1 什么是入侵检测系统(IDS)
叺侵检测系统(IDS)监视网络流量中是否存在异常或可疑活动,并将警报发送给管理员 主要功能是检测异常活动并将其报告给网络管理员。 但是某些IDS软件可以在检测到恶意活动(例如阻止某些传入流量)时根据规则采取措施。
这是我们最佳入侵检测系统软件和工具的列表:
-
SolarWinds Security Event Manager:分析来自WindowsUnix,Linux和Mac OS系统的日志它管理Snort收集的数据,包括实时数据 SEM还是一种入侵防御系统,附带700多个规则以关闭恶意活动改善咹全性,响应事件并实现合规性的重要工具
-
CrowdStrike Falcon(免费试用):一种基于云的端点保护平台,其中包括威胁搜寻
-
Snort:由Cisco Systems提供,可免费使用領先的基于网络的入侵检测系统软件。
-
OSSEC:优秀的基于主机的入侵检测系统可免费使用。
-
Suricata:基于Network的入侵检测系统软件在应用程序层运行,以提高可视性
-
Zeek:网络监控器和基于网络的入侵防御系统。
-
Sagan:日志分析工具可以集成在snort数据上生成的报告因此它是具有少量NIDS的HIDS。
-
Security Onion:网絡监视和安全工具由从其他免费工具中提取的元素组成
2 入侵检测系统的类型
入侵检测系统有两种主要类型(本指南后面将对这两种類型进行详细说明):
- 基于主机的入侵检测系统(HIDS)–该系统将检查网络中计算机上的事件,而不是系统中通过的流量
- 基于网络的入侵檢测系统(NIDS)–该系统将检查您网络上的流量。
网络入侵检测软件和系统现在对于网络安全至关重要 幸运的是,这些系统非常易于使用并且市场上大多数最佳的IDS都可以免费使用。 在这篇评论中您将了解现在可以安装的十种最佳入侵检测系统软件,以开始保护网络免受攻击 我们介绍适用于Windows,Linux和Mac的工具
3 基于主机的入侵检测系统(HIDS)
基于主机的入侵检测系统(也称为主机入侵检测系统或基于主機的IDS)检查网络上计算机上的事件,而不是检查系统周围通过的流量这种类型的入侵检测系统缩写为HIDS,主要通过在受保护的计算机上查看管理文件中的数据来进行操作这些文件包括日志文件和配置文件。
HIDS将备份您的配置文件以便在恶意病毒通过更改计算机的设置洏失去系统安全性时,您可以还原设置您要防止的另一个关键因素是类Unix平台上的root用户访问权限或Windows系统上的注册表更改。 HIDS将无法阻止这些哽改但是它应该能够在发生任何此类访问时提醒您。
HIDS监视器的每个主机上都必须安装一些软件您只需让HIDS监视一台计算机即可。但昰更常见的是在网络上的每台设备上安装HIDS。这是因为您不想忽略任何设备上的配置更改自然,如果您的网络上有多个HIDS主机则无需登錄到每个HIDS主机即可获得反馈。因此分布式HIDS系统需要包括一个集中控制模块。寻找一个对主机代理和中央监视器之间的通信进行加密的系統
4 基于网络的入侵检测系统(NIDS)
基于网络的入侵检测,也称为网络入侵检测系统或网络IDS可检查网络上的流量。因此典型的NIDS必须包括一个数据包嗅探器,以收集网络流量进行分析
NIDS的分析引擎通常基于规则,可以通过添加自己的规则进行修改对于许多NIDS,系统嘚提供者或用户社区将向您提供规则您只需将规则导入到您的实现中即可。熟悉所选NIDS的规则语法后便可以创建自己的规则。
链接回流量收集您不想将所有流量转储到文件中或通过仪表板运行全部操作,因为您将无法分析所有这些数据因此,在NIDS中推动分析的规则也会創建选择性的数据捕获例如,如果您有关于令人担忧的HTTP流量类型的规则则NIDS仅应选择并存储显示这些特征的HTTP数据包。
通常NIDS安装在專用硬件上。高端付费企业解决方案是作为网络套件提供的其中预先装有软件。但是您不必花大钱就可以买到专业的硬件。 NIDS确实需要傳感器模块来接收流量因此您可以将其加载到LAN分析器上,或者可以选择分配计算机来运行任务但是,请确保为任务选择的设备具有足夠的时钟速度以免降低网络速度。
简短的答案是两者 与HIDS相比,NIDS将为您提供更多的监视功能 您可以拦截NIDS发生的攻击。 相反仅当攵件或设备上的设置已更改时,HIDS才会发现任何错误 但是,仅仅因为HIDS的活动性不如NIDSs高所以这并不意味着它们不那么重要。
NIDS通常安装茬独立的设备上这意味着它不会拖拽服务器的处理器。 但是HIDS的活性不如NIDS积极。 HIDS功能可以通过计算机上的轻量级守护程序来实现并且鈈应消耗过多的CPU。 这两个系统都不会产生额外的网络流量
6 检测方法:基于签名或基于异常的IDS
无论您要寻找主机入侵检测系统还是网絡入侵检测系统,所有IDS都使用两种操作模式-有些可能只使用一种或另一种但大多数都使用。
基于签名的方法查看校验和和消息身份驗证 基于签名的检测方法可以像NIDS一样适用于NIDS。 HIDS将查看日志和配置文件以进行任何意外的重写而NIDS将查看捕获的数据包中的校验和以及诸洳SHA1之类的系统的消息身份验证的完整性。
NIDS可以包括签名的数据库这些签名是已知为恶意活动来源的数据包所携带。 幸运的是黑客鈈会坐在电脑旁冒着怒气来破解密码或访问root用户。 相反他们使用著名的黑客工具提供的自动化程序。 这些工具往往每次都会生成相同的鋶量签名因为计算机程序会一遍又一遍地重复相同的指令,而不是引入随机变量
基于异常的检测将查找意外或异常的活动模式。 該类别也可以通过基于主机和基于网络的入侵检测系统来实现 对于HIDS,可能会在登录端口失败或设备端口上异常活动重复出现异常这表礻端口扫描。
对于NIDS异常方法需要建立行为基准,以创建标准情况并与之进行比较。 一定范围的流量模式被认为是可以接受的并苴当当前的实时流量移出该范围时,就会引发异常警报
先进的NIDS可以建立标准行为记录,并随着使用寿命的延长而调整其边界 总体洏言,与NIDS相比HIDS软件更易于操作且签名和异常分析都更易于操作。
于签名的方法比基于异常的检测要快得多 全面的异常引擎涉及到AI嘚方法论,并可能花费大量资金进行开发 但是,基于签名的方法归结为值的比较 实际上,在HIDS的情况下与文件版本进行模式匹配可能昰一项非常简单的任务,任何人都可以使用带有正则表达式的命令行实用程序来执行自己的任务 因此,它们的开发成本不高而且更可能在免费入侵检测系统中实现。
一个全面的入侵检测系统需要基于签名的方法和基于异常的过程
7 使用IPS防御网络
现在,我们需要栲虑入侵防御系统(IPS) IPS软件和IDS是同一技术的分支,因为如果没有检测就无法预防。表达入侵工具这两个分支之间差异的另一种方法是將它们称为被动或主动一个简单的入侵监控和警报系统有时被称为“被动” IDS。一个不仅发现入侵而且采取行动纠正任何损害并阻止来自檢测到的源的进一步入侵尝试的系统也被称为“反应式” IDS。
反应型IDS或IPS通常不会直接实施解决方案相反,它们通过调整设置与防火牆和软件应用程序进行交互反应型HIDS可以与许多网络助手交互以恢复设备(例如SNMP或已安装的配置管理器)上的设置。通常不会自动处理针對root用户或Windows中的admin用户的攻击因为阻止admin用户或更改系统密码会导致系统管理员无法进入网络和服务器。
IDS的许多用户在首次安装防御系统時都会报告大量误报就像IPS在检测到警报条件时自动实施防御策略一样。标定不正确的IPS可能会造成破坏并使您的合法网络活动陷入僵局。
为了最大程度地减少由错误警报引起的网络中断您应该分阶段介绍入侵检测和防御系统。触发器可以定制您可以组合警告条件鉯创建自定义警报。在检测到潜在威胁时需要执行的操作声明称为策略入侵检测和防御程序与防火墙之间的相互作用应进行特别微调,鉯防止您的企业的真正用户被过于严格的政策所锁定
8 入侵检测系统的类型和操作系统
IDS软件的生产者专注于类Unix操作系统。 有些人根据POSIX標准产生他们的代码 在所有这些情况下,这意味着Windows被排除在外 由于Mac OS X和macOS的Mac OS操作系统是基于Unix的,因此与其他软件类别相比这些操作系统茬IDS世界中要好得多。 下表说明了哪些IDS是基于主机的哪些IDS是基于网络的,以及每个可以安装的操作系统
您可能会读到一些声称Security Onion可以茬Windows上运行的评论。 如果您首先安装虚拟机并通过该虚拟机运行它则可以。 但是对于此表中的定义,我们仅将可以直接安装的软件视为與操作系统兼容
9 Top入侵检测软件和工具
以下是可以在Unix/Linux平台上运行的主机入侵检测系统和网络入侵系统的列表。
基于主机的入侵检測系统:
基于网络的入侵检测系统:
尽管Windows Server受到欢迎但入侵检测系统的开发人员似乎对生产Windows操作系统的软件并不十分感兴趣。 这昰在Windows上运行的少数IDS
基于主机的入侵检测系统:
基于网络的入侵检测系统:
Mac用户受益于Mac OS X和macOS都基于Unix的事实,因此Mac用户拥有的入侵检测系统选项要比拥有运行Windows操作系统的计算机的用户多得多
基于主机的入侵检测系统:
基于网络的入侵检测系统:
13 最好的入侵检测系统软件和工具
现在,您已经看到按操作系统快速了解基于主机的入侵检测系统和基于网络的入侵检测系统在此列表中,我們将更深入地介绍每个最佳IDS的细节
作为日志管理器,这是基于主机的入侵检测系统因为它与管理系统上的文件有关。但是它也管理Snort收集的数据,这使其成为基于网络的入侵检测系统的一部分
Snort是Cisco Systems创建的一种广泛使用的数据包嗅探器(请参阅下文)。它具有特萣的数据格式其他IDS工具生产商已将其集成到其产品中。 SolarWinds安全事件管理器就是这种情况网络入侵检测系统会检查流量数据在网络上传播嘚情况。要部署Security Event
Manager的NIDS功能您需要使用Snort作为数据包捕获工具,并将捕获的数据漏斗到Security Event Manager中进行分析尽管LEM在处理日志文件创建和完整性时可充當HIDS工具,但它能够通过Snort接收实时网络数据而Snort是NIDS的一项活动。
SolarWinds产品还可以充当入侵防御系统因为它可以触发检测入侵的措施。该软件包附带700多个事件关联规则使它能够发现可疑活动并自动实施补救活动。这些动作称为主动响应
这些积极回应包括:
通过SNMP,屏幕消息或电子邮件发出事件警报
用户帐户被暂停或用户被驱逐
Security Event Manager的Snort消息处理功能使其成为非常全面的网络安全监视器 由于该工具能够将Snort數据与系统上的其他事件结合在一起,因此几乎可以立即关闭恶意活动 经过微调的事件相关规则,大大降低了通过检测误报而中断服务嘚风险
您可以在内访问此网络安全系统。
CrowdStrike Falcon系统是一个端点保护平台(EPP)这是一个HIDS,因为它监视各个端点上的活动而不是网络活动但是,与典型的HIDS不同该系统不关注受监控设备上的日志文件,而是查看每台计算机上运行的进程这通常是NIDS策略。
Falcon平台是一組模块 HIDS功能由Falcon Insight部门提供。这是一个端点检测和响应(EDR)系统 EPP的核心模块称为Falcon Prevent,它是下一代AV系统这也使用HIDS方法来检测恶意行为。这两種模块的方法之间的差异很小因为这两种方法都监视异常行为。但是Falcon Prevent的识别特征是它正在搜索恶意软件,而Falcon
Insight专门在寻找入侵
Falcon Insight将倳件记录在受保护的计算机上,需要将其存储在日志文件中因此一旦编写了这些事件,该工具的研究和检测元素就会使用纯HIDS策略 EPP的事件收集元素是代理,必须将其安装在受保护的设备上该代理与EPP的中央处理系统进行通信,该中央处理系统驻留在云中受保护端点的人笁管理员可以通过任何标准浏览器访问Falcon仪表板。
CrowdStrike Falcon软件的本地/云混合体系结构的优点是该系统在您的设备上非常轻便 CrowdStrike服务器上的分析軟件提供了用于威胁分析的所有处理能力。这意味着安装此安全服务不会降低计算机的速度让计算机自由执行为其提供的任务。但是該代理还充当威胁补救实施者,因此即使Internet连接不可用该代理也可以继续工作。
ManageEngine是IT网络基础架构监视和管理解决方案的领先生产商 EventLog
除操作系统外,该服务还收集和合并来自Microsoft SQL Server和Oracle数据库的日志它还能够从许多防病毒系统引导警报,包括Microsoft防恶意软件ESET,SophosNorton,KasperskyFireEye,MalwarebytesMcAfee和Symantec。它将从Web服务器防火墙,管理程序路由器,交换机和网络漏洞扫描程序中收集日志
EventLog Analyzer收集日志消息并充当日志文件服务器,根据消息源和日期将消息组织到文件和目录中紧急警告也将转发到EventLog Analyzer仪表板,并且可以作为票证直接发送到Help Desk系统以引起技术人员的即时关注。包中内置的威胁情报模块决定了哪些事件构成潜在的安全漏洞
该服务包括自动日志搜索和事件关联,以编译定期的安全报告这些报告中包括特权用户监视和审核(PUMA)的格式,以及证明符合PCI DSSFISMA,ISO 27001GLBA,HIPAASOX和GDPR所需的各种格式。
ManageEngine EventLog Analyzer具有三个版本 其中第一个是免费的。 泹是免费版仅限于监视来自五个来源的日志消息,这对于除超小型企业之外的任何现代企业来说还远远不够 两种付费版本分别是Premium和Distributed。 汾布式计划比高级计划贵得多
对于大多数单站点企业来说,Premium系统应该足够了而分布式版本将覆盖多个站点和无限数量的日志记录源。 您可以通过来试用该系统该试用期的上限为2,000条日志消息源。
Snort是NIDS的行业领导者但仍然可以免费使用。这是可以在Windows上安装的少数几个IDSの一它是由思科创建的。该系统可以在三种不同的模式下运行并可以实施防御策略因此它既是入侵防御系统又是入侵检测系统。
Snort嘚三种模式是:
可以将snort用作数据包嗅探器而无需打开其入侵检测功能。在这种模式下您可以实时读取通过网络传递的数据包。在數据包记录模式下那些数据包详细信息将写入文件。
当您访问Snort的入侵检测功能时您将调用一个分析模块,该模块将一组规则应用於通过的流量这些规则称为“基本策略”,如果您不知道需要哪些规则则可以从Snort网站下载它们。但是一旦您对Snort的方法学充满信心,僦可以编写自己的方法了该IDS有大量的社区基础,它们在Snort网站的社区页面上非常活跃您可以从其他用户那里获得提示和帮助,还可以下載有经验的Snort用户已经制定的规则
该规则将检测诸如隐形端口扫描,缓冲区溢出攻击CGI攻击,SMB探针和操作系统指纹之类的事件检测方法取决于所使用的特定规则,并且包括基于签名的方法和基于异常的系统
Snort的声名吸引了软件开发人员行业的追随者。 其他软件公司创建的几个应用程序可以对Snort收集的数据进行更深入的分析 这些包括Snorby,BASESquil和Anaval。 这些配套应用程序可以帮助您弥补Snort的界面不是非常友好的倳实
OSSEC代表开源HIDS安全性。它是领先的HIDS并且完全免费使用。作为基于主机的入侵检测系统该程序专注于安装它的计算机上的日志文件。它监视所有日志文件的校验和签名以检测可能的干扰。在Windows上它将保留对注册表所做的任何更改的选项卡。在类似Unix的系统上它将監视任何访问root帐户的尝试。尽管OSSEC是一个开源项目但它实际上是由趋势科技(一家著名的安全软件生产商)拥有的。
主监视应用程序鈳以覆盖一台计算机或多台主机将数据整合到一个控制台中。尽管有一个Windows代理可以监视Windows计算机但是主应用程序只能安装在类Unix系统上,這意味着UnixLinux或Mac OS。主程序有OSSEC的接口但是该接口是单独安装的,不再受支持
OSSEC的常规用户已经发现其他可以很好地用作数据收集工具前端的應用程序:Splunk,Kibana和Graylog
OSSEC涵盖的日志文件包括FTP,邮件和Web服务器数据它还监视操作系统事件日志,防火墙和防病毒日志和表以及流量日志 OSSEC嘚行为由您在其上安装的策略控制。可以从该产品活跃的大型用户社区中获取这些附件策略定义警报条件。这些警报可以显示在控制台仩也可以作为通知通过电子邮件发送。
Suricata可能是Snort的主要替代产品 Suricata与Snort相比,具有一个关键优势那就是它在应用程序层收集数据。这克服了Snort对签名分割成多个TCP数据包的盲目性 Suricata等待将数据包中的所有数据组装起来,然后再将信息移入分析
尽管系统在应用程序层工莋,但它可以监视较低级别的协议活动例如IP,TLSICMP,TCP和UDP它检查不同网络应用程序(包括FTP,HTTP和SMB)的实时流量监视器不仅查看数据包的结構。它可以检查TLS证书并专注于HTTP请求和DNS调用。文件提取工具使您可以检查和隔离具有病毒感染特征的可疑文件
Suricata与Snort兼容,您可以使用為该NIDS负责人编写的相同VRT规则与Snort集成的那些第三方工具(例如Snorby,BASESquil和Anaval)也可以连接到Suricata。因此访问Snort社区以获取提示和免费规则对于Suricata用户可能是一个很大的好处。内置脚本模块使您可以组合规则并获得比Snort所能提供的更精确的检测配置文件
Suricata同时使用签名和异常检测方法。
Suricata具有巧妙的处理架构可通过使用许多不同的处理器同时进行多线程活动来实现硬件加速。它甚至可以部分在您的图形卡上运行任务的这种汾布可避免负载仅承受一台主机。很好因为此NIDS的一个问题是它的处理量很大。
Suricata的仪表板外观非常时尚集成了图形,使分析和问题識别更加轻松尽管外观如此昂贵,但Suricata是免费的
Zeek(以前的Bro)是一个免费的NIDS,它不仅可以进行入侵检测还可以为您提供其他网络监視功能。 Zeek的用户社区包括许多学术和科研机构
Zeek入侵检测功能分两个阶段完成:流量记录和分析。与Suricata一样Zeek与Snort相比具有一个主要优势,因为它的分析在应用程序层进行这样,您就可以跨数据包查看数据以更广泛地分析网络协议活动。
Zeek的分析模块具有两个元素鈳同时用于签名检测和异常分析。这些分析工具中的第一个是Zeek事件引擎这跟踪触发事件,例如新的TCP连接或HTTP请求每个事件都被记录下来,因此系统的这一部分与策略无关-它仅提供事件列表在这些事件中,分析可能会揭示同一用户帐户所产生的重复动作或可疑活动
該事件数据的挖掘由策略脚本执行。警报条件将引起行动因此Zeek是入侵防御系统以及网络流量分析器。可以自定义策略脚本但是它们通瑺沿标准框架运行,该框架涉及签名匹配异常检测和连接分析。
您可以使用Zeek跟踪HTTPDNS和FTP活动,还可以监视SNMP流量使您可以检查设备配置更改和SNMP陷阱条件。每个策略都是一组规则您不限于活动策略的数量或可以检查的协议堆栈其他层。在较低级别您可以当心DDoS Syn Flood攻击并检測端口扫描。
Sagan是基于主机的入侵检测系统因此它是OSSEC的替代产品,并且可以免费使用尽管是HIDS,但该程序与NIDS系统Snort收集的数据兼容这種兼容性还扩展到了可以与Snort结合使用的其他工具,例如SnorbyBASE,Squil和Anaval来自Zeek和Suricata的数据源也可以输入Sagan。该工具可以安装在UnixLinux和Mac
OS上。尽管您无法在Windows上運行Sagan但可以将Windows事件日志输入其中。
严格来说Sagan是一个日志分析工具。使其成为独立NIDS所缺少的元素是数据包嗅探器模块但是,从好嘚方面来说这意味着Sagan不需要专用的硬件,并且可以灵活地分析主机日志和网络流量数据该工具必须与其他数据收集系统配合使用,以創建完整的入侵检测系统
Sagan的一些不错的功能包括IP定位器,它使您能够查看被检测为具有可疑活动的IP地址的地理位置这将使您能够彙总似乎协同工作的IP地址的动作,从而构成攻击 Sagan可以将其处理分布在多个设备上,从而减轻了密钥服务器CPU的负担
该系统包括脚本執行,这意味着它将生成警报并在检测到入侵场景时执行操作如果来自特定来源的可疑活动,它可以与防火墙表进行交互以实施IP禁令洇此,这是一个入侵防御系统分析模块可用于签名和异常检测方法。
Sagan并未进入所有人的最佳IDS列表因为它并没有真正成为IDS(即日志攵件分析器)的资格。但是其具有NIDS概念的HIDS使其成为混合IDS分析工具组件的一个有趣的主张。
对于IDS解决方案您可以尝试使用免费的Security Onion系統。此列表中的大多数IDS工具都是开源项目这意味着任何人都可以下载源代码并进行更改。这正是Security Onion的开发人员所做的他从Snort,SuricataOSSEC和Zeek的源代碼中提取了元素,并将它们缝合在一起以创建基于Linux的免费NIDS / HIDS混合体。 Security
尽管Security Onion被归类为NIDS但它确实也包含HIDS功能。它将监视您的日志和配置攵件中是否存在可疑活动并检查这些文件的校验和中是否有任何意外更改。 Security Onion全面的网络基础结构监视方法的缺点之一是其复杂性它具囿几种不同的操作结构,实际上并没有足够的在线学习资料或捆绑在一起的学习材料来帮助网络管理员掌握该工具的全部功能
网络汾析是由数据包嗅探器进行的,它可以在屏幕上显示通过的数据也可以写入文件。 Security Onion的分析引擎使事情变得复杂因为有许多具有不同操莋过程的不同工具,您最终可能会忽略其中的大多数 Kibana的界面提供了Security Onion的仪表板,并且确实包含一些漂亮的图形和图表以简化状态识别
基于签名的警报规则和基于异常的警报规则都包含在此系统中。您可以获得有关设备状态和流量模式的信息所有这些实际上都可以通過一些动作自动化来完成,而Security Onion则缺乏
如果您已考虑过Tripwire,则最好改用AIDE因为这是该便捷工具的免费替代品。 Tripwire有一个免费版本但是大哆数人需要IDS才能提供的许多关键功能只有付费的Tripwire才能使用,因此AIDE免费提供了更多功能
首次安装时,系统会从配置文件中编译管理数據数据库这将创建基准,然后只要检测到系统设置更改就可以回滚对配置的任何更改。该工具包括签名和异常监视方法系统检查是按需签发的,不能连续运行这与该HIDS有点不足。但是由于这是一个命令行功能,因此可以将其安排为使用cron等操作方法定期运行如果您想要近乎实时的数据,则可以安排它非常频繁地运行
AIDE实际上只是一种数据比较工具,它不包含任何脚本语言您将不得不依靠Shell脚本技能来将数据搜索和规则实现功能纳入此HIDS。也许应该将AIDE视为配置管理工具而不是入侵检测系统。
如果您听说过Aircrack-NG那么您可能会對这种基于网络的IDS有点谨慎,因为它是由同一位企业家开发的 Aircrack-NG是一种无线网络数据包嗅探器和密码破解,已经成为每个wifi网络黑客工具包Φ的一部分
在WIPS-NG中,我们看到了一个由偷猎者转为游戏管理员的案例该免费软件旨在防御无线网络。尽管Aircrack-NG可以在多种操作系统上运荇但是Open WIPS-NG仅在Linux上运行。 “ WIPS”这个名称代表“无线入侵防御系统”因此该NIDS可以检测并阻止入侵。
该系统包括三个要素:
有计划允許WIPS-NG安装监视多个传感器但是,目前每个安装只能包含一个传感器。这不应该是太大的问题因为您只需一个传感器即可完成多项任务。传感器是一个数据包嗅探器它还具有在中间流中操纵无线传输的能力。因此传感器充当系统的收发器。
传感器收集的信息被转發到服务器这就是发生魔术的地方。服务器程序套件包含将检测入侵模式的分析引擎服务器还会生成阻止检测到的入侵的干预策略。保护网络所需的操作将作为指令发送给传感器
系统的界面模块是一个仪表板,可向系统管理员显示事件和警报这也是可以调整设置,可以调整或覆盖防御措施的地方
由德国Samhain Design Labs生产的Samhain是免费使用的基于主机的入侵检测系统软件。它可以在单台计算机或多台主机上運行??从而提供有关每台计算机上运行的代理检测到的事件的集中数据。
每个代理执行的任务包括文件完整性检查日志文件监視和端口监视。进程查找rootkit病毒流氓SUID(用户访问权限)和隐藏进程。在多主机实现中系统将加密应用于代理和中央控制器之间的通信。傳送日志文件数据的连接包括身份验证要求可以防止入侵者劫持或替换监视过程。
Samhain收集的数据可以分析网络上的活动并突出显示叺侵的警告信号。但是它不会阻止入侵或清除恶意进程。您将需要保留配置文件和用户身份的备份以解决Samhain监视器显示的问题。
黑愙和病毒入侵的一个问题是入侵者将采取措施将其隐藏。这包括终止监视过程 Samhain部署了一种隐身技术来隐藏其进程,从而防止入侵者操縱或杀死IDS这种隐形方法称为“隐写术”。
中央日志文件和配置备份使用PGP密钥签名以防止入侵者篡改。
Samhain是一个开源网络入侵检測系统可以免费下载。它是根据POSIX准则设计的以使其与Unix,Linux和Mac OS兼容中央监视器将汇总来自不同操作系统的数据。
Fail2Ban是一个免费的基于主机的入侵检测系统专注于检测日志文件中记录的令人担忧的事件,例如过多的失败登录尝试系统在显示可疑行为的IP地址上设置了阻圵。这些禁令通常仅持续几分钟但这足以破坏标准的自动暴力破解密码的情况。此安全策略也可以有效地抵抗DoS攻击 IP地址禁止的实际长喥可以由管理员调整。
Fail2Ban实际上是一种入侵防御系统因为它可以在检测到可疑活动时采取措施,而不仅会记录并突出显示可能的可疑叺侵
因此,系统管理员在设置软件时必须注意访问策略因为过于严格的预防策略很容易将善意的用户拒之门外。 Fail2Ban的问题在于它專注于从一个地址重复执行操作。这使其无法应对分布式密码破解活动或DDoS攻击
系统的攻击监视范围由一系列过滤器定义,这些过滤器指示IPS监视哪些服务其中包括Postfix,ApacheCourier Mail Server,Lighttpdsshd,vsftpd和qmail每个过滤器都与一个动作结合在一起,以在检测到警报情况时执行过滤器和操作的组合稱为“监狱”。
该系统采用POSIX标准编写因此可以安装在Unix,Linux和Mac OS操作系统上
14 如何为您的网络选择IDS软件
基于网络的IDS解决方案的硬件要求可能会让您望而却步,而是将您推向基于主机的系统该系统更容易启动和运行。但是请不要忽略您不需要专用于这些系统的专用硬件的事实,只需专用主机即可
实际上,您应该在为网络获取HIDS和NIDS这是因为您需要注意计算机上的配置更改和root用户访问权限,以及查看网络流量中的异常活动
好消息是,我们列出的所有系统都是免费的或免费试用的因此您可以尝试其中的一些。这些系统的用户社区方面可能会特别吸引您如果您已经有一位具有丰富经验的同事。从其他网络管理员那里获得提示的能力绝对是这些系统的吸引力與专业服务台支持的付费解决方案相比,它甚至更具吸引力
如果您的公司所在的行业需要标准的安全合规性,例如PCI那么您确实需偠适当的IDS解决方案。另外如果您将个人信息保存在公众面前,则您的数据保护程序必须严格执行以防止因数据泄露而起诉您的公司。
尽管可能只需要花费整天的时间来保持网络管理员的地位但不要推迟安装入侵检测系统的决定。希望本指南为您提供了正确的方向如果您对自己喜欢的IDS有任何建议,并且有使用本指南中提到的任何软件的经验请在下面的评论部分中留下注释,并与社区分享您的想法
IDS是入侵检测系统,IPS是入侵防御系统 尽管IDS可以检测对网络和主机资源的未授权访问,但是IPS可以完成所有这些工作并实施自动响應以将入侵者拒之门外,并保护系统免遭劫持或数据被盗 IPS是具有内置工作流程的IDS,该工作流程由检测到的入侵事件触发
Snort和OSSEC都是开源IDS。 Snort是基于网络的入侵检测系统(NIDS)而OSSEC是基于主机的入侵检测系统(HIDS)。 Snort和OSSEC方法之间的主要区别在于Snort的NIDS方法在数据通过网络传输时对其進行处理 OSSEC的HIDS系统检查网络中计算机上的日志文件以查找意外事件。 Snort和OSSEC都是领先的IDS
基于主机的入侵检测系统如何工作?
基于主机的叺侵检测系统(HIDS)检查日志文件以识别未经授权的访问或对系统资源和数据的不当使用。 基于主机的入侵检测系统的主要来源是Syslog和Windows Events生成嘚日志 尽管某些基于主机的入侵检测系统希望日志文件由单独的日志服务器收集和管理,但其他系统却内置了自己的日志文件合并器並且还收集其他信息,例如网络流量数据包捕获
什么是主动和被动IDS?
入侵检测系统(IDS)仅需要识别对网络或数据的未授权访问即可獲得标题 被动IDS将记录入侵事件并生成警报以引起操作员的注意。 被动IDS还可以存储有关每个检测到的入侵和支持分析的信息 主动IDS也被称為入侵防御系统(IPS)或入侵检测与防御系统(IDPS),因为它不仅可以发现入侵还可以实施自动操作来阻止入侵者并保护资源。
IDS如何定义正瑺使用
IDS可以使用两种方法来定义正常使用-一些IDS工具会同时使用这两种方法。 一种是将事件与攻击策略数据库进行比较因此正常使鼡的定义是不会触发对攻击的识别的任何活动。 另一种方法是使用基于AI的机器学习来记录常规活动 AI方法可能需要一些时间来建立其正常使用的定义。
最好的入侵检测和防御系统是什么
