OSSEC an open source HIDS --- OverView

      OSSEC 是一个开源的基于主机的入侵检测系统。

     

      OSSEC 的功能主要有:

            1.日志分析 Log analysis

            2.文件完整性检查 File Integrity checking (For Unix and Windows)

            3.注册表完整性检查 Registry Integrity checking(For Windows)

            4.异常检测 Host-Based anomaly dection(For Unix - RootKit dection)

            5.主动响应 Active response

 

      OSSEC 最基本的功能是日志分析,因此他又是一个基于日志的入侵检测系统(LID)。

     

      OSSEC主要分为以下几个模块:

            1.Analysisd - 做全部的分析(主模块)

            2.Remoted - 从代理接受远程的日志

            3.Logcollector - 读取日志文件(只读不分析)

            4.Agentd - 把日志传送到服务器

            5.Maild - 通过邮件发送告警

     

      以下是OSSEC的一些其他特点:   

            1.OSSEC采用C语言编写,因此有着良好的性能与可移植性。

            2.OSSEC有着自己的规则库(Rules),规则采用XML格式储存,用户还可以方便的添加自己的规则。

            3.OSSEC有着自己的解码器(Decoder),告诉系统如何按照OSSEC的方式,正确的识别日志信息,解码规则同样用XML格式储存,用户同样可以方便的扩充解码规则。

            4.OSSEC用正则表达式匹配(Regular Expression),进一步保证了速度与可移植性。                                      

      

      我的OSSEC系列的其他文章列表:

      OSSEC an open source HIDS --- Log Analysised(1)

      OSSEC an open source HIDS --- Log Analysised(2)

 

 

 

      References:《Log Analysis using OSSEC》  Daniel B. Cid

              

 

 

 

     

 

     

你可能感兴趣的:(c,xml,windows,unix,正则表达式)