Linux

現代開源 NIDS/HIDS 和控制台?

  • January 11, 2011

幾年前,我們通過在外部防火牆前面放置一個水龍頭來建立一個 IDS 解決方案,通過 IDS 盒將我們 DS1 上的所有流量傳輸,然後將結果發送到執行 ACiD 的日誌伺服器。這是在 2005 年左右。我被要求修改解決方案並對其進行擴展並環顧四周,我發現 ACiD 的最後一個版本是從 2003 年開始的,我似乎找不到任何其他看起來甚至是最新的東西。雖然這些東西可能功能齊全,但我擔心庫衝突等。誰能給我一些使用現代工具的基於 Linux/OpenBSD 的解決方案的建議?

需要明確的是,我知道 Snort 仍在積極開發中。我想我更傾向於使用現代開源 Web 控制台來整合數據。當然,如果人們對除 Snort 之外的 IDS 有很好的經驗,我很高興聽到它。

我認為最好的開源組合是:

對於 NIDS:使用 BASE 為 web ui 打鼾

對於 HIDS:OSSEC

我還使用 OSSEC 將 NIDS 數據整合到一個地方(就像 SIEM OSSEC 進行日誌分析、文件完整性檢查和 rootkit 檢測一樣)。

連結: http ://www.snort.org http://www.ossec.net http://base.secureideas.net/

奧西姆

OSSIM 整合了所有這些東西。OSSEC、Snort 等

開源和免費。

OSSIM 具有以下軟體組件:

Arpwatch – 用於 MAC 異常檢測。

P0f – 用於被動作業系統檢測和作業系統更改分析。

Pads – 用於服務異常檢測。

Nessus – 用於漏洞評估和交叉關聯(IDS 與安全掃描器)。

Snort – IDS,也用於與 nessus 的互相關。

Spade – 統計數據包異常檢測引擎。用於獲取有關沒有簽名的攻擊的知識。

Tcptrack – 用於會話數據資訊,可證明對攻擊關聯有用。

Ntop——它建構了一個令人印象深刻的網路資訊數據庫,我們可以從中辨識異常行為/異常檢測。

Nagios – 來自主機資產數據庫,它監控主機和服務可用性資訊。

Osiris - 一個偉大的 HIDS。

OCS-NG – 跨平台庫存解決方案。

OSSEC – 完整性、rootkit、系統資料庫檢測等。

http://www.alienvault.com/community.php?section=Home

-喬什

引用自:https://serverfault.com/questions/77203