开源入侵检测工具

[ 转载自：https://www.cnblogs.com/gaoyuechen/p/8594167.html ]

1、Snort

  Snort(NIDS)是一个免费的开源网络入侵检测和预防工具。它是由Martin Roesch于1998年创建的。使用Snort的主要优点是能够在网络上执行实时流量分析和数据包记录。凭借协议分析，内容搜索和各种预处理器的功能，Snort被广泛接受为检测各种蠕虫，攻击，端口扫描和其他恶意威胁的工具。它可以配置三种主要模式 - 嗅探器，数据包记录器和网络入侵检测。在嗅探器模式下，程序将只读取数据包并在控制台上显示信息。在数据包记录器模式下，数据包将被记录在磁盘上。在入侵检测模式下，程序将监控实时流量并将其与用户定义的规则进行比较。
　　Snort可以检测到诸如缓冲区溢出，隐形端口扫描，CGI攻击，SMB探测，操作系统指纹尝试等各种攻击。它受到许多硬件平台和操作系统的支持，如Linux，OpenBSD，FreeBSD，Solaris，HP-UX ，MacOS，Windows等。
　　
优点：

• 免费下载，是开源的
• 易于编写入侵检测规则
• 在部署方面具有高度灵活性和动态性
• 良好的社区支持解决问题，正在快速发展

缺点：

• 没有规则操作的GUI界面
• 处理网络数据包有点慢
• 无法检测到分割多个TCP数据包的签名，这是在以串联模式配置数据包时发生的

最新版本：2.9.13.0
官方网站：www.snort.org
　　

2、Security Onion

  Security Onion是入侵检测，网络安全监控和日志管理的Linux发行版。 开源发行版基于Ubuntu，包含许多IDS工具，如Snort，Suricata，Bro，Sguil，Squert，Snorby，ELSA，Xplico，NetworkMiner等等。 Security Onion为网络流量，警报和可疑活动提供了高可见性和环境。 但是这需要系统管理员进行适当的管理来检查警报，监视网络活动并定期更新基于IDS的检测规则。
核心功能：

• 完整的数据包捕获
• 基于网络和主机的入侵检测系统
• 强大的分析工具

完整的数据包捕获：这是通过使用netsnifff-ng完成的，捕获Security Onion可以看到的所有网络流量，并且可以像存储解决方案一样存储。 它就像一个网络实时摄像机，提供了网络上发生的威胁和恶意活动的所有证据。
基于网络和基于主机的IDS：分析网络或主机系统，并为检测到的事件和活动提供日志和警报数据。 Security Onion拥有多种IDS选项，如规则驱动的IDS，分析驱动的IDS，HIDS等。
分析工具：除了网络数据捕获外，Security Onion还包括Sguil，Squert，ELSA等各种工具，用于协助管理员进行分析。
　　Security Onion还为常规独立，服务器传感器和混合监控工具的实时部署提供了多种方式。
　　
优点：

• 为用户提供一个高度灵活的环境，以根据需要调整网络安全
• 由预先安装的传感器管理工具，流量分析仪和数据包嗅探器组成，无需额外的IDS / IPS软件即可运行
• 定期更新以提高安全级别

缺点：

• 安装后不能作为IPS使用，而只能作为IDS使用，用户在网站上找不到任何关于此的说明
• 不支持用于管理网络的Wi-Fi
• 管理员需要学习各种工具来有效使用Security Onion发行版
• 配置文件除规则以外不能自动备份; 因此此活动需要使用第三方软件

最新版本：14.04.6.1
官方网站：https://securityonion.net/

3、OpenWIPS-NG

  OpenWIPS-NG(NIDS)是一种免费的无线入侵检测和防御系统，它依赖于传感器、服务器和接口。它主要运行在商品硬件上。它是由Aircrack软件的发明者Thomas d 'Otrepe de Bouvette开发的。OpenWIPS使用Aircrack-NG内置的许多功能和服务进行扫描，检测和入侵防护。

OpenWIPS-NG的三个主要部分:

• 传感器：用作捕获无线流量并将数据发送回服务器进行进一步分析的设备。 传感器在应对各种网络攻击方面也起着重要的作用。
• 服务器：执行来自所有传感器的数据聚合的作用，分析数据并响应攻击。 另外，它会记录任何类型的攻击并提醒管理员。
• 界面：GUI管理服务器并显示针对网络的各种威胁的信息。

优点:

• 基于模块化和插件
• 所需的软件和硬件可由DIY人员构建
• 通过使用插件支持其他功能

缺点:

• 只适用于无线网络
• 只适用于中低端管理，不能完全适应各种无线攻击
• 与其他系统相比，没有详细的文档和社区支持

最新版本：OpenWIPS-NG 0.1 beta 1
官方网站：http://www.openwips-ng.org/

4、Suricata

  Suricata(NIDS)是开源信息安全基金会（Open Information Security Foundation）开发的一个开源，快速，高度稳定的网络入侵检测系统。 Suricata引擎能够实时入侵检测，内联入侵防御和网络安全监控。 Suricata由几个模块组成，如捕捉，采集，解码，检测和输出。 它捕获在解码之前在一个流中传递的流量，这是非常优化的。 但是与Snort不同的是，它在捕获并指定流程将如何在处理器之间分离之后配置单独的流程。
优点：

• 在OSI模型的第七层进行网络流量处理，从而增强了检测恶意软件活动的能力
• 自动检测和分析IP，TCP，UDP，ICMP，HTTP，TLS，FTP，SMB和FTP等协议，以便适用于所有协议
• 高级功能包括多线程和GPU加速

缺点：

• 与Snort等其他IDS相比，支持较少
• 操作复杂，需要更多的系统资源才能完成功能

最新版本：4.1.4
官方网站：https://suricata-ids.org

5、BroIDS

  BroIDS(NIDS)是由Vern Paxson开发的一种被动的，开源的网络流量分析器，用于收集网络测量数据，进行法庭调查，交通基础内衬等等。 BroIDS包含一组日志文件，用于记录网络活动，如HTTP会话，包括URI，密钥标头，MIME类型，服务器响应，DNS请求，SSL证书，SMTP会话等。此外，它提供了复杂的功能，用于分析和检测威胁，从HTTP会话中提取文件，复杂的恶意软件检测，软件漏洞，SSH蛮力攻击和验证SSL证书链。
BroIDS分为两层:

• Bro事件引擎：当网络上发生异常时，它执行使用C ++分析实时或记录的网络流量包的事件。
• Bro策略脚本：这些策略分析事件以创建操作策略，使用策略脚本处理事件，例如发送电子邮件，发出警报，执行系统命令，甚至调用紧急号码。

优点：

• BroIDS非常灵活，使用脚本语言来允许用户为每个受保护的对象设置监视规则
• 在拥有大量流量的网络中高效工作，并处理大型网络项目
• 能够深入分析流量，并支持多种协议的分析仪。 高度有状态，并做法医级综合日志维护

缺点：

• 不容易处理，因为它有一个复杂的架构
• 需要编程经验才能胜任处理BroIDS系统

最新版本：Bro 2.6.2
官方网站：www.bro.org

6、OSSEC

  OSSEC(HIDS)是一个基于免费和开放源码的基于主机的IDS，可以执行日志分析，完整性检查，Windows注册表监视，rootkit检测，基于时间的警报和主动响应等各种任务。 OSSEC系统配备了集中式和跨平台架构，可以让管理员准确地监控多个系统。
OSSEC系统包括以下三个主要组件:

• 主要应用：这是安装的主要要求; OSSEC由Linux，Windows，Solaris和Mac环境支持。
• Windows代理程序：只有在基于Windows的计算机/客户端以及服务器上安装OSSEC时才需要。
• Web界面：基于Web的GUI应用程序，用于定义规则和网络监视。

优点：

• 多平台IDS系统提供实时和可配置的警报
• 集中管理，代理和无代理监控
• 可以在无服务器和服务器代理模式下使用

缺点：

• 升级过程使用开箱即用的规则覆盖现有的规则
• 预共享密钥可能很麻烦
• Windows操作系统仅在服务器代理模式下受支持

最新版本：3.3.0
官方网站：https://www.ossec.net/
　

7、Open Source Tripwire

  开源的Tripwire是一个基于主机的入侵检测系统，专注于检测文件系统对象的变化。 在第一次初始化时，Tripwire根据系统管理员的指示扫描文件系统，并将每个文件的信息存储在数据库中。 当文件被更改并在将来扫描时，结果将与存储的值进行比较，并将更改报告给用户。
  Tripwire利用加密哈希来检测文件的变化。 除了扫描文件更改外，还用于完整性保证，更改管理和策略合规性。
优点：

• 非常适合小型，分散式Linux系统
• 与Linux良好的集成

缺点：

• 只能在Linux上运行
• 要求用户成为Linux专家
• 高级功能在开源版本中不可用
• 没有实时警报

最新版本：2.4.3.7
官方网站：https://github.com/Tripwire/tripwire-open-source
　　

8、AIDE

  AIDE（高级入侵检测环境—HIDS）由Rami Lehti和Pablo Virolainen开发。它被认为是监视UNIX或Linux系统变化的最强大工具之一。 AIDE通过从配置文件中找到的正则表达式规则创建一个数据库。初始化数据库时，用于验证文件的完整性。

AIDE的一些最强大的功能如下：

• 支持各种消息摘要算法，如MD5，SHA1，RMD160，TIGER，SHA256和SHA512
• 支持POSIX ACL，SELinux，XAttra和扩展文件系统
• 强大的正则表达式支持，包含或排除要监视的文件和目录
• 支持各种操作系统平台，如Linux，Solaris，Mac OS X，UNIX，BSD，HP-UX等

优点：

• 实时检测和消除攻击者恢复文件或目录属性
• 异常检测以减少文件系统监视器的错误率
• 支持广泛的加密算法

缺点：

• 没有GUI界面
• 需要仔细配置以有效检测和预防
• 不能正确处理长文件名以便顺利检测

最新版本：0.16.2
官方网站：http://aide.sourceforge.net/