最好的開源網絡入侵檢測工具 coco coco 2018-01-25 11:57:10 在企業中,為了保護數據,防止網絡中的違規事件是一件嚴重的事情。 任何惡意軟件的利用都會給公司造成很大的損失。 安全地維護網絡是所有系統管理員希望實現的目標。 讓我們來看看幾個重要的開源網絡入侵檢測工具。 在當今世界,數據泄露,威脅,攻擊和入侵正變得非常復雜。網絡犯罪分子和黑客提出了進入商業和家庭網絡的新方法,使得網絡安全的多層次方法成為迫切的需要。因此,入侵檢測系統(IDS)是用來防御網絡日常出現的高科技攻擊的最重要工具。 IDS是網絡安全工具,用於檢測針對目標應用程序或計算機的漏洞攻擊。它被認為是一種高端網絡設備或軟件應用程序,協助網絡或系統管理員監視網絡或系統中的各種惡意活動或威脅。使用安全信息和事件管理(SIEM)系統向管理員報告任何異常活動。 有各種各樣的IDS可用,從防病毒到監視網絡流量的分層系統。最常見的是下面列出的。 NIDS:網絡入侵檢測系統被放置在網絡中的高度戰略點上,以監控來自網絡中所有設備的入站和出站流量。但掃描所有流量可能會導致瓶頸的產生,從而影響網絡的整體速度。 HIDS:主機入侵檢測系統運行在網絡中的不同機器或設備上,並為整個網絡提供防御來自外部世界的威脅。 Signature based IDS:基於簽名的IDS系統監視網絡中的所有數據包,並將它們與預先配置的和預先確定的攻擊模式的簽名數據庫進行比較。他們的工作類似於防病毒軟件。 Anomaly based IDS:此IDS監視網絡流量,並將其與建立的基准進行比較。基准確定網絡在帶寬,協議,端口和其他設備方面被認為是正常的因素,而IDS會提醒管理員防范各種異常活動。 Passive IDS:這個IDS系統做簡單的檢測和警報工作。它只是警告管理員的任何形式的威脅,並阻止有關活動作為預防措施。 Reactive IDS:檢測惡意活動,向管理員發出威脅並響應這些威脅。 企業級網絡可以使用許多開放源碼工具,這取決於所需的復雜程度和安全性。為了使網絡具有較高的安全性,入侵檢測系統應檢測網絡中主機的各種可疑行為,並采取積極措施防止攻擊。 8大開源網絡入侵檢測工具 這里列出了8個開源網絡入侵檢測工具,並對每個入侵檢測工具進行了簡要說明。 Snort Snort是一個免費的開源網絡入侵檢測和預防工具。它是由Martin Roesch於1998年創建的。使用Snort的主要優點是能夠在網絡上執行實時流量分析和數據包記錄。憑借協議分析,內容搜索和各種預處理器的功能,Snort被廣泛接受為檢測各種蠕蟲,攻擊,端口掃描和其他惡意威脅的工具。它可以配置三種主要模式 - 嗅探器,數據包記錄器和網絡入侵檢測。在嗅探器模式下,程序將只讀取數據包並在控制台上顯示信息。在數據包記錄器模式下,數據包將被記錄在磁盤上。在入侵檢測模式下,程序將監控實時流量並將其與用戶定義的規則進行比較。 Snort可以檢測到諸如緩沖區溢出,隱形端口掃描,CGI攻擊,SMB探測,操作系統指紋嘗試等各種攻擊。它受到許多硬件平台和操作系統的支持,如Linux,OpenBSD,FreeBSD,Solaris,HP-UX ,MacOS,Windows等。 優點: 免費下載,是開源的。 易於編寫入侵檢測規則。 在部署方面具有高度靈活性和動態性。 良好的社區支持解決問題,正在快速發展。 缺點: 沒有規則操作的GUI界面。 處理網絡數據包有點慢。 無法檢測到分割多個TCP數據包的簽名,這是在以串聯模式配置數據包時發生的。 最新版本:2.9.9.0 官方網站:www.snort.org Security Onion Security Onion是入侵檢測,網絡安全監控和日志管理的Linux發行版。 開源發行版基於Ubuntu,包含許多IDS工具,如Snort,Suricata,Bro,Sguil,Squert,Snorby,ELSA,Xplico,NetworkMiner等等。 Security Onion為網絡流量,警報和可疑活動提供了高可見性和環境。 但是這需要系統管理員進行適當的管理來檢查警報,監視網絡活動並定期更新基於IDS的檢測規則。 安全洋蔥有三個核心功能: 完整的數據包捕獲 基於網絡和主機的入侵檢測系統 強大的分析工具 完整的數據包捕獲:這是通過使用netsnifff-ng完成的,捕獲Security Onion可以看到的所有網絡流量,並且可以像存儲解決方案一樣存儲。 它就像一個網絡實時攝像機,提供了網絡上發生的威脅和惡意活動的所有證據。 基於網絡和基於主機的IDS:分析網絡或主機系統,並為檢測到的事件和活動提供日志和警報數據。 Security Onion擁有多種IDS選項,如規則驅動的IDS,分析驅動的IDS,HIDS等。 分析工具:除了網絡數據捕獲外,Security Onion還包括Sguil,Squert,ELSA等各種工具,用於協助管理員進行分析。 Security Onion還為常規獨立,服務器傳感器和混合監控工具的實時部署提供了多種方式。 優點: 為用戶提供一個高度靈活的環境,以根據需要調整網絡安全。 由預先安裝的傳感器管理工具,流量分析儀和數據包嗅探器組成,無需額外的IDS / IPS軟件即可運行。 定期更新以提高安全級別。 缺點: 安裝后不能作為IPS使用,而只能作為IDS使用,用戶在網站上找不到任何關於此的說明。 不支持用於管理網絡的Wi-Fi。 管理員需要學習各種工具來有效使用Security Onion發行版。 配置文件除規則以外不能自動備份; 因此此活動需要使用第三方軟件。 最新版本:14.04.5.1 官方網站:https://securityonion.net/ OpenWIPS-NG OpenWIPS-NG是一種免費的無線入侵檢測和防御系統,它依賴於傳感器、服務器和接口。它主要運行在商品硬件上。它是由Aircrack軟件的發明者Thomas d 'Otrepe de Bouvette開發的。OpenWIPS使用Aircrack-NG內置的許多功能和服務進行掃描,檢測和入侵防護。 下面列出了OpenWIPS-NG的三個主要部分。 傳感器:用作捕獲無線流量並將數據發送回服務器進行進一步分析的設備。 傳感器在應對各種網絡攻擊方面也起着重要的作用。 服務器:執行來自所有傳感器的數據聚合的作用,分析數據並響應攻擊。 另外,它會記錄任何類型的攻擊並提醒管理員。 界面:GUI管理服務器並顯示針對網絡的各種威脅的信息。 優點: 基於模塊化和插件。 所需的軟件和硬件可由DIY人員構建。 通過使用插件支持其他功能。 缺點: 只適用於無線網絡。 只適用於中低端管理,不能完全適應各種無線攻擊。 與其他系統相比,沒有詳細的文檔和社區支持。 最新版本:OpenWIPS-NG 0.1 beta 1 官方網站:http://www.openwips-ng.org/ Suricata Suricata是開源信息安全基金會(Open Information Security Foundation)開發的一個開源,快速,高度穩定的網絡入侵檢測系統。 Suricata引擎能夠實時入侵檢測,內聯入侵防御和網絡安全監控。 Suricata由幾個模塊組成,如捕捉,采集,解碼,檢測和輸出。 它捕獲在解碼之前在一個流中傳遞的流量,這是非常優化的。 但是與Snort不同的是,它在捕獲並指定流程將如何在處理器之間分離之后配置單獨的流程。 優點: 在OSI模型的第七層進行網絡流量處理,從而增強了檢測惡意軟件活動的能力。 自動檢測和分析IP,TCP,UDP,ICMP,HTTP,TLS,FTP,SMB和FTP等協議,以便適用於所有協議。 高級功能包括多線程和GPU加速。 缺點: 與Snort等其他IDS相比,支持較少。 操作復雜,需要更多的系統資源才能完成功能。 最新版本:3.2 官方網站:https://suricata-ids.org BroIDS BroIDS是由Vern Paxson開發的一種被動的,開源的網絡流量分析器,用於收集網絡測量數據,進行法庭調查,交通基礎內襯等等。 BroIDS包含一組日志文件,用於記錄網絡活動,如HTTP會話,包括URI,密鑰標頭,MIME類型,服務器響應,DNS請求,SSL證書,SMTP會話等。此外,它提供了復雜的功能,用於分析和檢測威脅,從HTTP會話中提取文件,復雜的惡意軟件檢測,軟件漏洞,SSH蠻力攻擊和驗證SSL證書鏈。 BroIDS分為以下兩層。 Bro事件引擎:當網絡上發生異常時,它執行使用C ++分析實時或記錄的網絡流量包的事件。 Bro策略腳本:這些策略分析事件以創建操作策略,使用策略腳本處理事件,例如發送電子郵件,發出警報,執行系統命令,甚至調用緊急號碼。 最新版本:Bro 2.5 官方網站:www.bro.org 優點: BroIDS非常靈活,使用腳本語言來允許用戶為每個受保護的對象設置監視規則。 在擁有大量流量的網絡中高效工作,並處理大型網絡項目。 能夠深入分析流量,並支持多種協議的分析儀。 高度有狀態,並做法醫級綜合日志維護。 缺點: 不容易處理,因為它有一個復雜的架構。 需要編程經驗才能勝任處理BroIDS系統。 OSSEC OSSEC是一個基於免費和開放源碼的基於主機的IDS,可以執行日志分析,完整性檢查,Windows注冊表監視,rootkit檢測,基於時間的警報和主動響應等各種任務。 OSSEC系統配備了集中式和跨平台架構,可以讓管理員准確地監控多個系統。 OSSEC系統包括以下三個主要組件。 主要應用:這是安裝的主要要求; OSSEC由Linux,Windows,Solaris和Mac環境支持。 Windows代理程序:只有在基於Windows的計算機/客戶端以及服務器上安裝OSSEC時才需要。 Web界面:基於Web的GUI應用程序,用於定義規則和網絡監視。 優點: 多平台IDS系統提供實時和可配置的警報。 集中管理,代理和無代理監控。 可以在無服務器和服務器代理模式下使用。 缺點: 升級過程使用開箱即用的規則覆蓋現有的規則。 預共享密鑰可能很麻煩。 Windows操作系統僅在服務器代理模式下受支持。 最新版本:2.8.3 官方網站:http://ossec.github.io/ Open Source Tripwire 開源的Tripwire是一個基於主機的入侵檢測系統,專注於檢測文件系統對象的變化。 在第一次初始化時,Tripwire根據系統管理員的指示掃描文件系統,並將每個文件的信息存儲在數據庫中。 當文件被更改並在將來掃描時,結果將與存儲的值進行比較,並將更改報告給用戶。 Tripwire利用加密哈希來檢測文件的變化。 除了掃描文件更改外,還用於完整性保證,更改管理和策略合規性。 優點: 非常適合小型,分散式Linux系統。 與Linux良好的集成 缺點: 只能在Linux上運行。 要求用戶成為Linux專家。 高級功能在開源版本中不可用。 沒有實時警報。 最新版本:2.4.3.1 官方網站:https://github.com/Tripwire/tripwire-open-source AIDE AIDE(高級入侵檢測環境)由Rami Lehti和Pablo Virolainen開發。它被認為是監視UNIX或Linux系統變化的最強大工具之一。 AIDE通過從配置文件中找到的正則表達式規則創建一個數據庫。初始化數據庫時,用於驗證文件的完整性。 AIDE的一些最強大的功能如下: 支持各種消息摘要算法,如MD5,SHA1,RMD160,TIGER,SHA256和SHA512。 支持POSIX ACL,SELinux,XAttra和擴展文件系統。 強大的正則表達式支持,包含或排除要監視的文件和目錄。 支持各種操作系統平台,如Linux,Solaris,Mac OS X,UNIX,BSD,HP-UX等 優點: 實時檢測和消除攻擊者恢復文件或目錄屬性。 異常檢測以減少文件系統監視器的錯誤率。 支持廣泛的加密算法。 缺點: 沒有GUI界面。 需要仔細配置以有效檢測和預防。 不能正確處理長文件名以便順利檢測。 最新版本:0.16 官方網站:http://aide.sourceforge.net/