現代開源 NIDS/HIDS 和控制台?
幾年前,我們通過在外部防火牆前面放置一個水龍頭來建立一個 IDS 解決方案,通過 IDS 盒將我們 DS1 上的所有流量傳輸,然後將結果發送到執行 ACiD 的日誌伺服器。這是在 2005 年左右。我被要求修改解決方案並對其進行擴展並環顧四周,我發現 ACiD 的最後一個版本是從 2003 年開始的,我似乎找不到任何其他看起來甚至是最新的東西。雖然這些東西可能功能齊全,但我擔心庫衝突等。誰能給我一些使用現代工具的基於 Linux/OpenBSD 的解決方案的建議?
需要明確的是,我知道 Snort 仍在積極開發中。我想我更傾向於使用現代開源 Web 控制台來整合數據。當然,如果人們對除 Snort 之外的 IDS 有很好的經驗,我很高興聽到它。
我認為最好的開源組合是:
對於 NIDS:使用 BASE 為 web ui 打鼾
對於 HIDS:OSSEC
我還使用 OSSEC 將 NIDS 數據整合到一個地方(就像 SIEM OSSEC 進行日誌分析、文件完整性檢查和 rootkit 檢測一樣)。
連結: http ://www.snort.org http://www.ossec.net http://base.secureideas.net/
奧西姆
OSSIM 整合了所有這些東西。OSSEC、Snort 等
開源和免費。
OSSIM 具有以下軟體組件:
Arpwatch – 用於 MAC 異常檢測。
P0f – 用於被動作業系統檢測和作業系統更改分析。
Pads – 用於服務異常檢測。
Nessus – 用於漏洞評估和交叉關聯(IDS 與安全掃描器)。
Snort – IDS,也用於與 nessus 的互相關。
Spade – 統計數據包異常檢測引擎。用於獲取有關沒有簽名的攻擊的知識。
Tcptrack – 用於會話數據資訊,可證明對攻擊關聯有用。
Ntop——它建構了一個令人印象深刻的網路資訊數據庫,我們可以從中辨識異常行為/異常檢測。
Nagios – 來自主機資產數據庫,它監控主機和服務可用性資訊。
Osiris - 一個偉大的 HIDS。
OCS-NG – 跨平台庫存解決方案。
OSSEC – 完整性、rootkit、系統資料庫檢測等。
http://www.alienvault.com/community.php?section=Home
-喬什