作為網(wǎng)絡(luò)安全專業(yè)人士，我們一直在阻止攻擊者訪問(wèn)我們的網(wǎng)絡(luò)，但隨著移動(dòng)設(shè)備，分布式團(tuán)隊(duì)和物聯(lián)網(wǎng)(IoT)的興起，使得對(duì)網(wǎng)絡(luò)的保護(hù)更加困難。網(wǎng)絡(luò)安全工作者不得不引起重視的問(wèn)題是，當(dāng)攻擊者成功攻陷你的網(wǎng)絡(luò)時(shí)，你發(fā)現(xiàn)攻擊的時(shí)間越長(zhǎng)，數(shù)據(jù)泄露所造成的損失越大。

創(chuàng)新互聯(lián)公司堅(jiān)持“要么做到，要么別承諾”的工作理念，服務(wù)領(lǐng)域包括：成都網(wǎng)站設(shè)計(jì)、做網(wǎng)站、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣等服務(wù)，滿足客戶于互聯(lián)網(wǎng)時(shí)代的歷下網(wǎng)站設(shè)計(jì)、移動(dòng)媒體設(shè)計(jì)的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴！

通過(guò)采用強(qiáng)大的事件響應(yīng)計(jì)劃支持的可靠入侵檢測(cè)系統(tǒng)(IDS)，用戶可以減少漏洞的潛在損害。

IDS通常分為兩組：基于特征碼的IDS，它會(huì)通過(guò)掃描發(fā)現(xiàn)它們存在的已知的惡意流量并進(jìn)行警報(bào)。此外還有基于異常的IDS，它會(huì)通過(guò)查看基線來(lái)暴露異常狀況。

如果想要保護(hù)數(shù)據(jù)和系統(tǒng)，在網(wǎng)絡(luò)中部署IDS至關(guān)重要，從內(nèi)部服務(wù)器到數(shù)據(jù)中心再到公共云環(huán)境都應(yīng)該進(jìn)行相關(guān)部署。值得注意的是，IDS還可以揭示員工的不當(dāng)行為，包括內(nèi)部威脅以及工作時(shí)間通過(guò)Netflix或Facebook Messenger等傳輸工具聊天的怠工行為。

幸運(yùn)的是，有許多開(kāi)源入侵檢測(cè)工具值得大家嘗試，接下來(lái)我們就來(lái)列舉五個(gè)例子。

1、Snort

作為IDS的事實(shí)標(biāo)準(zhǔn)，Snort是一個(gè)非常有價(jià)值的工具。此Linux實(shí)用程序易于部署，可配置為監(jiān)視網(wǎng)絡(luò)流量以進(jìn)行入侵嘗試，記錄入侵行為，并在檢測(cè)到入侵嘗試時(shí)執(zhí)行指定的操作。它是部署最廣泛的IDS工具之一，也可作為入侵防御系統(tǒng)(IPS)。

Snort可追溯到1998年，至今仍沒(méi)有消失的跡象，有一些活躍的社區(qū)提供了很好的幫助和支持。Snort沒(méi)有GUI(圖形用戶界面)，且缺少一個(gè)管理控制臺(tái)，但用戶可以使用另一個(gè)像Snorby或Base這樣的開(kāi)源工具來(lái)彌補(bǔ)這個(gè)缺陷。Snort提供的高水平定制為許多不同的組織提供了很好的選擇。

如果你不想出于某些原因使用Snort，那么Suricata也是一個(gè)很好的選擇。

2、Bro

Bro能夠通過(guò)分析引擎將流量轉(zhuǎn)換成一系列事件，可以檢測(cè)可疑的特征碼和異常。用戶可以使用brol - script為策略引擎設(shè)計(jì)任務(wù)，這對(duì)于希望通過(guò)自動(dòng)化完成更多工作的人來(lái)說(shuō)是一個(gè)不錯(cuò)的選擇。例如，該工具能夠自動(dòng)下載它在網(wǎng)絡(luò)上發(fā)現(xiàn)的可疑文件，并將它們發(fā)送給分析人員，如果發(fā)現(xiàn)任何異常情況，將通知相關(guān)人員，將源文件列入黑名單，并關(guān)閉下載它的設(shè)備。

Bro的缺點(diǎn)在于，用戶如果想通過(guò)它提取大的價(jià)值，需要建立一個(gè)陡峭的學(xué)習(xí)曲線，而且可能會(huì)非常復(fù)雜。然而，該社區(qū)還在不斷成長(zhǎng)，并為用戶提供了越來(lái)越多的幫助，Bro能夠檢測(cè)其他入侵檢測(cè)工具可能會(huì)忽略的異常和模式。

3、Kismet

作為無(wú)線IDS的標(biāo)準(zhǔn)，Kismet是大多數(shù)企業(yè)必不可少的工具。它專注于無(wú)線協(xié)議，包括Wi-Fi和藍(lán)牙，并追蹤員工未經(jīng)授權(quán)創(chuàng)建的接入點(diǎn)。它可以檢測(cè)默認(rèn)網(wǎng)絡(luò)或配置漏洞，并且可以跳頻，但搜索網(wǎng)絡(luò)需要很長(zhǎng)時(shí)間，并且獲取最佳結(jié)果的搜索范圍有限。

Kismet能夠在幾個(gè)不同的平臺(tái)上運(yùn)行，包括Android和iOS，但對(duì)于Windows的支持有限。此外還有各種用于集成其他工具的API，能夠?yàn)楦叩墓ぷ髫?fù)載提供多線程數(shù)據(jù)包解碼。最近其推出了一個(gè)全新的，基于Web用戶的界面，支持?jǐn)U展插件。

4、OSSEC

基于主機(jī)的IDS或HIDS，我們來(lái)看一下OSSEC，這是迄今為止功能最全面的HIDS選擇。它非常易于擴(kuò)展，能夠在大多數(shù)操作系統(tǒng)上運(yùn)行，包括Windows，Linux，Mac OS，Solaris等。它具有客戶端/服務(wù)器體系結(jié)構(gòu)，可將警報(bào)和日志發(fā)送到中央服務(wù)器進(jìn)行分析。這意味著即使主機(jī)系統(tǒng)被脫機(jī)或完全受損，警報(bào)也會(huì)發(fā)出。通過(guò)該體系結(jié)構(gòu)，能夠使部署更加簡(jiǎn)單，因?yàn)樗梢詫?shí)現(xiàn)多個(gè)代理的集中管理。

OSSEC是一個(gè)小型的安裝程序，一旦啟動(dòng)并運(yùn)行，對(duì)系統(tǒng)資源的占用非常小。此外它也是可定制的，可以配置為自動(dòng)實(shí)時(shí)操作。OSSEC有一個(gè)龐大的社區(qū)，有大量資源可供使用。

如果你對(duì)中心服務(wù)器有所顧慮，那么你可能將Samhain Labs納入你的替代方案，它也是基于主機(jī)的，但是它提供了代理的多種輸出方法。

5、Open DLP

數(shù)據(jù)防泄漏(DLP)是此工具的主要目的。它能夠在數(shù)據(jù)庫(kù)或文件系統(tǒng)中靜態(tài)掃描數(shù)據(jù)。Open DLP將搜索與用戶組織相關(guān)的敏感數(shù)據(jù)，以發(fā)現(xiàn)未經(jīng)授權(quán)的復(fù)制和傳輸操作。這對(duì)于防御內(nèi)鬼和粗心員工發(fā)送敏感數(shù)據(jù)非常有用。它能夠在Windows上良好運(yùn)行，也能夠支持Linux，可以通過(guò)代理或作為無(wú)代理工具進(jìn)行部署。

底線

正如您所看到的，有許多優(yōu)秀的免費(fèi)開(kāi)源入侵檢測(cè)工具可供選擇，這絕不是一個(gè)詳盡的列表，但這五個(gè)選項(xiàng)是一個(gè)很好的開(kāi)端。

分享題目：安利|最好用的五大開(kāi)源入侵檢測(cè)工具！-創(chuàng)新互聯(lián)
本文URL：http://weahome.cn/article/ddpjgp.html