【1. 概述】开源入侵检测系统OSSEC详解

一.前言  
    入侵检测系统（IDS）是用于检测服务器安全的防护系统，通常可分为基于主机（host-based）和基于网络（network-based）两大类。基于主机的入侵检测系统，顾名思义，需要在被监控的服务器上安装agent客户端，agent通过分析本地的日志、端口、进程等信息发现安全漏洞，然后将分析结果通过到中央数据库，该类型的入侵检测系统比较适合大量的服务器监控。而基于网络的入侵检测系统，则主要通过旁路的方式，对流量进行采样分析，从而发现其中的异常，由于一般机房的流量很大，所以很难进行全镜像流量分析，一般都是进行采样分析，导致很难发现其中APT攻击。本系列文章主要介绍一个开源的基于主机的入侵检测系统OSSEC。
  此文原出自【爱运维社区】：  http://www.easysb.cn

 二.OSSEC简介
  OSSEC是一个开源的入侵检测系统，支持Linux, MacOS, Solaris, HP-UX, AIX, Windows等大部分的操作系统上，可用于日志分析，文件完整性检查，策略监控，rootkit检测，实时警报和响应。目前，该开源项目主要是由 趋势科技 来支撑，具体详细的说明请参考官方主页。
    OSSEC官方主页：  http://www.ossec.net  

  2.1 OSSEC特性
   OSSEC是一个集合了基于主机型入侵检测，日志监控和SIM/SIEM等功能的平台，可有效监控系统，它主要有下面几个特性。

• 快速实现特定安全需要

   用户可用来实现检测出未授权的文件修改，并及时发出警报；监控日志文件，发现可疑的日志记录；实现文件完整性监控；策略检测和加强等。

• 支持多平台

   支持大部分的系统平台，比如Linux, Solaris, AIX, HPUX, BSD, Winodws, Mac 和 Vmware ESX。

• 自定义安全规则，实时警报

   用户可以根据实际需要，自定义配置规则和响应措施。对于检测出的警报可以通过邮件，短信和syslog的方式推送，及时通知管理员，同时还可以自动执行相应响应(response)。

• 兼容其他安全产品

   OSSEC可以和其他的SIM/SEM安全产品相兼容。

• 集中式管理

   OSSEC提供了一种集中式的服务器管理方法，可以管理不同平台的系统，用户可以通过控制中心的Server端直接分发配置文件。

• 灵活的部署方式

OSSEC有两种部署方式：有代理(Agent)和无代理(Agentless)两种。一般来说，推荐使用有代理的部署方式，即Server/Agent的部署方式。

• 强大的入侵检测功能

   OSSEC主要有以下四个方面的功能特性：
   1. 文件完整性检查
   入侵者在入侵计算机之后，通常会修改或者上传一些文件作为服务器的后门，比如上传webshell等。而文件完整性检查的目的就是用来发现这些变化，然后再通知管理员。当然，这些变化，不一定是修改文件，也有可能是目录，注册表等。
   2. 日志监控
   为有效监控系统和应用程序的运行情况，OSSEC还支持对日志文件的监控，包括自己写的应用程序所产生的日志（这时可能需要自己来编写日志的编码器），监控服务器上正在发生什么，可通过配置具体的规则和响应来决定发生意外时该采取哪些响应。
   3. Rootkit检测
   检测入侵者在服务器上安装的恶意Rootkit，消除安装在服务器上的后门。
   4. 规则及响应
   OSSEC采用灵活的Rule/Active response机制，允许用户对系统发生的特定情况采取何种响应措施。

 
  作者：胡杨< jekkay@easysb.cn >< 479904359@qq.com >
  此文原出自【爱运维社区】：  http://www.easysb.cn
  如转载请标明原出处，谢绝阉割党。