几年前,我们通过在外部防火墙前放置一个分路器来设置 IDS 解决方案,将 DS1 上的所有流量通过 IDS 盒传输,然后将结果发送到运行 ACiD 的日志服务器。这是在 2005 年左右。有人要求我改进并扩展该解决方案,环顾四周,我发现 ACiD 的最新版本是 2003 年,我似乎找不到任何其他看起来甚至有点最新的内容。虽然这些东西可能功能齐全,但我担心库冲突等。有人能给我一些使用现代工具的基于 Linux/OpenBSD 的解决方案的建议吗?
需要说明的是,我知道 Snort 仍在积极开发中。我想我更倾向于寻找一个现代开源 Web 控制台来整合数据。当然,如果人们除了 Snort 之外还对 IDS 有很好的体验,我很高兴听到这个消息。
答案1
我认为最好的开源组合是:
对于 NIDS:使用 BASE 的 Snort 进行 Web UI
对于 HIDS:OSSEC
我还使用 OSSEC 将 NIDS 数据整合到一个地方(就像 SIEM OSSEC 进行日志分析、文件完整性检查和 rootkit 检测一样)。
链接: http://www.snort.org http://www.ossec.net http://base.secureideas.net/
答案2
OSSIM。
OSSIM 整合了所有这些东西。OSSEC、Snort 等。
开源且免费。
OSSIM有以下软件组件:
Arpwatch – 用于 MAC 异常检测。P0f
– 用于被动操作系统检测和操作系统更改分析。Pads
– 用于服务异常检测。Nessus
– 用于漏洞评估和互关联(IDS 与安全扫描器)。Snort
– IDS,也用于与 nessus 互关联。Spade
– 统计数据包异常检测引擎。用于了解没有签名的攻击。Tcptrack
– 用于会话数据信息,可用于攻击关联。Ntop
– 构建了一个令人印象深刻的网络信息数据库,我们可以从中识别异常行为/异常检测。Nagios
– 从主机资产数据库获取信息,监控主机和服务可用性信息。Osiris
– 一款出色的 HIDS。OCS
-NG – 跨平台库存解决方案。OSSEC
– 完整性、rootkit、注册表检测等。
http://www.alienvault.com/community.php?section=Home
-乔希
答案3
您可以使用基于 Prelude-IDS 的开源免费解决方案http://www.prelude-ids.com/
Prelude IDS 是一个 SIM(安全信息管理)系统/IDS 框架。
Snort 可以用作 NIDS
Prelude LML 作为 HIDS:SSH、Cisco PIX、Netfilter IPFW、Postfix、Sendmail 的规则集……
Prewikka 是官方的 Prelude 用户界面:基于 Python 的 Web GUI =>https://dev.prelude-ids.com/wiki/prelude/ManualPrewikka