Linux 的入侵检测系统？

你的问题比较模糊。我在这里回答过一个类似的模糊问题：

组织网络架构中的防火墙、入侵防御、检测和防病毒技术的比较

SNORT 几乎是开源网络 IDS 的事实标准。维基百科页面还列出了其他的。SNORT 有多种前端。开源的前端是根据和源火，拥有 SNORT 的公司，销售商业产品。

仅用于网络监控或入侵系统？文件完整性扫描器可能很有用，但需要努力维护，因为它需要在每次更新系统时更新，并且需要一些初始调整。请参阅开源 Tripwire页面来获取相关信息。

维基百科有一些链接至 IDS系统也是如此。

我使用了 OSSEC HIDS。基本上，它检查文件完整性（/etc/passwd，...）并解析日志文件（syslog、auth.log，...）。它具有可用的 Web 界面和电子邮件通知。但我想没什么特别的。

问候，

马丁

IDS 与 IPS 不同（入侵防御系统)。为什么需要 IDS，您是否计划报告攻击或构建防火墙来阻止肮脏的网络流量？

Squid 和其他代理可以配置为仅传输干净的流量...互联网上流传着大量的脏数据包，其中的大部分可以被忽略。

使用类似 BASE 或 ACID 接口的 Snort很多CPU 周期、RAM 和 SQL 空间（物理存储）。如果您处理的是生产级环境，则必须正确设置 IDS，否则它很快就会变得毫无意义。

如果您在代理服务器上运行 snort，数据库和日志不会按周进行维护，那么您的代理服务器很快就会因缺乏资源而挂起。

所以说您对 IDS 有真正的兴趣，您将需要一台根据您的流量来支持 Squid + Snort + Apache + MySQL + PHP WebGUI 的严肃服务器。

更理想的选择是设置一台专用的机器和专用的监控网卡，连接到镜像端口在你的主开关上。

祝你好运，IDS 更有趣，也更有用。

查看蜜罐计划和操作系统安全评估中心