什么是入侵检测系统(IDS)?
入侵检测系统(IDS)监视网络流量中是否存在异常或可疑活动,并将警报发送给管理员.
检测异常活动并将其报告给网络管理员是主要功能,但是当检测到恶意活动(例如阻止某些流量)时,某些IDS工具可以根据规则采取措施.
我们会详细介绍以下每种工具,但是如果您时间有限,请在此处查看以下内容的摘要列表: 12种最佳入侵检测系统和工具:
- SolarWinds安全事件管理器(免费试用) 结合了HIDS和NIDS功能,为您提供完整的安全信息和事件管理(SIEM)系统.
- 鼻息 由思科系统提供并免费使用的领先的基于网络的入侵检测系统.
- OSSEC 优秀的基于主机的入侵检测系统,可免费使用.
- ManageEngine EventLog分析器 日志文件分析器,用于搜索入侵证据.
- 苏里卡塔 基于网络的入侵检测系统,在应用程序层运行,以提高可视性.
- 兄弟 网络监控器和基于网络的入侵防御系统.
- 萨根 日志分析工具可以集成在snort数据上生成的报告,因此它是具有少量NIDS的HIDS.
- 安全洋葱 网络监控和安全工具由其他免费工具引入的元素组成.
- 助手 高级入侵检测环境是适用于Unix,Linux和Mac OS的HIDS
- OpenWIPS-NG Aircrack-NG制造商提供的无线NIDS和入侵防御系统.
- 萨姆海因 用于Unix,Linux和Mac OS的基于主机的直接入侵检测系统.
- 失败2禁 用于Unix,Linux和Mac OS的基于主机的轻量级入侵检测系统.
入侵检测系统的类型
入侵检测系统有两种主要类型(本指南后面将对这两种类型进行详细说明):
- 基于主机的入侵检测(HIDS) –该系统将检查您网络上计算机上的事件,而不是系统周围的流量.
- 基于网络的入侵检测(NIDS) –该系统将检查您网络上的流量.
网络入侵检测工具和系统现在对于网络安全至关重要。幸好, 这些系统非常易于使用,市场上大多数最佳IDS均可免费使用. 在这篇评论中,您将了解有关十种最佳入侵检测系统的信息,您可以立即安装这些系统以开始保护网络免受攻击。我们介绍适用于Windows,Linux和Mac的工具.
主机入侵检测系统(HIDS)
基于主机的入侵检测, 也称为 主机入侵检测系统 要么 基于主机的IDS, 检查网络中计算机上的事件,而不是系统中通过的流量。这种类型的入侵检测系统缩写为 HIDS 它主要通过查看受保护计算机上管理文件中的数据来运行。这些文件包括日志文件和配置文件.
HIDS将备份您的配置文件,以便在恶意病毒通过更改计算机的设置而失去系统安全性时,您可以还原设置。您要防止的另一个关键元素是类Unix平台上的root用户访问权限或Windows系统上的注册表更改. HIDS将无法阻止这些更改,但是它应该能够在发生任何此类访问时提醒您.
HIDS监视的每个主机上都必须安装一些软件。您只需让HIDS监视一台计算机即可。然而, 在网络上的每台设备上安装HIDS更为典型. 这是因为您不想忽略任何设备上的配置更改。自然,如果您的网络上有多个HIDS主机,则您无需登录每个HIDS主机即可获得反馈。所以, 分布式HIDS系统需要包含集中控制模块. 寻找一个对主机代理和中央监视器之间的通信进行加密的系统.
网络入侵检测系统(NIDS)
基于网络的入侵检测,也称为网络入侵检测系统或网络IDS,可检查网络上的流量。因此,典型的 尼德斯 必须包括一个数据包嗅探器,以便收集网络流量进行分析.
NIDS的分析引擎通常基于规则,可以通过添加自己的规则进行修改。对于许多NIDS,系统的提供者或用户社区将为您提供规则,您只需将规则导入到您的实现中即可。熟悉所选NIDS的规则语法后,便可以创建自己的规则.
链接回流量收集, 您不想将所有流量都转储到文件中或通过仪表板运行全部流量 因为您将无法分析所有数据。因此,在NIDS中推动分析的规则也会创建选择性的数据捕获。例如,如果您有一种令人担忧的HTTP流量类型的规则,则NIDS仅应选择并存储显示这些特征的HTTP数据包.
通常,NIDS安装在专用硬件上。高端付费企业解决方案是作为网络套件提供的,其中预先装有软件。然而, 您不必为专业硬件支付大笔费用. NIDS确实需要传感器模块来接收流量,因此您可以将其加载到LAN分析器上,或者可以选择分配计算机来运行任务。但是,请确保为任务选择的设备具有足够的时钟速度,以不降低网络速度.
HIDS或NIDS?
简短的答案是两者。与HIDS相比,NIDS将为您提供更多的监视功能。您可以拦截使用NIDS发生的攻击,而HIDS仅在设备上的文件或设置已更改后才注意到任何错误。但是,仅仅因为HIDS的活动性不如NIDSs高,所以这并不意味着它们不那么重要.
NIDS通常安装在独立设备上,这意味着它不会拖拽服务器的处理器。然而, HIDS的活动不像NIDS那样积极. HIDS功能可以通过计算机上的轻量级守护程序完成,并且不应消耗过多的CPU。两个系统都不会产生额外的网络流量.
检测方法:基于签名或基于异常的IDS
无论您是寻找主机入侵检测系统还是网络入侵检测系统,所有IDS都使用两种操作模式-有些可能仅使用一种或另一种,但大多数同时使用.
- 基于签名的IDS
- 基于异常的IDS
基于签名的IDS
的 基于签名的方法 查看校验和和消息身份验证. 基于签名的检测方法 NIDS和HIDS都可以很好地应用. HIDS将查看日志和配置文件以进行任何意外的重写,而NIDS将查看数据包中的校验和以及诸如SHA1之类的系统的消息身份验证的完整性。.
该NIDS可以包括签名的数据库,该签名的数据包被携带为已知的恶意活动的来源。幸运的是,黑客不会坐在电脑前冒着怒气来破解密码或访问root用户。相反,他们使用著名的黑客工具提供的自动化程序。这些工具往往每次都会生成相同的流量签名,因为计算机程序会一遍又一遍地重复相同的指令,而不是引入随机变量.
基于异常的IDS
基于异常的检测 寻找意外或异常的活动模式。该类别也可以通过基于主机和基于网络的入侵检测系统来实现. 在HIDS的情况下,登录尝试失败可能会重复出现异常, 设备端口上的异常或异常活动表示端口扫描.
对于NIDS,异常方法需要建立基准 行为以创建一个标准情况,可以与之比较正在进行的流量模式。一定范围的流量模式被认为是可以接受的,并且当当前的实时流量超出该范围时,就会引发异常警报.
选择IDS方法
先进的NIDS可以建立标准行为记录,并随着使用寿命的延长而调整其边界。总的来说,与NIDS相比,使用HIDS软件可以更轻松地进行签名和异常分析.
基于签名的方法比基于异常的检测要快得多. 全面的异常引擎触及AI的方法论 并且会花费很多钱来开发。但是,基于签名的方法归结为值的比较。当然,在HIDS的情况下,与文件版本进行模式匹配可能是一项非常简单的任务,任何人都可以使用带有正则表达式的命令行实用程序来执行自己的操作。因此,它们的开发成本不高,而且更可能在免费入侵检测系统中实现.
一个全面的入侵检测系统需要基于签名的方法和基于异常的过程.
使用IPS防御网络
现在我们需要考虑 入侵防御系统(IPS). IPS软件和IDS是同一技术的分支,因为如果没有检测,就无法预防。表达入侵工具这两个分支之间差异的另一种方法是将它们称为被动或主动。一个简单的入侵监控和警报系统有时称为 “被动” IDS. 不仅可以发现入侵的系统,而且可以采取措施补救任何损害并阻止来自检测到的源的进一步入侵活动的系统,也称为 “反应式” IDS.
反应性IDS,或 IPS,通常不直接实施解决方案. 相反,它们通过调整设置与防火墙和应用程序进行交互。反应型HIDS可以与许多网络助手交互以恢复设备上的设置,例如 SNMP协议 或已安装的配置管理器。通常不会自动处理对root用户或Windows中的admin用户的攻击,因为阻止admin用户或更改系统密码会导致系统管理员无法进入网络和服务器.
许多IDS用户报告说, 误报 当他们第一次安装防御系统时。由于IPS在检测到警报条件时自动实施防御策略。标定不正确的IPS可能会造成严重破坏,并使您的合法网络活动陷入僵局.
为了最大程度地减少由误报引起的网络中断,您应该分阶段介绍入侵检测和防御系统。触发器可以定制,您可以组合警告条件以创建自定义警报。在检测到威胁时需要执行的操作声明称为 政策. 入侵检测和防御程序与防火墙之间的交互应该特别微调,以防止您的企业的真正用户被过于严格的政策所锁定.
入侵检测系统的类型和操作系统
IDS软件的生产者专注于类Unix操作系统。有些人根据POSIX标准产生他们的代码。在所有这些情况下,这意味着Windows被排除在外。如 Mac OS X和macOS的Mac OS操作系统基于Unix, 这些操作系统在IDS世界中要比在其他软件类别中更好。下表说明了哪些IDS是基于主机的,哪些是基于网络的,以及每个可以安装的操作系统。.
您可能会读到一些声称Security Onion可以在Windows上运行的评论。如果您首先安装虚拟机并通过该虚拟机运行它,则可以。但是,对于此表中的定义,我们仅将可以直接安装的软件视为与操作系统兼容.
热门入侵检测工具 & 软件
| SolarWinds安全事件管理器 (免费试用) | 都 | 没有 | 没有 | 是 | 没有 |
| 鼻息 | 尼德斯 | 是 | 是 | 是 | 没有 |
| OSSEC | HIDS | 是 | 是 | 是 | 是 |
| ManageEngine EventLog分析器 | HIDS | 是 | 是 | 是 | 是 |
| 苏里卡塔 | 尼德斯 | 是 | 是 | 是 | 是 |
| 兄弟 | 尼德斯 | 是 | 是 | 没有 | 是 |
| 萨根 | 都 | 是 | 是 | 没有 | 是 |
| 安全洋葱 | 都 | 没有 | 是 | 没有 | 没有 |
| 助手 | HIDS | 是 | 是 | 没有 | 是 |
| 打开WIPS-NG | 尼德斯 | 没有 | 是 | 没有 | 没有 |
| 萨姆海因 | HIDS | 是 | 是 | 没有 | 是 |
| 失败2禁 | HIDS | 是 | 是 | 没有 | 是 |
Unix入侵检测系统
要将上表中的信息重新声明为特定于Unix的列表,以下是您可以在Unix平台上使用的HIDS和NIDS.
主机入侵检测系统:
- OSSEC
- EventLog分析器
- 萨根
- 助手
- 萨姆海因
- 失败2禁
网络入侵检测系统:
- 鼻息
- 兄弟
- 苏里卡塔
- 萨根
Linux入侵检测系统
以下是可以在Linux平台上运行的主机入侵检测系统和网络入侵系统的列表.
主机入侵检测系统:
- OSSEC
- EventLog分析器
- 萨根
- 安全洋葱
- 助手
- 萨姆海因
- 失败2禁
网络入侵检测系统:
- 鼻息
- 兄弟
- 苏里卡塔
- 萨根
- 安全洋葱
- 打开WIPS-NG
Windows入侵检测系统
尽管Windows Server受到欢迎,但入侵检测系统的开发人员似乎对生产Windows操作系统的软件并不十分感兴趣。这是在Windows上运行的一些IDS.
主机入侵检测系统:
- SolarWinds安全事件管理器
- OSSEC
- EventLog分析器
网络入侵检测系统:
- SolarWinds安全事件管理器
- 鼻息
- 苏里卡塔
Mac OS入侵检测系统
Mac用户受益于Mac OS X和macOS都基于Unix的事实,因此与拥有运行Windows操作系统的计算机的用户相比,Mac用户拥有更多的入侵检测系统选项.
主机入侵检测系统:
- OSSEC
- EventLog分析器
- 萨根
- 助手
- 萨姆海因
- 失败2禁
网络入侵检测系统:
- 兄弟
- 苏里卡塔
- 萨根
最好的入侵检测系统和工具
现在,您已经按操作系统快速了解了基于主机的入侵检测系统和基于网络的入侵检测系统,在此列表中,我们将深入探讨每个最佳IDS的细节。.
1. SolarWinds安全事件管理器(免费试用)
SolarWinds安全事件管理器 (扫描电镜)在 Windows服务器, 但它能够记录由 Unix系统, 的Linux, 和 苹果系统 电脑以及 视窗 个人电脑.
作为日志管理器,这是基于主机的入侵检测系统,因为它与管理系统上的文件有关。但是,它也管理Snort收集的数据,这使其成为基于网络的入侵检测系统的一部分.
Snort是由Cisco Systems创建的一种广泛使用的数据包嗅探器(请参阅下文)。它具有特定的数据格式,其他IDS工具生产商已将其集成到其产品中。 SolarWinds Security Event Manager就是这种情况. 网络入侵检测 系统会检查网络上流通的流量数据。要部署安全事件管理器的NIDS功能,您需要 使用Snort作为数据包捕获工具 并将捕获的数据漏入安全事件管理器进行分析。尽管LEM在处理日志文件创建和完整性时充当HIDS工具,但它能够通过Snort接收实时网络数据,这是NIDS的一项活动。.
SolarWinds产品还可以充当入侵防御系统,因为它能够触发检测入侵的措施。该软件包附带700多个事件关联规则,使它能够发现可疑活动并自动实施补救活动。这些动作称为 积极回应.
这些积极回应包括:
- 通过SNMP,屏幕消息或电子邮件发出事件警报
- USB设备隔离
- 用户帐户被暂停或用户被驱逐
- IP地址封锁
- 进程杀死
- 系统关机或重启
- 服务关闭
- 服务触发
安全事件管理器的Snort消息处理功能使其非常全面 网络安全 工具. 恶意活动 该工具能够将Snort数据与系统上的其他事件结合在一起,因此几乎可以立即将其关闭。通过检测以下内容破坏服务的风险 误报 经过微调的事件关联规则大大减少了这种情况。您可以访问此 网络安全 系统上 30天免费试用.
编辑的选择
改善安全性,响应事件并实现合规性的基本工具.
下载: 下载30天免费试用版
官方网站: https://www.solarwinds.com/security-event-manager
作业系统: 视窗
2.喷鼻息
Snort是 是NIDS的行业领导者,但仍然可以免费使用. 这是可以在Windows上安装的少数几个IDS之一。它是由思科创建的。该系统可以在三种不同的模式下运行并可以实施防御策略,因此它既是入侵防御系统又是入侵检测系统.
Snort的三种模式是:
- 嗅探器模式
- 封包记录器
- 入侵检测
您可以将snort用作数据包嗅探器,而无需打开其入侵检测功能. 在这种模式下,您可以实时读取通过网络传递的数据包。在数据包日志记录模式下,那些数据包详细信息被写入文件.
当您访问Snort的入侵检测功能时,您将调用一个分析模块,该模块将一组规则应用于通过的流量。这些规则称为“基本策略”,如果您不知道需要哪些规则,则可以从Snort网站下载它们。但是,一旦您对Snort的方法学充满信心,就可以编写自己的方法了。. 这个IDS有很大的社区基础 他们在Snort网站的社区页面上非常活跃。您可以从其他用户那里获得提示和帮助,还可以下载经验丰富的Snort用户已经制定的规则.
该规则将检测诸如隐形端口扫描,缓冲区溢出攻击,CGI攻击,SMB探测和操作系统指纹之类的事件。检测方法取决于所使用的特定规则,它们包括 基于签名的方法和基于异常的系统.
Snort的名气吸引了软件开发人员行业的追随者。其他软件公司创建的许多应用程序可以对Snort收集的数据进行更深入的分析。这些包括 斯诺比, 基础, quil, 和 阿纳瓦尔. 这些配套应用程序可帮助您弥补Snort的界面不太友好的事实.
3. OSSEC
OSSEC代表 开源HIDS安全. 它是 领先的HIDS可用,并且完全免费使用. 作为基于主机的入侵检测系统,该程序专注于安装它的计算机上的日志文件。它监视所有日志文件的校验和签名,以检测可能的干扰. 在Windows上,它将保留对注册表所做的任何更改的选项卡。在类似Unix的系统上,它将监视任何获得root帐户的尝试。. 尽管OSSEC是一个开源项目,但它实际上是由趋势科技(一家著名的安全软件生产商)拥有的.
主监视应用程序可以覆盖一台计算机或多台主机,将数据整合到一个控制台中。尽管有一个Windows代理可以监视Windows计算机,但是主应用程序只能安装在类Unix系统上,这意味着Unix,Linux或Mac OS. 主程序有OSSEC的接口,但是该接口是单独安装的,不再受支持. OSSEC的普通用户已经发现其他可以很好地用作数据收集工具前端的应用程序:Splunk,Kibana和Graylog.
OSSEC涵盖的日志文件包括FTP,邮件和Web服务器数据。它还监视操作系统事件日志,防火墙和防病毒日志和表以及流量日志. OSSEC的行为由您在其上安装的策略控制. 可以从该产品活跃的大型用户社区中获取这些附件。策略定义警报条件。这些警报可以显示在控制台上,也可以作为通知通过电子邮件发送。趋势科技收费提供OSSEC支持.
4. ManageEngine EventLog分析器
管理引擎 是IT基础架构监视和管理解决方案的领先生产商. EventLog分析器 是公司安全产品的一部分。这是一个 HIDS 着重于管理和分析由标准应用程序和操作系统生成的日志文件。该工具安装在 Windows服务器 要么 的Linux. 它从那些操作系统以及从 苹果系统, IBM AIX, 惠普UX, 和 的Solaris 系统。 Windows系统的日志包括Windows Server Windows Vista和更高版本以及Windows DHCP Server的源.
除操作系统外,该服务还收集并整合来自 Microsoft SQL服务器 和 甲骨文 数据库。它还能够从许多防病毒系统中引导警报,包括 Microsoft反恶意软件, ESET, 索福斯, 诺顿, 卡巴斯基, 火眼, 恶意软件字节, 迈克菲, 和 赛门铁克. 它将从Web服务器,防火墙,管理程序,路由器,交换机和漏洞扫描程序中收集日志.
EventLog Analyzer收集日志消息并充当日志文件服务器,根据消息源和日期将消息组织到文件和目录中。紧急警告也将转发到EventLog Analyzer仪表板,并可将其转发给 服务台系统 作为引起技术人员立即关注的门票。关于哪些事件构成潜在安全漏洞的决定由以下因素决定: 威胁情报模块 内置在包装中.
该服务包括自动日志搜索和事件关联,以编译定期的安全报告。这些报告中包括特权用户监视和审核(PUMA)的格式,以及证明符合要求的各种格式。 PCI DSS, FISMA, ISO 27001, GLBA, HIPAA, SOX, 和 GDPR.
ManageEngine EventLog Analyzer具有三个版本。首先是 自由. 但是,免费版仅限于监视来自五个来源的日志消息,这对于除超小型企业以外的任何现代企业来说还远远不够。这两个付费版本是 保费 和 分散式. 分布式计划比高级计划贵得多。对于大多数单站点企业来说,Premium系统应该足够了,而分布式版本将覆盖多个站点和无限数量的日志记录源。您可以通过30天的免费试用期来试用系统,该试用期的上限为2,000条日志消息源.
5.海岛猫鼬类
Suricata可能是Snort的主要替代品. Suricata与Snort相比有一个关键优势,那就是它在应用程序层收集数据. 这克服了Snort对签名分割成多个TCP数据包的盲目性。 Suricata等待将数据包中的所有数据组装起来,然后再将信息移入分析.
尽管系统在应用程序层工作,但它仍可以监视较低级别的协议活动,例如IP,TLS,ICMP,TCP和UDP。它检查不同网络应用程序(包括FTP,HTTP和SMB)的实时流量. 监视器不仅查看数据包的结构. 它可以检查TLS证书,并专注于HTTP请求和DNS调用。文件提取工具使您可以检查和隔离具有病毒感染特征的可疑文件.
Suricata与Snort兼容,您可以使用为该NIDS负责人编写的相同VRT规则。这些第三方工具,例如 斯诺比, 基础, quil, 和 阿纳瓦尔 与Snort集成的产品也可以固定在Suricata上。因此,访问Snort社区以获取提示和免费规则对于Suricata用户可能是一个很大的好处。内置脚本模块使您可以组合规则,并获得比Snort所能提供的更精确的检测配置文件。 Suricata同时使用签名和基于异常的方法.
Suricata具有巧妙的处理架构,可以通过使用许多不同的处理器同时进行多线程活动来实现硬件加速。它甚至可以部分在您的图形卡上运行. 任务的这种分配使负载不会只承受一台主机. 很好,因为此NIDS的一个问题是它的处理量很大。 Suricata的仪表板外观非常时尚,集成了图形,使分析和问题识别更加轻松。尽管外观如此昂贵, 海岛猫鼬类是免费的.
6.兄弟
兄弟是一个 免费NIDS 不仅可以进行入侵检测,还可以为您提供其他网络监视功能。 Bro的用户社区包括许多学术和科研机构.
Bro入侵检测功能分两个阶段完成:流量记录和分析。和Suricata一样, Bro与Snort相比具有主要优势,因为它的分析在应用程序层进行. 这使您可以查看数据包,从而对网络协议活动进行更广泛的分析.
Bro的分析模块具有两个元素,可同时用于签名分析和异常检测。这些分析工具中的第一个是 兄弟事件引擎. 这跟踪触发事件,例如新的TCP连接或HTTP请求。每个事件都被记录下来,因此系统的这一部分与策略无关-它仅提供事件列表,在这些事件中,分析可能会揭示同一用户帐户所产生的重复动作或可疑活动。.
该事件数据的挖掘由 政策脚本. 警报条件会引起动作,因此 兄弟是一个入侵防御系统 以及网络流量分析器。可以自定义策略脚本,但是它们通常沿标准框架运行,该框架涉及签名匹配,异常检测和连接分析.
您可以使用Bro跟踪HTTP,DNS和FTP活动,还可以监视SNMP流量, 使您可以检查设备配置更改和SNMP陷阱条件. 每个策略都是一组规则,您不限于可以检查的活动策略或协议堆栈层数。在较低级别,您可以提防DDoS Syn Flood攻击并检测端口扫描.
Bro可以安装在Unix,Linux和Mac OS上.
7.萨根
萨根是 基于主机的入侵检测系统, 所以这是OSSEC的替代品,也是 免费使用. 尽管是HIDS,但该程序与由NIDS系统Snort收集的数据兼容。这种兼容性还扩展到了可以与Snort结合使用的其他工具,例如 斯诺比, 基础, quil, 和 阿纳瓦尔. 来自Bro和Suricata的数据源也可以输入Sagan。该工具可以安装在Unix,Linux和Mac OS上。尽管您无法在Windows上运行Sagan,但可以将Windows事件日志输入其中.
严格来讲, Sagan是一个日志分析工具. 使其成为独立的NIDS所缺少的元素是数据包嗅探器模块。但是,从积极的方面来说,这意味着Sagan不需要专用的硬件,并且可以灵活地分析主机日志和网络流量数据。该工具必须是其他数据收集系统的辅助工具,才能创建完整的入侵检测系统.
Sagan的一些不错的功能包括IP定位器,它可以 使您可以查看IP地址的地理位置 被检测为具有可疑活动。这将使您能够汇总似乎协同工作的IP地址的动作,从而构成攻击。 Sagan可以将其处理分布在多个设备上,从而减轻了密钥服务器的CPU负担.
该系统包括脚本执行,这意味着它将生成警报并在检测到入侵场景时执行操作. 它可以与防火墙表交互以实施IP禁止 如果来自特定来源的可疑活动。因此,这是一个入侵防御系统。分析模块可用于特征码和异常检测方法.
Sagan并未进入所有人的最佳IDS列表,因为它并不是真正的IDS(即日志文件分析器)。但是,其具有NIDS概念的HIDS使其成为混合IDS分析工具组件的一个有趣的主张。.
8.安全洋葱
对于IDS解决方案,您可以尝试 免费的安全洋葱系统. 此列表中的大多数IDS工具都是开源项目. 这意味着任何人都可以下载源代码并进行更改。这正是Security Onion的开发人员所做的。他从 鼻息, 苏里卡塔, OSSEC, 和 兄弟 并将它们缝合在一起 基于Linux的免费NIDS / HIDS混合体. Security Onion编写为可在Ubuntu上运行,并且还集成了来自前端系统和分析工具的元素,包括 斯诺比, 斯奎尔, ert, 基巴纳, 艾尔莎, Xplico, 和 网络矿工.
尽管Security Onion被归类为NIDS,但它确实也包含HIDS功能. 它将监视您的日志和配置文件中是否存在可疑活动,并检查这些文件的校验和中是否有任何意外更改. Security Onion全面网络监视方法的缺点之一是其复杂性。它具有几种不同的操作结构,实际上并没有足够的在线学习资料或捆绑的学习资料来帮助网络管理员掌握该工具的全部功能.
网络分析由 数据包嗅探器, 它可以在屏幕上显示正在传递的数据,也可以写入文件。 Security Onion的分析引擎使事情变得复杂,因为有许多不同的工具具有不同的操作步骤,您最终可能会忽略其中的大多数. Kibana的界面为Security Onion提供了仪表板 它确实包含一些漂亮的图形和图表以简化状态识别.
基于签名和基于异常的警报规则都包含在此系统中。您可以获得有关设备状态以及流量模式的信息。所有这些实际上都可以通过一些动作自动化来完成,而Security Onion则缺乏.
9.助手
“ Advanced Intrusion Detection Environment”要写很多,因此该IDS的开发人员决定将其名称缩写为AIDE。这是 免费的HIDS 着重于针对Unix和类似Unix的操作系统的rootkit检测和文件签名比较,因此它也适用于Mac OS和Linux.
如果您考虑过Tripwire,最好改用AIDE,因为这是该便捷工具的免费替代品。 Tripwire有一个免费版本,但是大多数人需要IDS才能提供的许多关键功能只有付费的Tripwire才能提供,因此您可以使用AIDE免费获得更多功能.
首次安装时,系统会从配置文件中编译管理数据数据库。那 创建基准,然后可以回滚对配置的任何更改 每当检测到系统设置更改时。该工具包括签名和异常监视方法. 系统检查是按需发出的,不会连续运行, 这个HIDS有点不足。但是,由于这是一个命令行功能,因此您可以计划它使用某种操作方法(例如cron)定期运行。如果您需要近乎实时的数据,则可以安排它非常频繁地运行.
AIDE实际上只是一种数据比较工具,它不包含任何脚本语言,您将不得不依靠自己的Shell脚本技能将数据搜索和规则实现功能纳入此HIDS。也许应该将AIDE视为配置管理工具,而不是入侵检测系统.
10.打开WIPS-NG
如果您听说过Aircrack-NG,那么您可能对此有些谨慎 基于网络的IDS 因为它是由同一位企业家开发的。 Aircrack-NG是一种无线网络数据包嗅探器和密码破解器,已经成为每个wifi网络黑客工具包中的一部分.
在WIPS-NG中,我们看到了一个由偷猎者转为游戏管理员的案例. 该免费软件旨在防御无线网络. 尽管Aircrack-NG可以在多种操作系统上运行,但是Open WIPS-NG仅在Linux上运行。 “ WIPS”这个名称代表“无线入侵防御系统”,因此该NIDS可以检测并阻止入侵.
该系统包括三个要素:
- 传感器
- 服务器
- 接口
有计划允许WIPS-NG安装来监视多个传感器。然而, 目前,每个装置只能包含一个传感器. 这不应该是太大的问题,因为您只需一个传感器即可完成多项任务。传感器是一个数据包嗅探器,它还具有在中间流中操纵无线传输的能力。因此传感器充当系统的收发器.
传感器收集的信息被转发到服务器,这就是发生魔术的地方. 服务器程序套件包含将检测入侵模式的分析引擎. 服务器还会生成阻止检测到的入侵的干预策略。保护网络所需的操作将作为指令发送给传感器.
系统的界面模块是一个仪表板,用于向系统管理员显示事件和警报。这也是可以调整设置,可以调整或覆盖防御措施的地方.
11. Samhain
由德国Samhain设计实验室生产的Samhain是 免费使用的基于主机的入侵检测系统. 它可以在一台计算机上运行,也可以在许多主机上运行,从而提供有关在每台计算机上运行的代理检测到的事件的集中数据.
每个代理执行的任务包括文件完整性检查,日志文件监视和端口监视. 进程查找rootkit病毒,流氓SUID(用户访问权限)和隐藏进程. 在多主机实现中,系统将加密应用于代理程序和中央控制器之间的通信。传送日志文件数据的连接包括身份验证要求,可以防止入侵者劫持或替换监视过程.
Samhain收集的数据可以分析网络上的活动,并突出显示入侵的警告信号。然而, 它不会阻止入侵或清除恶意进程. 您将需要保留配置文件和用户身份的备份,以解决Samhain监视器显示的问题。.
黑客和病毒入侵的一个问题是入侵者将采取隐藏措施。这包括终止监视过程. Samhain部署了一项隐形技术 使其进程保持隐藏状态,从而防止入侵者操纵或杀死IDS。这种隐身方法称为“隐写术”。
中央日志文件和配置备份使用PGP密钥签名,以防止入侵者篡改.
Samhain是一个开源系统,可以免费下载。它是根据POSIX准则设计的,以使其与Unix,Linux和Mac OS兼容。中央监视器将汇总来自不同操作系统的数据.
12. Fail2Ban
Fail2Ban是一个 免费的基于主机的入侵检测系统 着重于检测日志文件中记录的令人担忧的事件,例如过多的失败登录尝试. 系统在显示可疑行为的IP地址上设置了阻止. 这些禁令通常仅持续几分钟,但这足以破坏标准的自动暴力破解密码的情况。此策略也可以有效地抵抗DoS攻击。 IP地址禁止的实际长度可以由管理员调整.
Fail2Ban实际上是 入侵防御系统 因为它可以在检测到可疑活动时采取措施,而不仅记录并突出显示可能的入侵.
因此,系统管理员在设置软件时必须注意访问策略,因为 过于严格的预防策略很容易将善意的用户拒之门外. Fail2Ban的问题在于,它专注于从一个地址重复执行操作。这使其无法应对分布式密码破解活动或DDoS攻击.
Fail2Ban用Python编写,并且能够写入系统表以阻止可疑地址。这些自动锁定发生在Netfilter,iptables,PF防火墙规则和TCP Wrapper的hosts.deny表中.
系统的攻击监控范围由一系列 过滤器 指示IPS监视哪些服务。其中包括Postfix,Apache,Courier Mail Server,Lighttpd,sshd,vsftpd和qmail。每个过滤器都与一个动作结合在一起,以在检测到警报情况时执行. 过滤器和操作的组合称为“监狱”。
该系统采用POSIX标准编写,因此可以安装在Unix,Linux和Mac OS操作系统上.
如何选择IDS
基于网络的入侵检测系统的硬件需求可能会让您望而却步,而是将您推向基于主机的系统,这比起安装和运行起来容易得多。但是,请不要忽略这些系统不需要专用硬件的事实,只需专用主机即可.
事实上, 您应该在为网络获取HIDS和NIDS. 这是因为您需要注意计算机上的配置更改和root用户访问权限,以及查看网络流量中的异常活动.
好消息是,我们列表中的所有系统都是免费的或免费试用的,因此您可以尝试其中的一些。这些系统的用户社区方面可能会吸引您,特别是如果您已经有一位具有丰富经验的同事. 从其他网络管理员那里获得提示的能力是这些系统的最终吸引力 并通过专业的技术支持支持使它们比付费解决方案更具吸引力.
如果您的公司所在的部门需要符合安全标准,例如PCI,那么您确实需要适当的IDS。也, 如果您将个人信息保存在公众面前,则您的数据保护程序必须严格执行 以防止您的公司因数据泄漏而被起诉.
尽管可能要花所有的工作时间才能保持网络管理员的地位, 不要推迟安装入侵检测系统的决定. 希望本指南为您提供了正确的方向。如果您对自己喜欢的IDS有任何建议,并且对本指南中提到的任何系统都有经验,请在下面的评论部分中留下注释,并与社区分享您的想法。.
进一步阅读
Comparitech网络指南
- 2023年十大局域网监视工具
- DHCP权威指南
- SNMP权威指南
- 2023年移动设备管理(MDM)终极指南
- 2023年BYOD终极指南
- 十大服务器管理 & 2023年监控工具
- 适用于Windows的最佳免费NetFlow分析器和收集器
- 6种最好的免费网络漏洞扫描程序以及如何使用它们
- 2023年8种最佳数据包嗅探器和网络分析仪
- 最佳的免费带宽监视软件和工具,可分析网络流量使用情况
有关网络监控的其他信息
- 维基百科:入侵检测系统
- 技术目标:入侵检测系统(IDS)
- CSO:什么是入侵检测系统?
- Lifewire:入侵检测系统简介
- YouTube:入侵检测系统
系统。首先,您应该使用IDS来监视网络流量并收集数据,以便了解网络中的正常活动模式。然后,您可以使用IPS来实施防御策略,以防止恶意活动。在实施IPS之前,您应该对其进行测试,并确保它不会影响您的合法网络活动。最后,您应该定期审查IDS和IPS的日志,以便及时发现任何异常活动并采取必要的措施。总之,IDS和IPS是保护网络安全的重要工具,但它们需要正确配置和管理才能发挥最大作用。