绝对不能错过的5款开源入侵检测工具

安全 应用安全 数据安全
入侵检测系统(IDS)不可或缺,可用于监视网络、标记可疑活动或自动阻止潜在恶意流量。以下5款IDS可称之为开源IDS首选。

入侵检测系统(IDS)不可或缺,可用于监视网络、标记可疑活动或自动阻止潜在恶意流量。以下5款IDS可称之为开源IDS首选。

[[248254]]

作为网络安全专业人士,阻止攻击者访问公司网络是我们的职责,但随着移动设备、分布式团队和物联网的兴起,保护网络边界这个任务的困难度呈指数级增加。令人沮丧的现实是,攻击者有时候确实能成功侵入公司网络,而安全团队发现攻击的用时越长,数据泄露的损失就越大。

在健壮的事件响应计划支撑基础上引入入侵检测系统(IDS),可以有效减少数据泄露的潜在危害。

IDS通常分为两类:基于特征码的IDS——扫描已知恶意流量模式并在发现时发出警报;基于异常的IDS——监测基线以暴露偏离基准的异常情况。

若想全面防护公司数据和系统,IDS应部署在网络的各个角落,从内部服务器到数据中心到公共云环境都应有IDS的身影。值得指出的是,IDS还可揭示员工的逾矩行为,包括内部人威胁和磨洋工情形,比如整天在工作电脑上看片或聊微信、QQ。

幸运的是,市场上不仅有商业版的IDS,还有很多开源IDS可供选择,比如下面5款:

1. Snort

作为IDS事实上的业界标准,Snort是个非常有价值的工具。该Linux实用工具很便于部署,且可配置多种功能,比如监视网络流量找寻入侵尝试,记录入侵日志,以及在检测到入侵尝试时采取特定动作。这是一款被广泛部署的IDS工具,且可作为入侵防御系统(IPS)使用。

Snort的历史可追溯至1998年,且历久弥新,有活跃的社区在提供有力支持。虽然既没有图形用户界面(GUI),也缺乏管理控制面板,但你可以利用其他开源工具来补足这个缺陷,比如Snorby或Base。Snort的高度定制性为各种类型的公司企业和组织提供了很多选择。

如果出于某种原因你不想用Snort,那Suricata也是个不错的选项。

2. Bro

Bro拥有可将流量转化为一系列事件的分析引擎,能够检测可疑特征码和异常。用户还可利用Bro-Script编写策略引擎任务,自动化执行更多工作。比如说,该工具可以自动化下载检测到的可疑文件,将之发去分析,在发现异常情况时通知相关人员,并将可疑文件来源加入黑名单,关停下载了该文件的设备。

Bro的缺点在于其陡峭的学习曲线和复杂的设置,用户想要发挥出它的最大价值需经历相对痛苦的摸索阶段。不过,Bro社区还在发展壮大,日益提供更多的帮助,而且Bro能够检测到其他入侵检测工具可能漏掉的异常和模式。

3. Kismet

Kismet可谓无线IDS的标准,是大多数公司的基本工具。该工具专注无线协议,包括WiFi和蓝牙,能够追踪员工很容易意外创建的未授权接入点。Kismet能检测默认网络或配置漏洞,还可以跳频,但其搜索网络的耗时有点长,能获得最佳结果的范围也有限。

Kismet可应用在安卓和iOS平台上,但对Windows支持不足。它有多种API可供集成其他工具,且可为高工作负载提供多线程包解码功能。最近还推出了全新的Web用户界面,附带扩展插件支持。

4. OSSEC

在基于主机的IDS(HIDS)领域,OSSEC是目前功能最全的选择。OSSEC扩展性强,且支持绝大部分操作系统,包括Windows、Linux、Mac OS、Solaris等。其客户端/服务器架构会向中心服务器发送警报和日志以供分析。这意味着即便主机系统掉线或被黑客入侵,警报也能发出。该架构还减轻了工具部署的工作量,因为可以集中管理多个代理。

OSSEC安装很小,运行时对系统资源几乎没有影响。该工具定制化程度很高,可被配置成实时自动化操作模式。OSSEC社区很强大,有很多资源可以利用。

如果对中心服务器有所顾虑,还可以考虑 Samhain Labs ,这款工具也是基于主机的,但提供多种输出方式。

5. Open DLP

数据防泄漏(DLP)就是该款工具的主要目的。该攻击可以全面扫描数据,无论数据是存在数据库中还是存放在文件系统里。 Open DLP 会搜索与公司相关的敏感数据以发现数据的未授权复制和传输。这对防御恶意内部人或粗心大意的员工往外部发送数据很有用。该工具在Windows系统上运行良好,也支持Linux,且可通过代理部署,或作为无代理工具使用。

底线

如您所见,有很多很好的免费开源IDS可供选择,上面列出的还只是其中很少的一部分,不过,这5款工具是个不错的开端。

【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文

责任编辑:赵宁宁 来源: 51CTO专栏
相关推荐

2017-03-10 22:27:59

2017-05-09 17:09:58

网络安全技术周刊

2017-03-02 15:06:37

2015-09-28 18:05:52

安全审计入侵检测Tiger–UNIX

2009-06-03 14:15:34

2015-03-13 09:10:29

2009-12-17 17:31:10

2011-04-11 10:10:00

2009-06-05 11:08:27

2009-06-08 10:40:47

2021-12-03 10:10:16

价格歧视用户分级开发

2014-06-06 10:01:31

2017-09-21 09:42:14

2014-09-28 14:40:47

大屏4K彩电

2015-11-16 14:27:03

2019-12-16 07:23:53

数据科学数据科学家数据

2010-12-01 11:14:46

snort嗅探器数据包记录器

2020-09-20 22:10:04

Google 开源工具

2011-01-06 11:47:08

2021-06-28 10:40:33

WhyNotWin11开源Windows 11
点赞
收藏

51CTO技术栈公众号