最好的開源網路入侵檢測工具
在企業中,為了保護數據,防止網路中的違規事件是一件嚴重的事情。 任何惡意軟體的利用都會給公司造成很大的損失。 安全地維護網路是所有系統管理員希望實現的目標。 讓我們來看看幾個重要的開源網路入侵檢測工具。
在當今世界,數據泄露,威脅,攻擊和入侵正變得非常複雜。網路犯罪分子和黑客提出了進入商業和家庭網路的新方法,使得網路安全的多層次方法成為迫切的需要。因此,入侵檢測系統(IDS)是用來防禦網路日常出現的高科技攻擊的最重要工具。 IDS是網路安全工具,用於檢測針對目標應用程序或計算機的漏洞攻擊。它被認為是一種高端網路設備或軟體應用程序,協助網路或系統管理員監視網路或系統中的各種惡意活動或威脅。使用安全信息和事件管理(SIEM)系統向管理員報告任何異常活動。
有各種各樣的IDS可用,從防病毒到監視網路流量的分層系統。最常見的是下面列出的。
NIDS:網路入侵檢測系統被放置在網路中的高度戰略點上,以監控來自網路中所有設備的入站和出站流量。但掃描所有流量可能會導致瓶頸的產生,從而影響網路的整體速度。
HIDS:主機入侵檢測系統運行在網路中的不同機器或設備上,並為整個網路提供防禦來自外部世界的威脅。
Signature based IDS:基於簽名的IDS系統監視網路中的所有數據包,並將它們與預先配置的和預先確定的攻擊模式的簽名資料庫進行比較。他們的工作類似於防病毒軟體。
Anomaly based IDS:此IDS監視網路流量,並將其與建立的基準進行比較。基準確定網路在帶寬,協議,埠和其他設備方面被認為是正常的因素,而IDS會提醒管理員防範各種異常活動。
Passive IDS:這個IDS系統做簡單的檢測和警報工作。它只是警告管理員的任何形式的威脅,並阻止有關活動作為預防措施。
Reactive IDS:檢測惡意活動,向管理員發出威脅並響應這些威脅。
企業級網路可以使用許多開放源碼工具,這取決於所需的複雜程度和安全性。為了使網路具有較高的安全性,入侵檢測系統應檢測網路中主機的各種可疑行為,並採取積極措施防止攻擊。
8大開源網路入侵檢測工具
這裡列出了8個開源網路入侵檢測工具,並對每個入侵檢測工具進行了簡要說明。
Snort
Snort是一個免費的開源網路入侵檢測和預防工具。它是由Martin Roesch於1998年創建的。使用Snort的主要優點是能夠在網路上執行實時流量分析和數據包記錄。憑藉協議分析,內容搜索和各種預處理器的功能,Snort被廣泛接受為檢測各種蠕蟲,攻擊,埠掃描和其他惡意威脅的工具。它可以配置三種主要模式 - 嗅探器,數據包記錄器和網路入侵檢測。在嗅探器模式下,程序將只讀取數據包並在控制台上顯示信息。在數據包記錄器模式下,數據包將被記錄在磁碟上。在入侵檢測模式下,程序將監控實時流量並將其與用戶定義的規則進行比較。
Snort可以檢測到諸如緩衝區溢出,隱形埠掃描,CGI攻擊,SMB探測,操作系統指紋嘗試等各種攻擊。它受到許多硬體平台和操作系統的支持,如Linux,OpenBSD,FreeBSD,Solaris,HP-UX ,MacOS,Windows等。
優點:
免費下載,是開源的。
易於編寫入侵檢測規則。
在部署方面具有高度靈活性和動態性。
良好的社區支持解決問題,正在快速發展。
缺點:
沒有規則操作的GUI界面。
處理網路數據包有點慢。
無法檢測到分割多個TCP數據包的簽名,這是在以串聯模式配置數據包時發生的。
最新版本:2.9.9.0
Security Onion
Security Onion是入侵檢測,網路安全監控和日誌管理的Linux發行版。 開源發行版基於Ubuntu,包含許多IDS工具,如Snort,Suricata,Bro,Sguil,Squert,Snorby,ELSA,Xplico,NetworkMiner等等。 Security Onion為網路流量,警報和可疑活動提供了高可見性和環境。 但是這需要系統管理員進行適當的管理來檢查警報,監視網路活動並定期更新基於IDS的檢測規則。
安全洋蔥有三個核心功能:
完整的數據包捕獲
基於網路和主機的入侵檢測系統
強大的分析工具
完整的數據包捕獲:這是通過使用netsnifff-ng完成的,捕獲Security Onion可以看到的所有網路流量,並且可以像存儲解決方案一樣存儲。 它就像一個網路實時攝像機,提供了網路上發生的威脅和惡意活動的所有證據。
基於網路和基於主機的IDS:分析網路或主機系統,並為檢測到的事件和活動提供日誌和警報數據。 Security Onion擁有多種IDS選項,如規則驅動的IDS,分析驅動的IDS,HIDS等。
分析工具:除了網路數據捕獲外,Security Onion還包括Sguil,Squert,ELSA等各種工具,用於協助管理員進行分析。
Security Onion還為常規獨立,伺服器感測器和混合監控工具的實時部署提供了多種方式。
優點:
為用戶提供一個高度靈活的環境,以根據需要調整網路安全。
由預先安裝的感測器管理工具,流量分析儀和數據包嗅探器組成,無需額外的IDS / IPS軟體即可運行。
定期更新以提高安全級別。
缺點:
安裝後不能作為IPS使用,而只能作為IDS使用,用戶在網站上找不到任何關於此的說明。
不支持用於管理網路的Wi-Fi。
管理員需要學習各種工具來有效使用Security Onion發行版。
配置文件除規則以外不能自動備份; 因此此活動需要使用第三方軟體。
最新版本:14.04.5.1
OpenWIPS-NG
OpenWIPS-NG是一種免費的無線入侵檢測和防禦系統,它依賴於感測器、伺服器和介面。它主要運行在商品硬體上。它是由Aircrack軟體的發明者Thomas d "Otrepe de Bouvette開發的。OpenWIPS使用Aircrack-NG內置的許多功能和服務進行掃描,檢測和入侵防護。
下面列出了OpenWIPS-NG的三個主要部分。
感測器:用作捕獲無線流量並將數據發送回伺服器進行進一步分析的設備。 感測器在應對各種網路攻擊方面也起著重要的作用。
伺服器:執行來自所有感測器的數據聚合的作用,分析數據並響應攻擊。 另外,它會記錄任何類型的攻擊並提醒管理員。
界面:GUI管理伺服器並顯示針對網路的各種威脅的信息。
優點:
基於模塊化和插件。
所需的軟體和硬體可由DIY人員構建。
通過使用插件支持其他功能。
缺點:
只適用於無線網路。
只適用於中低端管理,不能完全適應各種無線攻擊。
與其他系統相比,沒有詳細的文檔和社區支持。
最新版本:OpenWIPS-NG 0.1 beta 1
Suricata
Suricata是開源信息安全基金會(Open Information Security Foundation)開發的一個開源,快速,高度穩定的網路入侵檢測系統。 Suricata引擎能夠實時入侵檢測,內聯入侵防禦和網路安全監控。 Suricata由幾個模塊組成,如捕捉,採集,解碼,檢測和輸出。 它捕獲在解碼之前在一個流中傳遞的流量,這是非常優化的。 但是與Snort不同的是,它在捕獲並指定流程將如何在處理器之間分離之後配置單獨的流程。
優點:
在OSI模型的第七層進行網路流量處理,從而增強了檢測惡意軟體活動的能力。
自動檢測和分析IP,TCP,UDP,ICMP,HTTP,TLS,FTP,SMB和FTP等協議,以便適用於所有協議。
高級功能包括多線程和GPU加速。
缺點:
與Snort等其他IDS相比,支持較少。
操作複雜,需要更多的系統資源才能完成功能。
最新版本:3.2
BroIDS
BroIDS是由Vern Paxson開發的一種被動的,開源的網路流量分析器,用於收集網路測量數據,進行法庭調查,交通基礎內襯等等。 BroIDS包含一組日誌文件,用於記錄網路活動,如HTTP會話,包括URI,密鑰標頭,MIME類型,伺服器響應,DNS請求,SSL證書,SMTP會話等。此外,它提供了複雜的功能,用於分析和檢測威脅,從HTTP會話中提取文件,複雜的惡意軟體檢測,軟體漏洞,SSH蠻力攻擊和驗證SSL證書鏈。
BroIDS分為以下兩層。
Bro事件引擎:當網路上發生異常時,它執行使用C ++分析實時或記錄的網路流量包的事件。
Bro策略腳本:這些策略分析事件以創建操作策略,使用策略腳本處理事件,例如發送電子郵件,發出警報,執行系統命令,甚至調用緊急號碼。
最新版本:Bro 2.5
優點:
BroIDS非常靈活,使用腳本語言來允許用戶為每個受保護的對象設置監視規則。
在擁有大量流量的網路中高效工作,並處理大型網路項目。
能夠深入分析流量,並支持多種協議的分析儀。 高度有狀態,並做法醫級綜合日誌維護。
缺點:
不容易處理,因為它有一個複雜的架構。
需要編程經驗才能勝任處理BroIDS系統。
OSSEC
OSSEC是一個基於免費和開放源碼的基於主機的IDS,可以執行日誌分析,完整性檢查,Windows註冊表監視,rootkit檢測,基於時間的警報和主動響應等各種任務。 OSSEC系統配備了集中式和跨平台架構,可以讓管理員準確地監控多個系統。
OSSEC系統包括以下三個主要組件。
主要應用:這是安裝的主要要求; OSSEC由Linux,Windows,Solaris和Mac環境支持。
Windows代理程序:只有在基於Windows的計算機/客戶端以及伺服器上安裝OSSEC時才需要。
Web界面:基於Web的GUI應用程序,用於定義規則和網路監視。
優點:
多平台IDS系統提供實時和可配置的警報。
集中管理,代理和無代理監控。
可以在無伺服器和伺服器代理模式下使用。
缺點:
升級過程使用開箱即用的規則覆蓋現有的規則。
預共享密鑰可能很麻煩。
Windows操作系統僅在伺服器代理模式下受支持。
最新版本:2.8.3
Open Source Tripwire
開源的Tripwire是一個基於主機的入侵檢測系統,專註於檢測文件系統對象的變化。 在第一次初始化時,Tripwire根據系統管理員的指示掃描文件系統,並將每個文件的信息存儲在資料庫中。 當文件被更改並在將來掃描時,結果將與存儲的值進行比較,並將更改報告給用戶。
Tripwire利用加密哈希來檢測文件的變化。 除了掃描文件更改外,還用於完整性保證,更改管理和策略合規性。
優點:
非常適合小型,分散式Linux系統。
與Linux良好的集成
缺點:
只能在Linux上運行。
要求用戶成為Linux專家。
高級功能在開源版本中不可用。
沒有實時警報。
最新版本:2.4.3.1
AIDE
AIDE(高級入侵檢測環境)由Rami Lehti和Pablo Virolainen開發。它被認為是監視UNIX或Linux系統變化的最強大工具之一。 AIDE通過從配置文件中找到的正則表達式規則創建一個資料庫。初始化資料庫時,用於驗證文件的完整性。
AIDE的一些最強大的功能如下:
支持各種消息摘要演算法,如MD5,SHA1,RMD160,TIGER,SHA256和SHA512。
支持POSIX ACL,SELinux,XAttra和擴展文件系統。
強大的正則表達式支持,包含或排除要監視的文件和目錄。
支持各種操作系統平台,如Linux,Solaris,Mac OS X,UNIX,BSD,HP-UX等
優點:
實時檢測和消除攻擊者恢復文件或目錄屬性。
異常檢測以減少文件系統監視器的錯誤率。
支持廣泛的加密演算法。
缺點:
沒有GUI界面。
需要仔細配置以有效檢測和預防。
不能正確處理長文件名以便順利檢測。
最新版本:0.16
更多閱讀
WPA2中的WiFi「Krack」漏洞:你需要知道的
課課家在線考試系統商業項目視頻課程
TAG:課課家 |