工具

作为网络安全专业人士,阻止攻击者访问公司网络是我们的职责,但随着移动设备、分布式团队和物联网的兴起,保护网络边界这个任务的困难度呈指数级增加。令人沮丧的现实是,攻击者有时候确实能成功侵入公司网络,而安全团队发现攻击的用时越长,数据泄露的损失就越大。

在健壮的事件响应计划支撑基础上引入入侵检测系统(IDS),可以有效减少数据泄露的潜在危害。

IDS通常分为两类:基于特征码的IDS——扫描已知恶意流量模式并在发现时发出警报;基于异常的IDS——监测基线以暴露偏离基准的异常情况。

若想全面防护公司数据和系统,IDS应部署在网络的各个角落,从内部服务器到数据中心到公共云环境都应有IDS的身影。值得指出的是,IDS还可揭示员工的逾矩行为,包括内部人威胁和磨洋工情形,比如整天在工作电脑上看片或聊微信、QQ。

幸运的是,市场上不仅有商业版的IDS,还有很多开源IDS可供选择,比如下面5款:

1. Snort

作为IDS事实上的业界标准,Snort是个非常有价值的工具。该 Linux 实用 工具 很便于部署,且可配置多种功能,比如监视网络流量找寻入侵尝试,记录入侵日志,以及在检测到入侵尝试时采取特定动作。这是一款被广泛部署的IDS工具,且可作为入侵防御系统(IPS)使用。

Snort的历史可追溯至1998年,且历久弥新,有活跃的社区在提供有力支持。虽然既没有图形用户界面(GUI),也缺乏管理控制面板,但你可以利用其他开源工具来补足这个缺陷,比如Snorby或Base。Snort的高度定制性为各种类型的公司企业和组织提供了很多选择。

如果出于某种原因你不想用Snort,那Suricata也是个不错的选项。

2. Bro

Bro拥有可将流量转化为一系列事件的分析引擎,能够检测可疑特征码和异常。用户还可利用Bro-Script编写策略引擎任务,自动化执行更多工作。比如说,该工具可以自动化下载检测到的可疑文件,将之发去分析,在发现异常情况时通知相关人员,并将可疑文件来源加入黑名单,关停下载了该文件的设备。

Bro的缺点在于其陡峭的学习曲线和复杂的设置,用户想要发挥出它的最大价值需经历相对痛苦的摸索阶段。不过,Bro社区还在发展壮大,日益提供更多的帮助,而且Bro能够检测到其他入侵检测工具可能漏掉的异常和模式。

3. Kismet

Kismet可谓无线IDS的标准,是大多数公司的基本工具。该工具专注无线协议,包括WiFi和蓝牙,能够追踪员工很容易意外创建的未授权接入点。Kismet能检测默认网络或配置漏洞,还可以跳频,但其搜索网络的耗时有点长,能获得最佳结果的范围也有限。

Kismet可应用在安卓和iOS平台上,但对Windows支持不足。它有多种API可供集成其他工具,且可为高工作负载提供多线程包解码功能。最近还推出了全新的Web用户界面,附带扩展插件支持。

4. OSSEC

在基于主机的IDS(HIDS)领域,OSSEC是目前功能最全的选择。OSSEC扩展性强,且支持绝大部分操作系统,包括Windows、Linux、Mac OS、Solaris等。其客户端/服务器架构会向中心服务器发送警报和日志以供分析。这意味着即便主机系统掉线或被黑客入侵,警报也能发出。该架构还减轻了工具部署的工作量,因为可以集中管理多个代理。

OSSEC安装很小,运行时对系统资源几乎没有影响。该工具定制化程度很高,可被配置成实时自动化操作模式。OSSEC社区很强大,有很多资源可以利用。

如果对中心服务器有所顾虑,还可以考虑 Samhain Labs ,这款工具也是基于主机的,但提供多种输出方式。

5. Open DLP

数据防泄漏(DLP)就是该款工具的主要目的。该攻击可以全面扫描数据,无论数据是存在数据库中还是存放在文件系统里。 Open DLP 会搜索与公司相关的敏感数据以发现数据的未授权复制和传输。这对防御恶意内部人或粗心大意的员工往外部发送数据很有用。该工具在Windows系统上运行良好,也支持Linux,且可通过代理部署,或作为无代理工具使用。

底线

如您所见,有很多很好的免费开源IDS可供选择,上面列出的还只是其中很少的一部分,不过,这5款工具是个不错的开端。

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

中标

中标

阁策 / 四川人民出版社 / 2019-3-1 / 58.00元

一部IT销售的血泪史 一幅招投标人物群像图一起来看看 《中标》 这本书的介绍吧!

RGB转16进制工具
RGB转16进制工具

RGB HEX 互转工具

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器