【1. 概述】开源入侵检测系统OSSEC详解

一.前言  
    入侵检测系统(IDS)是用于检测服务器安全的防护系统,通常可分为基于主机(host-based)和基于网络(network-based)两大类。基于主机的入侵检测系统,顾名思义,需要在被监控的服务器上安装agent客户端,agent通过分析本地的日志、端口、进程等信息发现安全漏洞,然后将分析结果通过到中央数据库,该类型的入侵检测系统比较适合大量的服务器监控。而基于网络的入侵检测系统,则主要通过旁路的方式,对流量进行采样分析,从而发现其中的异常,由于一般机房的流量很大,所以很难进行全镜像流量分析,一般都是进行采样分析,导致很难发现其中APT攻击。本系列文章主要介绍一个开源的基于主机的入侵检测系统OSSEC。
  此文原出自【爱运维社区】:  http://www.easysb.cn

 二.OSSEC简介
  OSSEC是一个开源的入侵检测系统,支持Linux, MacOS, Solaris, HP-UX, AIX, Windows等大部分的操作系统上,可用于日志分析,文件完整性检查,策略监控,rootkit检测,实时警报和响应。目前,该开源项目主要是由 趋势科技 来支撑,具体详细的说明请参考官方主页。
    OSSEC官方主页:  http://www.ossec.net  

  2.1 OSSEC特性
   OSSEC是一个集合了基于主机型入侵检测,日志监控和SIM/SIEM等功能的平台,可有效监控系统,它主要有下面几个特性。
  • 快速实现特定安全需要
   用户可用来实现检测出未授权的文件修改,并及时发出警报;监控日志文件,发现可疑的日志记录;实现文件完整性监控;策略检测和加强等。
  • 支持多平台
   支持大部分的系统平台,比如Linux, Solaris, AIX, HPUX, BSD, Winodws, Mac 和 Vmware ESX。
  • 自定义安全规则,实时警报
   用户可以根据实际需要,自定义配置规则和响应措施。对于检测出的警报可以通过邮件,短信和syslog的方式推送,及时通知管理员,同时还可以自动执行相应响应(response)。
  • 兼容其他安全产品
   OSSEC可以和其他的SIM/SEM安全产品相兼容。
  • 集中式管理
   OSSEC提供了一种集中式的服务器管理方法,可以管理不同平台的系统,用户可以通过控制中心的Server端直接分发配置文件。
  • 灵活的部署方式
OSSEC有两种部署方式:有代理(Agent)和无代理(Agentless)两种。一般来说,推荐使用有代理的部署方式,即Server/Agent的部署方式。
  • 强大的入侵检测功能
   OSSEC主要有以下四个方面的功能特性:
   1. 文件完整性检查
   入侵者在入侵计算机之后,通常会修改或者上传一些文件作为服务器的后门,比如上传webshell等。而文件完整性检查的目的就是用来发现这些变化,然后再通知管理员。当然,这些变化,不一定是修改文件,也有可能是目录,注册表等。
   2. 日志监控
   为有效监控系统和应用程序的运行情况,OSSEC还支持对日志文件的监控,包括自己写的应用程序所产生的日志(这时可能需要自己来编写日志的编码器),监控服务器上正在发生什么,可通过配置具体的规则和响应来决定发生意外时该采取哪些响应。
   3. Rootkit检测
   检测入侵者在服务器上安装的恶意Rootkit,消除安装在服务器上的后门。
   4. 规则及响应
   OSSEC采用灵活的Rule/Active response机制,允许用户对系统发生的特定情况采取何种响应措施。

【1. 概述】开源入侵检测系统OSSEC详解_第1张图片

 
  作者:胡杨< jekkay@easysb.cn >< 479904359@qq.com >
  此文原出自【爱运维社区】:  http://www.easysb.cn
  如转载请标明原出处,谢绝阉割党。

你可能感兴趣的:(入侵检测,ossec,开源入侵检测ossec详解)