最好的开源网络入侵检测工具

最好的开源网络入侵检测工具
coco coco 2018-01-25 11:57:10



　　在企业中，为了保护数据，防止网络中的违规事件是一件严重的事情。 任何恶意软件的利用都会给公司造成很大的损失。 安全地维护网络是所有系统管理员希望实现的目标。 让我们来看看几个重要的开源网络入侵检测工具。
　　在当今世界，数据泄露，威胁，攻击和入侵正变得非常复杂。网络犯罪分子和黑客提出了进入商业和家庭网络的新方法，使得网络安全的多层次方法成为迫切的需要。因此，入侵检测系统（IDS）是用来防御网络日常出现的高科技攻击的最重要工具。 IDS是网络安全工具，用于检测针对目标应用程序或计算机的漏洞攻击。它被认为是一种高端网络设备或软件应用程序，协助网络或系统管理员监视网络或系统中的各种恶意活动或威胁。使用安全信息和事件管理（SIEM）系统向管理员报告任何异常活动。
　　有各种各样的IDS可用，从防病毒到监视网络流量的分层系统。最常见的是下面列出的。
　　NIDS：网络入侵检测系统被放置在网络中的高度战略点上，以监控来自网络中所有设备的入站和出站流量。但扫描所有流量可能会导致瓶颈的产生，从而影响网络的整体速度。
　　HIDS：主机入侵检测系统运行在网络中的不同机器或设备上，并为整个网络提供防御来自外部世界的威胁。
　　Signature based IDS：基于签名的IDS系统监视网络中的所有数据包，并将它们与预先配置的和预先确定的攻击模式的签名数据库进行比较。他们的工作类似于防病毒软件。
　　Anomaly based IDS：此IDS监视网络流量，并将其与建立的基准进行比较。基准确定网络在带宽，协议，端口和其他设备方面被认为是正常的因素，而IDS会提醒管理员防范各种异常活动。
　　Passive IDS：这个IDS系统做简单的检测和警报工作。它只是警告管理员的任何形式的威胁，并阻止有关活动作为预防措施。
　　Reactive IDS：检测恶意活动，向管理员发出威胁并响应这些威胁。
　　企业级网络可以使用许多开放源码工具，这取决于所需的复杂程度和安全性。为了使网络具有较高的安全性，入侵检测系统应检测网络中主机的各种可疑行为，并采取积极措施防止攻击。
　　8大开源网络入侵检测工具
　　这里列出了8个开源网络入侵检测工具，并对每个入侵检测工具进行了简要说明。
　　Snort
　　Snort是一个免费的开源网络入侵检测和预防工具。它是由Martin Roesch于1998年创建的。使用Snort的主要优点是能够在网络上执行实时流量分析和数据包记录。凭借协议分析，内容搜索和各种预处理器的功能，Snort被广泛接受为检测各种蠕虫，攻击，端口扫描和其他恶意威胁的工具。它可以配置三种主要模式 - 嗅探器，数据包记录器和网络入侵检测。在嗅探器模式下，程序将只读取数据包并在控制台上显示信息。在数据包记录器模式下，数据包将被记录在磁盘上。在入侵检测模式下，程序将监控实时流量并将其与用户定义的规则进行比较。
　　Snort可以检测到诸如缓冲区溢出，隐形端口扫描，CGI攻击，SMB探测，操作系统指纹尝试等各种攻击。它受到许多硬件平台和操作系统的支持，如Linux，OpenBSD，FreeBSD，Solaris，HP-UX ，MacOS，Windows等。
　　优点：
　　免费下载，是开源的。
　　易于编写入侵检测规则。
　　在部署方面具有高度灵活性和动态性。
　　良好的社区支持解决问题，正在快速发展。
　　缺点：
　　没有规则操作的GUI界面。
　　处理网络数据包有点慢。
　　无法检测到分割多个TCP数据包的签名，这是在以串联模式配置数据包时发生的。
　　最新版本：2.9.9.0
　　官方网站：www.snort.org
　　Security Onion
　　Security Onion是入侵检测，网络安全监控和日志管理的Linux发行版。 开源发行版基于Ubuntu，包含许多IDS工具，如Snort，Suricata，Bro，Sguil，Squert，Snorby，ELSA，Xplico，NetworkMiner等等。 Security Onion为网络流量，警报和可疑活动提供了高可见性和环境。 但是这需要系统管理员进行适当的管理来检查警报，监视网络活动并定期更新基于IDS的检测规则。
　　安全洋葱有三个核心功能：
　　完整的数据包捕获
　　基于网络和主机的入侵检测系统
　　强大的分析工具
　　完整的数据包捕获：这是通过使用netsnifff-ng完成的，捕获Security Onion可以看到的所有网络流量，并且可以像存储解决方案一样存储。 它就像一个网络实时摄像机，提供了网络上发生的威胁和恶意活动的所有证据。
　　基于网络和基于主机的IDS：分析网络或主机系统，并为检测到的事件和活动提供日志和警报数据。 Security Onion拥有多种IDS选项，如规则驱动的IDS，分析驱动的IDS，HIDS等。
　　分析工具：除了网络数据捕获外，Security Onion还包括Sguil，Squert，ELSA等各种工具，用于协助管理员进行分析。
　　Security Onion还为常规独立，服务器传感器和混合监控工具的实时部署提供了多种方式。
　　优点：
　　为用户提供一个高度灵活的环境，以根据需要调整网络安全。
　　由预先安装的传感器管理工具，流量分析仪和数据包嗅探器组成，无需额外的IDS / IPS软件即可运行。
　　定期更新以提高安全级别。
　　缺点：
　　安装后不能作为IPS使用，而只能作为IDS使用，用户在网站上找不到任何关于此的说明。
　　不支持用于管理网络的Wi-Fi。
　　管理员需要学习各种工具来有效使用Security Onion发行版。
　　配置文件除规则以外不能自动备份; 因此此活动需要使用第三方软件。
　　最新版本：14.04.5.1
　　官方网站：https：//securityonion.net/
　　OpenWIPS-NG
　　OpenWIPS-NG是一种免费的无线入侵检测和防御系统，它依赖于传感器、服务器和接口。它主要运行在商品硬件上。它是由Aircrack软件的发明者Thomas d 'Otrepe de Bouvette开发的。OpenWIPS使用Aircrack-NG内置的许多功能和服务进行扫描，检测和入侵防护。
　　下面列出了OpenWIPS-NG的三个主要部分。
　　传感器：用作捕获无线流量并将数据发送回服务器进行进一步分析的设备。 传感器在应对各种网络攻击方面也起着重要的作用。
　　服务器：执行来自所有传感器的数据聚合的作用，分析数据并响应攻击。 另外，它会记录任何类型的攻击并提醒管理员。
　　界面：GUI管理服务器并显示针对网络的各种威胁的信息。
　　优点:
　　基于模块化和插件。
　　所需的软件和硬件可由DIY人员构建。
　　通过使用插件支持其他功能。
　　缺点:
　　只适用于无线网络。
　　只适用于中低端管理，不能完全适应各种无线攻击。
　　与其他系统相比，没有详细的文档和社区支持。
　　最新版本：OpenWIPS-NG 0.1 beta 1
　　官方网站：http://www.openwips-ng.org/
　　Suricata
　　Suricata是开源信息安全基金会（Open Information Security Foundation）开发的一个开源，快速，高度稳定的网络入侵检测系统。 Suricata引擎能够实时入侵检测，内联入侵防御和网络安全监控。 Suricata由几个模块组成，如捕捉，采集，解码，检测和输出。 它捕获在解码之前在一个流中传递的流量，这是非常优化的。 但是与Snort不同的是，它在捕获并指定流程将如何在处理器之间分离之后配置单独的流程。
　　优点：
　　在OSI模型的第七层进行网络流量处理，从而增强了检测恶意软件活动的能力。
　　自动检测和分析IP，TCP，UDP，ICMP，HTTP，TLS，FTP，SMB和FTP等协议，以便适用于所有协议。
　　高级功能包括多线程和GPU加速。
　　缺点：
　　与Snort等其他IDS相比，支持较少。
　　操作复杂，需要更多的系统资源才能完成功能。
　　最新版本：3.2
　　官方网站：https：//suricata-ids.org
　　BroIDS
　　BroIDS是由Vern Paxson开发的一种被动的，开源的网络流量分析器，用于收集网络测量数据，进行法庭调查，交通基础内衬等等。 BroIDS包含一组日志文件，用于记录网络活动，如HTTP会话，包括URI，密钥标头，MIME类型，服务器响应，DNS请求，SSL证书，SMTP会话等。此外，它提供了复杂的功能，用于分析和检测威胁，从HTTP会话中提取文件，复杂的恶意软件检测，软件漏洞，SSH蛮力攻击和验证SSL证书链。
　　BroIDS分为以下两层。
　　Bro事件引擎：当网络上发生异常时，它执行使用C ++分析实时或记录的网络流量包的事件。
　　Bro策略脚本：这些策略分析事件以创建操作策略，使用策略脚本处理事件，例如发送电子邮件，发出警报，执行系统命令，甚至调用紧急号码。
　　最新版本：Bro 2.5
　　官方网站：www.bro.org
　　优点：
　　BroIDS非常灵活，使用脚本语言来允许用户为每个受保护的对象设置监视规则。
　　在拥有大量流量的网络中高效工作，并处理大型网络项目。
　　能够深入分析流量，并支持多种协议的分析仪。 高度有状态，并做法医级综合日志维护。
　　缺点：
　　不容易处理，因为它有一个复杂的架构。
　　需要编程经验才能胜任处理BroIDS系统。
　　OSSEC
　　OSSEC是一个基于免费和开放源码的基于主机的IDS，可以执行日志分析，完整性检查，Windows注册表监视，rootkit检测，基于时间的警报和主动响应等各种任务。 OSSEC系统配备了集中式和跨平台架构，可以让管理员准确地监控多个系统。
　　OSSEC系统包括以下三个主要组件。
　　主要应用：这是安装的主要要求; OSSEC由Linux，Windows，Solaris和Mac环境支持。
　　Windows代理程序：只有在基于Windows的计算机/客户端以及服务器上安装OSSEC时才需要。
　　Web界面：基于Web的GUI应用程序，用于定义规则和网络监视。
　　优点：
　　多平台IDS系统提供实时和可配置的警报。
　　集中管理，代理和无代理监控。
　　可以在无服务器和服务器代理模式下使用。
　　缺点：
　　升级过程使用开箱即用的规则覆盖现有的规则。
　　预共享密钥可能很麻烦。
　　Windows操作系统仅在服务器代理模式下受支持。
　　最新版本：2.8.3
　　官方网站：http：//ossec.github.io/
　　Open Source Tripwire
　　开源的Tripwire是一个基于主机的入侵检测系统，专注于检测文件系统对象的变化。 在第一次初始化时，Tripwire根据系统管理员的指示扫描文件系统，并将每个文件的信息存储在数据库中。 当文件被更改并在将来扫描时，结果将与存储的值进行比较，并将更改报告给用户。
　　Tripwire利用加密哈希来检测文件的变化。 除了扫描文件更改外，还用于完整性保证，更改管理和策略合规性。
　　优点：
　　非常适合小型，分散式Linux系统。
　　与Linux良好的集成
　　缺点：
　　只能在Linux上运行。
　　要求用户成为Linux专家。
　　高级功能在开源版本中不可用。
　　没有实时警报。
　　最新版本：2.4.3.1
　　官方网站：https：//github.com/Tripwire/tripwire-open-source
　　AIDE
　　AIDE（高级入侵检测环境）由Rami Lehti和Pablo Virolainen开发。它被认为是监视UNIX或Linux系统变化的最强大工具之一。 AIDE通过从配置文件中找到的正则表达式规则创建一个数据库。初始化数据库时，用于验证文件的完整性。
　　AIDE的一些最强大的功能如下：
　　支持各种消息摘要算法，如MD5，SHA1，RMD160，TIGER，SHA256和SHA512。
　　支持POSIX ACL，SELinux，XAttra和扩展文件系统。
　　强大的正则表达式支持，包含或排除要监视的文件和目录。
　　支持各种操作系统平台，如Linux，Solaris，Mac OS X，UNIX，BSD，HP-UX等
　　优点：
　　实时检测和消除攻击者恢复文件或目录属性。
　　异常检测以减少文件系统监视器的错误率。
　　支持广泛的加密算法。
　　缺点：
　　没有GUI界面。
　　需要仔细配置以有效检测和预防。
　　不能正确处理长文件名以便顺利检测。
　　最新版本：0.16
　　官方网站：http：//aide.sourceforge.net/