13款入侵检测系统介绍(HIDS)
原文
閱讀目錄
-
1 什么是入侵檢測系統(IDS)?
- 工具列表
-
2 入侵檢測系統的類型
-
3 基于主機的入侵檢測系統(HIDS)
-
4 基于網絡的入侵檢測系統(NIDS)
-
5 HIDS or NIDS?
-
6 檢測方法:基于簽名或基于異常的IDS
- 基于簽名的IDS
- 基于異常的IDS
- 選擇IDS方法
-
7 使用IPS防御網絡
-
8 入侵檢測系統的類型和操作系統
-
9 Top入侵檢測軟件和工具
-
10 Linux入侵檢測系統
-
11 Windows入侵檢測系統
-
12 Mac OS入侵檢測系統
-
13 最好的入侵檢測系統軟件和工具
- 1. SolarWinds Security Event Manager (FREE TRIAL)
- 2. CrowdStrike Falcon (FREE TRIAL)
- 3. ManageEngine EventLog Analyzer (FREE TRIAL)
- 4. Snort
- 5. OSSEC
- 6. Suricata
- 7. Zeek
- 8. Sagan
- 9. Security Onion
- 10. AIDE
- 11. Open WIPS-NG
- 12. Samhain
- 13. Fail2Ban
-
14 如何為您的網絡選擇IDS軟件
-
15 入侵檢測系統FAQ
- 什么是IDS和IPS?
- Snort vs OSSEC
- 基于主機的入侵檢測系統如何工作?
- 什么是主動和被動IDS?
- IDS如何定義正常使用?
- 最好的入侵檢測和防御系統是什么?
-
16 Further Reading
- Comparitech networking guides
- Other information on network monitoring
本篇譯自: Intrusion Detection Systems Explained: 13 Best IDS Software Tools Reviewed
1 什么是入侵檢測系統(IDS)?
入侵檢測系統(IDS)監視網絡流量中是否存在異常或可疑活動,并將警報發送給管理員。 主要功能是檢測異常活動并將其報告給網絡管理員。 但是,某些IDS軟件可以在檢測到惡意活動(例如阻止某些傳入流量)時根據規則采取措施。
工具列表
這是我們最佳入侵檢測系統軟件和工具的列表:
- SolarWinds Security Event Manager: 分析來自Windows,Unix,Linux和Mac OS系統的日志。它管理Snort收集的數據,包括實時數據。 SEM還是一種入侵防御系統,附帶700多個規則以關閉惡意活動。改善安全性,響應事件并實現合規性的重要工具。
- CrowdStrike Falcon(免費試用): 一種基于云的端點保護平臺,其中包括威脅搜尋。
- **ManageEngine EventLog Analyzer(免費試用):**一種日志文件分析器,用于搜索入侵的證據。
- Snort: 由Cisco Systems提供,可免費使用,領先的基于網絡的入侵檢測系統軟件。
- OSSEC: 優秀的基于主機的入侵檢測系統,可免費使用。
- Suricata: 基于Network的入侵檢測系統軟件,在應用程序層運行,以提高可視性。
- Zeek: 網絡監控器和基于網絡的入侵防御系統。
- Sagan: 日志分析工具可以集成在snort數據上生成的報告,因此它是具有少量NIDS的HIDS。
- Security Onion: 網絡監視和安全工具由從其他免費工具中提取的元素組成。
- AIDE: 高級入侵檢測環境是適用于Unix,Linux和Mac OS的HIDS
- OpenWIPS-NG: 來自Aircrack-NG制造商的無線NIDS和入侵防御系統。
- Samhain: 直接基于主機的入侵檢測系統,適用于Unix,Linux和Mac OS。
- Fail2Ban: 用于Unix,Linux和Mac OS的輕型基于主機的入侵檢測軟件系統。
2 入侵檢測系統的類型
入侵檢測系統有兩種主要類型(本指南后面將對這兩種類型進行詳細說明):
- 基于主機的入侵檢測系統(HIDS)–該系統將檢查網絡中計算機上的事件,而不是系統中通過的流量。
- 基于網絡的入侵檢測系統(NIDS)–該系統將檢查您網絡上的流量。
網絡入侵檢測軟件和系統現在對于網絡安全至關重要。 幸運的是,這些系統非常易于使用,并且市場上大多數最佳的IDS都可以免費使用。 在這篇評論中,您將了解現在可以安裝的十種最佳入侵檢測系統軟件,以開始保護網絡免受攻擊。 我們介紹適用于Windows,Linux和Mac的工具。
3 基于主機的入侵檢測系統(HIDS)
基于主機的入侵檢測系統(也稱為主機入侵檢測系統或基于主機的IDS)檢查網絡上計算機上的事件,而不是檢查系統周圍通過的流量。這種類型的入侵檢測系統縮寫為HIDS,主要通過在受保護的計算機上查看管理文件中的數據來進行操作。這些文件包括日志文件和配置文件。
HIDS將備份您的配置文件,以便在惡意病毒通過更改計算機的設置而失去系統安全性時,您可以還原設置。您要防止的另一個關鍵因素是類Unix平臺上的root用戶訪問權限或Windows系統上的注冊表更改。 HIDS將無法阻止這些更改,但是它應該能夠在發生任何此類訪問時提醒您。
HIDS監視器的每個主機上都必須安裝一些軟件。您只需讓HIDS監視一臺計算機即可。但是,更常見的是在網絡上的每臺設備上安裝HIDS。這是因為您不想忽略任何設備上的配置更改。自然,如果您的網絡上有多個HIDS主機,則無需登錄到每個HIDS主機即可獲得反饋。因此,分布式HIDS系統需要包括一個集中控制模塊。尋找一個對主機代理和中央監視器之間的通信進行加密的系統。
4 基于網絡的入侵檢測系統(NIDS)
基于網絡的入侵檢測,也稱為網絡入侵檢測系統或網絡IDS,可檢查網絡上的流量。因此,典型的NIDS必須包括一個數據包嗅探器,以收集網絡流量進行分析。
NIDS的分析引擎通常基于規則,可以通過添加自己的規則進行修改。對于許多NIDS,系統的提供者或用戶社區將向您提供規則,您只需將規則導入到您的實現中即可。熟悉所選NIDS的規則語法后,便可以創建自己的規則。
鏈接回流量收集,您不想將所有流量轉儲到文件中或通過儀表板運行全部操作,因為您將無法分析所有這些數據。因此,在NIDS中推動分析的規則也會創建選擇性的數據捕獲。例如,如果您有關于令人擔憂的HTTP流量類型的規則,則NIDS僅應選擇并存儲顯示這些特征的HTTP數據包。
通常,NIDS安裝在專用硬件上。高端付費企業解決方案是作為網絡套件提供的,其中預先裝有軟件。但是,您不必花大錢就可以買到專業的硬件。 NIDS確實需要傳感器模塊來接收流量,因此您可以將其加載到LAN分析器上,或者可以選擇分配計算機來運行任務。但是,請確保為任務選擇的設備具有足夠的時鐘速度,以免降低網絡速度。
5 HIDS or NIDS?
簡短的答案是兩者。 與HIDS相比,NIDS將為您提供更多的監視功能。 您可以攔截NIDS發生的攻擊。 相反,僅當文件或設備上的設置已更改時,HIDS才會發現任何錯誤。 但是,僅僅因為HIDS的活動性不如NIDSs高,所以這并不意味著它們不那么重要。
NIDS通常安裝在獨立的設備上,這意味著它不會拖拽服務器的處理器。 但是,HIDS的活性不如NIDS積極。 HIDS功能可以通過計算機上的輕量級守護程序來實現,并且不應消耗過多的CPU。 這兩個系統都不會產生額外的網絡流量。
6 檢測方法:基于簽名或基于異常的IDS
無論您要尋找主機入侵檢測系統還是網絡入侵檢測系統,所有IDS都使用兩種操作模式-有些可能只使用一種或另一種,但大多數都使用。
基于簽名的IDS 基于異常的IDS基于簽名的IDS
基于簽名的方法查看校驗和和消息身份驗證。 基于簽名的檢測方法可以像NIDS一樣適用于NIDS。 HIDS將查看日志和配置文件以進行任何意外的重寫,而NIDS將查看捕獲的數據包中的校驗和以及諸如SHA1之類的系統的消息身份驗證的完整性。
NIDS可以包括簽名的數據庫,這些簽名是已知為惡意活動來源的數據包所攜帶。 幸運的是,黑客不會坐在電腦旁冒著怒氣來破解密碼或訪問root用戶。 相反,他們使用著名的黑客工具提供的自動化程序。 這些工具往往每次都會生成相同的流量簽名,因為計算機程序會一遍又一遍地重復相同的指令,而不是引入隨機變量。
基于異常的IDS
基于異常的檢測將查找意外或異常的活動模式。 該類別也可以通過基于主機和基于網絡的入侵檢測系統來實現。 對于HIDS,可能會在登錄端口失敗或設備端口上異常活動重復出現異常,這表示端口掃描。
對于NIDS,異常方法需要建立行為基準,以創建標準情況,并與之進行比較。 一定范圍的流量模式被認為是可以接受的,并且當當前的實時流量移出該范圍時,就會引發異常警報。
選擇IDS方法
先進的NIDS可以建立標準行為記錄,并隨著使用壽命的延長而調整其邊界。 總體而言,與NIDS相比,HIDS軟件更易于操作且簽名和異常分析都更易于操作。
于簽名的方法比基于異常的檢測要快得多。 全面的異常引擎涉及到AI的方法論,并可能花費大量資金進行開發。 但是,基于簽名的方法歸結為值的比較。 實際上,在HIDS的情況下,與文件版本進行模式匹配可能是一項非常簡單的任務,任何人都可以使用帶有正則表達式的命令行實用程序來執行自己的任務。 因此,它們的開發成本不高,而且更可能在免費入侵檢測系統中實現。
一個全面的入侵檢測系統需要基于簽名的方法和基于異常的過程。
7 使用IPS防御網絡
現在,我們需要考慮入侵防御系統(IPS)。 IPS軟件和IDS是同一技術的分支,因為如果沒有檢測,就無法預防。表達入侵工具這兩個分支之間差異的另一種方法是將它們稱為被動或主動。一個簡單的入侵監控和警報系統有時被稱為“被動” IDS。一個不僅發現入侵而且采取行動糾正任何損害并阻止來自檢測到的源的進一步入侵嘗試的系統,也被稱為“反應式” IDS。
反應型IDS或IPS通常不會直接實施解決方案。相反,它們通過調整設置與防火墻和軟件應用程序進行交互。反應型HIDS可以與許多網絡助手交互以恢復設備(例如SNMP或已安裝的配置管理器)上的設置。通常不會自動處理針對root用戶或Windows中的admin用戶的攻擊,因為阻止admin用戶或更改系統密碼會導致系統管理員無法進入網絡和服務器。
IDS的許多用戶在首次安裝防御系統時都會報告大量誤報,就像IPS在檢測到警報條件時自動實施防御策略一樣。標定不正確的IPS可能會造成破壞,并使您的合法網絡活動陷入僵局。
為了最大程度地減少由錯誤警報引起的網絡中斷,您應該分階段介紹入侵檢測和防御系統。觸發器可以定制,您可以組合警告條件以創建自定義警報。在檢測到潛在威脅時需要執行的操作聲明稱為策略。入侵檢測和防御程序與防火墻之間的相互作用應進行特別微調,以防止您的企業的真正用戶被過于嚴格的政策所鎖定。
8 入侵檢測系統的類型和操作系統
IDS軟件的生產者專注于類Unix操作系統。 有些人根據POSIX標準產生他們的代碼。 在所有這些情況下,這意味著Windows被排除在外。 由于Mac OS X和macOS的Mac OS操作系統是基于Unix的,因此與其他軟件類別相比,這些操作系統在IDS世界中要好得多。 下表說明了哪些IDS是基于主機的,哪些IDS是基于網絡的,以及每個可以安裝的操作系統。
您可能會讀到一些聲稱Security Onion可以在Windows上運行的評論。 如果您首先安裝虛擬機并通過該虛擬機運行它,則可以。 但是,對于此表中的定義,我們僅將可以直接安裝的軟件視為與操作系統兼容。
9 Top入侵檢測軟件和工具
| SolarWinds Security Event Manager EDITOR’S CHOICE | Both | No | No | Yes | No |
| CrowdStrike Falcon (FREE TRIAL) | HIDS | Yes | Yes | Yes | Yes |
| Snort | NIDS | Yes | Yes | Yes | No |
| OSSEC | HIDS | Yes | Yes | Yes | Yes |
| ManageEngine EventLog Analyzer | HIDS | Yes | Yes | Yes | Yes |
| Suricata | NIDS | Yes | Yes | Yes | Yes |
| Zeek | NIDS | Yes | Yes | No | Yes |
| Sagan | Both | Yes | Yes | No | Yes |
| Security Onion | Both | No | Yes | No | No |
| AIDE | HIDS | Yes | Yes | No | Yes |
| Open WIPS-NG | NIDS | No | Yes | No | No |
| Samhain | HIDS | Yes | Yes | No | Yes |
| Fail2Ban | HIDS | Yes | Yes | No | Yes |
10 Linux入侵檢測系統
以下是可以在Unix/Linux平臺上運行的主機入侵檢測系統和網絡入侵系統的列表。
基于主機的入侵檢測系統:
CrowdStrike Falcon EventLog Analyzer OSSEC Sagan Security Onion(Linux) AIDE Samhain Fail2Ban基于網絡的入侵檢測系統:
Snort Zeek Suricata Sagan Security Onion(Linux) Open WIPS-NG(Linux)11 Windows入侵檢測系統
盡管Windows Server受到歡迎,但入侵檢測系統的開發人員似乎對生產Windows操作系統的軟件并不十分感興趣。 這是在Windows上運行的少數IDS。
基于主機的入侵檢測系統:
SolarWinds Security Event Manager EventLog Analyzer OSSEC基于網絡的入侵檢測系統:
SolarWinds Security Event Manager Snort Suricata12 Mac OS入侵檢測系統
Mac用戶受益于Mac OS X和macOS都基于Unix的事實,因此Mac用戶擁有的入侵檢測系統選項要比擁有運行Windows操作系統的計算機的用戶多得多。
基于主機的入侵檢測系統:
CrowdStrike Falcon EventLog Analyzer OSSEC Sagan AIDE Samhain Fail2Ban基于網絡的入侵檢測系統:
Zeek Suricata Sagan13 最好的入侵檢測系統軟件和工具
現在,您已經看到按操作系統快速了解基于主機的入侵檢測系統和基于網絡的入侵檢測系統,在此列表中,我們將更深入地介紹每個最佳IDS的細節。
1. SolarWinds Security Event Manager (FREE TRIAL)
The SolarWinds Security Event Manager (SEM) :運行在Windows Server上,但可以記錄Unix,Linux和Mac OS計算機以及Windows PC生成的消息。
作為日志管理器,這是基于主機的入侵檢測系統,因為它與管理系統上的文件有關。但是,它也管理Snort收集的數據,這使其成為基于網絡的入侵檢測系統的一部分。
Snort是Cisco Systems創建的一種廣泛使用的數據包嗅探器(請參閱下文)。它具有特定的數據格式,其他IDS工具生產商已將其集成到其產品中。 SolarWinds安全事件管理器就是這種情況。網絡入侵檢測系統會檢查流量數據在網絡上傳播的情況。要部署Security Event Manager的NIDS功能,您需要使用Snort作為數據包捕獲工具,并將捕獲的數據漏斗到Security Event Manager中進行分析。盡管LEM在處理日志文件創建和完整性時可充當HIDS工具,但它能夠通過Snort接收實時網絡數據,而Snort是NIDS的一項活動。
SolarWinds產品還可以充當入侵防御系統,因為它可以觸發檢測入侵的措施。該軟件包附帶700多個事件關聯規則,使它能夠發現可疑活動并自動實施補救活動。這些動作稱為主動響應。
這些積極回應包括:
通過SNMP,屏幕消息或電子郵件發出事件警報 USB設備隔離 用戶帳戶被暫停或用戶被驅逐 IP地址封鎖 進程殺死 系統關機或重啟 服務關閉 服務觸發Security Event Manager的Snort消息處理功能使其成為非常全面的網絡安全監視器。 由于該工具能夠將Snort數據與系統上的其他事件結合在一起,因此幾乎可以立即關閉惡意活動。 經過微調的事件相關規則,大大降低了通過檢測誤報而中斷服務的風險。
主要特點:
分析日志文件 可以處理實時數據 與Snort兼容 自動修復您可以在30天的免費試用期內訪問此網絡安全系統。
2. CrowdStrike Falcon (FREE TRIAL)
CrowdStrike Falcon系統是一個端點保護平臺(EPP)。這是一個HIDS,因為它監視各個端點上的活動而不是網絡活動。但是,與典型的HIDS不同,該系統不關注受監控設備上的日志文件,而是查看每臺計算機上運行的進程,這通常是NIDS策略。
Falcon平臺是一組模塊。 HIDS功能由Falcon Insight部門提供。這是一個端點檢測和響應(EDR)系統。 EPP的核心模塊稱為Falcon Prevent,它是下一代AV系統。這也使用HIDS方法來檢測惡意行為。這兩種模塊的方法之間的差異很小,因為這兩種方法都監視異常行為。但是,Falcon Prevent的識別特征是它正在搜索惡意軟件,而Falcon Insight專門在尋找入侵。
Falcon Insight將事件記錄在受保護的計算機上,需要將其存儲在日志文件中,因此一旦編寫了這些事件,該工具的研究和檢測元素就會使用純HIDS策略。 EPP的事件收集元素是代理,必須將其安裝在受保護的設備上。該代理與EPP的中央處理系統進行通信,該中央處理系統駐留在云中。受保護端點的人工管理員可以通過任何標準瀏覽器訪問Falcon儀表板。
CrowdStrike Falcon軟件的本地/云混合體系結構的優點是該系統在您的設備上非常輕便。 CrowdStrike服務器上的分析軟件提供了用于威脅分析的所有處理能力。這意味著安裝此安全服務不會降低計算機的速度,讓計算機自由執行為其提供的任務。但是,該代理還充當威脅補救實施者,因此即使Internet連接不可用,該代理也可以繼續工作。
主要特點:
端點保護平臺 檢查日志文件 在云端處理數據 基于云的控制臺CrowdStrike Falcon有四個版本:Pro,Enterprise,Premium和Complete。 Falcon Insight包含在Premium和Enterprise版本中。 完整版是一項托管服務,可通過協商進行定制。 CrowdStrike提供了Falcon EPP的15天免費試用。
3. ManageEngine EventLog Analyzer (FREE TRIAL)
ManageEngine是IT網絡基礎架構監視和管理解決方案的領先生產商。 EventLog Analyzer是公司安全產品的一部分。這是一個HIDS,其重點是管理和分析由標準應用程序和操作系統生成的日志文件。該工具安裝在Windows Server或Linux上。它從那些操作系統以及Mac OS,IBM AIX,HP UX和Solaris系統收集數據。 Windows系統的日志包括Windows Server Windows Vista及更高版本和Windows DHCP Server的源。
除操作系統外,該服務還收集和合并來自Microsoft SQL Server和Oracle數據庫的日志。它還能夠從許多防病毒系統引導警報,包括Microsoft防惡意軟件,ESET,Sophos,Norton,Kaspersky,FireEye,Malwarebytes,McAfee和Symantec。它將從Web服務器,防火墻,管理程序,路由器,交換機和網絡漏洞掃描程序中收集日志。
EventLog Analyzer收集日志消息并充當日志文件服務器,根據消息源和日期將消息組織到文件和目錄中。緊急警告也將轉發到EventLog Analyzer儀表板,并且可以作為票證直接發送到Help Desk系統,以引起技術人員的即時關注。包中內置的威脅情報模塊決定了哪些事件構成潛在的安全漏洞。
該服務包括自動日志搜索和事件關聯,以編譯定期的安全報告。這些報告中包括特權用戶監視和審核(PUMA)的格式,以及證明符合PCI DSS,FISMA,ISO 27001,GLBA,HIPAA,SOX和GDPR所需的各種格式。
主要特點:
管理和分析日志文件 審核數據保護標準合規性ManageEngine EventLog Analyzer具有三個版本。 其中第一個是免費的。 但是,免費版僅限于監視來自五個來源的日志消息,這對于除超小型企業之外的任何現代企業來說還遠遠不夠。 兩種付費版本分別是Premium和Distributed。 分布式計劃比高級計劃貴得多。 對于大多數單站點企業來說,Premium系統應該足夠了,而分布式版本將覆蓋多個站點和無限數量的日志記錄源。 您可以通過30天的免費試用期來試用該系統,該試用期的上限為2,000條日志消息源。
4. Snort
Snort是NIDS的行業領導者,但仍然可以免費使用。這是可以在Windows上安裝的少數幾個IDS之一。它是由思科創建的。該系統可以在三種不同的模式下運行并可以實施防御策略,因此它既是入侵防御系統又是入侵檢測系統。
Snort的三種模式是:
嗅探器模式 封包記錄器 入侵檢測可以將snort用作數據包嗅探器,而無需打開其入侵檢測功能。在這種模式下,您可以實時讀取通過網絡傳遞的數據包。在數據包記錄模式下,那些數據包詳細信息將寫入文件。
當您訪問Snort的入侵檢測功能時,您將調用一個分析模塊,該模塊將一組規則應用于通過的流量。這些規則稱為“基本策略”,如果您不知道需要哪些規則,則可以從Snort網站下載它們。但是,一旦您對Snort的方法學充滿信心,就可以編寫自己的方法了。該IDS有大量的社區基礎,它們在Snort網站的社區頁面上非常活躍。您可以從其他用戶那里獲得提示和幫助,還可以下載有經驗的Snort用戶已經制定的規則。
該規則將檢測諸如隱形端口掃描,緩沖區溢出攻擊,CGI攻擊,SMB探針和操作系統指紋之類的事件。檢測方法取決于所使用的特定規則,并且包括基于簽名的方法和基于異常的系統。
主要特點:
行業領先的NIDS 思科系統支持Snort的聲名吸引了軟件開發人員行業的追隨者。 其他軟件公司創建的幾個應用程序可以對Snort收集的數據進行更深入的分析。 這些包括Snorby,BASE,Squil和Anaval。 這些配套應用程序可以幫助您彌補Snort的界面不是非常友好的事實。
5. OSSEC
OSSEC代表開源HIDS安全性。它是領先的HIDS,并且完全免費使用。作為基于主機的入侵檢測系統,該程序專注于安裝它的計算機上的日志文件。它監視所有日志文件的校驗和簽名,以檢測可能的干擾。在Windows上,它將保留對注冊表所做的任何更改的選項卡。在類似Unix的系統上,它將監視任何訪問root帳戶的嘗試。盡管OSSEC是一個開源項目,但它實際上是由趨勢科技(一家著名的安全軟件生產商)擁有的。
主監視應用程序可以覆蓋一臺計算機或多臺主機,將數據整合到一個控制臺中。盡管有一個Windows代理可以監視Windows計算機,但是主應用程序只能安裝在類Unix系統上,這意味著Unix,Linux或Mac OS。主程序有OSSEC的接口,但是該接口是單獨安裝的,不再受支持。 OSSEC的常規用戶已經發現其他可以很好地用作數據收集工具前端的應用程序:Splunk,Kibana和Graylog。
OSSEC涵蓋的日志文件包括FTP,郵件和Web服務器數據。它還監視操作系統事件日志,防火墻和防病毒日志和表以及流量日志。 OSSEC的行為由您在其上安裝的策略控制。可以從該產品活躍的大型用戶社區中獲取這些附件。策略定義警報條件。這些警報可以顯示在控制臺上,也可以作為通知通過電子郵件發送。
主要特點:
日志文件分析器 免費政策 警報系統6. Suricata
Suricata可能是Snort的主要替代產品。 Suricata與Snort相比,具有一個關鍵優勢,那就是它在應用程序層收集數據。這克服了Snort對簽名分割成多個TCP數據包的盲目性。 Suricata等待將數據包中的所有數據組裝起來,然后再將信息移入分析。
盡管系統在應用程序層工作,但它可以監視較低級別的協議活動,例如IP,TLS,ICMP,TCP和UDP。它檢查不同網絡應用程序(包括FTP,HTTP和SMB)的實時流量。監視器不僅查看數據包的結構。它可以檢查TLS證書,并專注于HTTP請求和DNS調用。文件提取工具使您可以檢查和隔離具有病毒感染特征的可疑文件。
Suricata與Snort兼容,您可以使用為該NIDS負責人編寫的相同VRT規則。與Snort集成的那些第三方工具(例如Snorby,BASE,Squil和Anaval)也可以連接到Suricata。因此,訪問Snort社區以獲取提示和免費規則對于Suricata用戶可能是一個很大的好處。內置腳本模塊使您可以組合規則并獲得比Snort所能提供的更精確的檢測配置文件。 Suricata同時使用簽名和異常檢測方法。
Suricata具有巧妙的處理架構,可通過使用許多不同的處理器同時進行多線程活動來實現硬件加速。它甚至可以部分在您的圖形卡上運行。任務的這種分布可避免負載僅承受一臺主機。很好,因為此NIDS的一個問題是它的處理量很大。
主要特點:
應用層操作 根據實時數據進行操作Suricata的儀表板外觀非常時尚,集成了圖形,使分析和問題識別更加輕松。盡管外觀如此昂貴,但Suricata是免費的。
7. Zeek
Zeek(以前的Bro)是一個免費的NIDS,它不僅可以進行入侵檢測,還可以為您提供其他網絡監視功能。 Zeek的用戶社區包括許多學術和科研機構。
Zeek入侵檢測功能分兩個階段完成:流量記錄和分析。與Suricata一樣,Zeek與Snort相比具有一個主要優勢,因為它的分析在應用程序層進行。這樣,您就可以跨數據包查看數據,以更廣泛地分析網絡協議活動。
Zeek的分析模塊具有兩個元素,可同時用于簽名檢測和異常分析。這些分析工具中的第一個是Zeek事件引擎。這跟蹤觸發事件,例如新的TCP連接或HTTP請求。每個事件都被記錄下來,因此系統的這一部分與策略無關-它僅提供事件列表,在這些事件中,分析可能會揭示同一用戶帳戶所產生的重復動作或可疑活動。
該事件數據的挖掘由策略腳本執行。警報條件將引起行動,因此Zeek是入侵防御系統以及網絡流量分析器。可以自定義策略腳本,但是它們通常沿標準框架運行,該框架涉及簽名匹配,異常檢測和連接分析。
您可以使用Zeek跟蹤HTTP,DNS和FTP活動,還可以監視SNMP流量,使您可以檢查設備配置更改和SNMP陷阱條件。每個策略都是一組規則,您不限于活動策略的數量或可以檢查的協議堆棧其他層。在較低級別,您可以當心DDoS Syn Flood攻擊并檢測端口掃描。
主要特點:
簽名檢測 異常分析Zeek可以安裝在Unix,Linux和Mac OS上。
8. Sagan
Sagan是基于主機的入侵檢測系統,因此它是OSSEC的替代產品,并且可以免費使用。盡管是HIDS,但該程序與NIDS系統Snort收集的數據兼容。這種兼容性還擴展到了可以與Snort結合使用的其他工具,例如Snorby,BASE,Squil和Anaval。來自Zeek和Suricata的數據源也可以輸入Sagan。該工具可以安裝在Unix,Linux和Mac OS上。盡管您無法在Windows上運行Sagan,但可以將Windows事件日志輸入其中。
嚴格來說,Sagan是一個日志分析工具。使其成為獨立NIDS所缺少的元素是數據包嗅探器模塊。但是,從好的方面來說,這意味著Sagan不需要專用的硬件,并且可以靈活地分析主機日志和網絡流量數據。該工具必須與其他數據收集系統配合使用,以創建完整的入侵檢測系統。
Sagan的一些不錯的功能包括IP定位器,它使您能夠查看被檢測為具有可疑活動的IP地址的地理位置。這將使您能夠匯總似乎協同工作的IP地址的動作,從而構成攻擊。 Sagan可以將其處理分布在多個設備上,從而減輕了密鑰服務器CPU的負擔。
該系統包括腳本執行,這意味著它將生成警報并在檢測到入侵場景時執行操作。如果來自特定來源的可疑活動,它可以與防火墻表進行交互以實施IP禁令。因此,這是一個入侵防御系統。分析模塊可用于簽名和異常檢測方法。
主要特點:
日志分析 網絡流量分析Sagan并未進入所有人的最佳IDS列表,因為它并沒有真正成為IDS(即日志文件分析器)的資格。但是,其具有NIDS概念的HIDS使其成為混合IDS分析工具組件的一個有趣的主張。
9. Security Onion
對于IDS解決方案,您可以嘗試使用免費的Security Onion系統。此列表中的大多數IDS工具都是開源項目。這意味著任何人都可以下載源代碼并進行更改。這正是Security Onion的開發人員所做的。他從Snort,Suricata,OSSEC和Zeek的源代碼中提取了元素,并將它們縫合在一起,以創建基于Linux的免費NIDS / HIDS混合體。 Security Onion編寫為可在Ubuntu上運行,并且還集成了來自前端系統和分析工具的元素,包括Snorby,Sguil,Squit,Kibana,ELSA,Xplico和NetworkMiner。
盡管Security Onion被歸類為NIDS,但它確實也包含HIDS功能。它將監視您的日志和配置文件中是否存在可疑活動,并檢查這些文件的校驗和中是否有任何意外更改。 Security Onion全面的網絡基礎結構監視方法的缺點之一是其復雜性。它具有幾種不同的操作結構,實際上并沒有足夠的在線學習資料或捆綁在一起的學習材料來幫助網絡管理員掌握該工具的全部功能。
網絡分析是由數據包嗅探器進行的,它可以在屏幕上顯示通過的數據,也可以寫入文件。 Security Onion的分析引擎使事情變得復雜,因為有許多具有不同操作過程的不同工具,您最終可能會忽略其中的大多數。 Kibana的界面提供了Security Onion的儀表板,并且確實包含一些漂亮的圖形和圖表以簡化狀態識別。
主要特點:
HIDS / NIDS混合 日志文件篡改警報基于簽名的警報規則和基于異常的警報規則都包含在此系統中。您可以獲得有關設備狀態和流量模式的信息。所有這些實際上都可以通過一些動作自動化來完成,而Security Onion則缺乏。
10. AIDE
“ Advanced Intrusion Detection Environment”要寫很多東西,因此此IDS軟件的開發人員決定將其名稱縮寫為AIDE。這是一個免費的HIDS,專注于針對Unix和類Unix操作系統的rootkit檢測和文件簽名比較,因此它也可以在Mac OS和Linux上運行。
如果您已考慮過Tripwire,則最好改用AIDE,因為這是該便捷工具的免費替代品。 Tripwire有一個免費版本,但是大多數人需要IDS才能提供的許多關鍵功能只有付費的Tripwire才能使用,因此AIDE免費提供了更多功能。
首次安裝時,系統會從配置文件中編譯管理數據數據庫。這將創建基準,然后只要檢測到系統設置更改,就可以回滾對配置的任何更改。該工具包括簽名和異常監視方法。系統檢查是按需簽發的,不能連續運行,這與該HIDS有點不足。但是,由于這是一個命令行功能,因此可以將其安排為使用cron等操作方法定期運行。如果您想要近乎實時的數據,則可以安排它非常頻繁地運行。
主要特點:
創建配置基準 回滾未經授權的更改AIDE實際上只是一種數據比較工具,它不包含任何腳本語言,您將不得不依靠Shell腳本技能來將數據搜索和規則實現功能納入此HIDS。也許應該將AIDE視為配置管理工具,而不是入侵檢測系統。
11. Open WIPS-NG
如果您聽說過Aircrack-NG,那么您可能會對這種基于網絡的IDS有點謹慎,因為它是由同一位企業家開發的。 Aircrack-NG是一種無線網絡數據包嗅探器和密碼破解,已經成為每個wifi網絡黑客工具包中的一部分。
在WIPS-NG中,我們看到了一個由偷獵者轉為游戲管理員的案例。該免費軟件旨在防御無線網絡。盡管Aircrack-NG可以在多種操作系統上運行,但是Open WIPS-NG僅在Linux上運行。 “ WIPS”這個名稱代表“無線入侵防御系統”,因此該NIDS可以檢測并阻止入侵。
該系統包括三個要素:
傳感器模塊 服務器 接口有計劃允許WIPS-NG安裝監視多個傳感器。但是,目前,每個安裝只能包含一個傳感器。這不應該是太大的問題,因為您只需一個傳感器即可完成多項任務。傳感器是一個數據包嗅探器,它還具有在中間流中操縱無線傳輸的能力。因此,傳感器充當系統的收發器。
傳感器收集的信息被轉發到服務器,這就是發生魔術的地方。服務器程序套件包含將檢測入侵模式的分析引擎。服務器還會生成阻止檢測到的入侵的干預策略。保護網絡所需的操作將作為指令發送給傳感器。
系統的界面模塊是一個儀表板,可向系統管理員顯示事件和警報。這也是可以調整設置,可以調整或覆蓋防御措施的地方。
12. Samhain
由德國Samhain Design Labs生產的Samhain是免費使用的基于主機的入侵檢測系統軟件。它可以在單臺計算機或多臺主機上運行,從而提供有關每臺計算機上運行的代理檢測到的事件的集中數據。
每個代理執行的任務包括文件完整性檢查,日志文件監視和端口監視。進程查找rootkit病毒,流氓SUID(用戶訪問權限)和隱藏進程。在多主機實現中,系統將加密應用于代理和中央控制器之間的通信。傳送日志文件數據的連接包括身份驗證要求,可以防止入侵者劫持或替換監視過程。
Samhain收集的數據可以分析網絡上的活動,并突出顯示入侵的警告信號。但是,它不會阻止入侵或清除惡意進程。您將需要保留配置文件和用戶身份的備份,以解決Samhain監視器顯示的問題。
黑客和病毒入侵的一個問題是,入侵者將采取措施將其隱藏。這包括終止監視過程。 Samhain部署了一種隱身技術來隱藏其進程,從而防止入侵者操縱或殺死IDS。這種隱形方法稱為“隱寫術”。
中央日志文件和配置備份使用PGP密鑰簽名,以防止入侵者篡改。
Samhain是一個開源網絡入侵檢測系統,可以免費下載。它是根據POSIX準則設計的,以使其與Unix,Linux和Mac OS兼容。中央監視器將匯總來自不同操作系統的數據。
13. Fail2Ban
Fail2Ban是一個免費的基于主機的入侵檢測系統,專注于檢測日志文件中記錄的令人擔憂的事件,例如過多的失敗登錄嘗試。系統在顯示可疑行為的IP地址上設置了阻止。這些禁令通常僅持續幾分鐘,但這足以破壞標準的自動暴力破解密碼的情況。此安全策略也可以有效地抵抗DoS攻擊。 IP地址禁止的實際長度可以由管理員調整。
Fail2Ban實際上是一種入侵防御系統,因為它可以在檢測到可疑活動時采取措施,而不僅會記錄并突出顯示可能的可疑入侵。
因此,系統管理員在設置軟件時必須注意訪問策略,因為過于嚴格的預防策略很容易將善意的用戶拒之門外。 Fail2Ban的問題在于,它專注于從一個地址重復執行操作。這使其無法應對分布式密碼破解活動或DDoS攻擊。
Fail2Ban用Python編寫,并且能夠寫入系統表以阻止可疑地址。這些自動鎖定發生在Netfilter,iptables,PF防火墻規則和TCP Wrapper的hosts.deny表中。
系統的攻擊監視范圍由一系列過濾器定義,這些過濾器指示IPS監視哪些服務。其中包括Postfix,Apache,Courier Mail Server,Lighttpd,sshd,vsftpd和qmail。每個過濾器都與一個動作結合在一起,以在檢測到警報情況時執行。過濾器和操作的組合稱為“監獄”。
該系統采用POSIX標準編寫,因此可以安裝在Unix,Linux和Mac OS操作系統上。
14 如何為您的網絡選擇IDS軟件
基于網絡的IDS解決方案的硬件要求可能會讓您望而卻步,而是將您推向基于主機的系統,該系統更容易啟動和運行。但是,請不要忽略您不需要專用于這些系統的專用硬件的事實,只需專用主機即可。
實際上,您應該在為網絡獲取HIDS和NIDS。這是因為您需要注意計算機上的配置更改和root用戶訪問權限,以及查看網絡流量中的異常活動。
好消息是,我們列出的所有系統都是免費的或免費試用的,因此您可以嘗試其中的一些。這些系統的用戶社區方面可能會特別吸引您,如果您已經有一位具有豐富經驗的同事。從其他網絡管理員那里獲得提示的能力絕對是這些系統的吸引力。與專業服務臺支持的付費解決方案相比,它甚至更具吸引力。
如果您的公司所在的行業需要標準的安全合規性,例如PCI,那么您確實需要適當的IDS解決方案。另外,如果您將個人信息保存在公眾面前,則您的數據保護程序必須嚴格執行,以防止因數據泄露而起訴您的公司。
盡管可能只需要花費整天的時間來保持網絡管理員的地位,但不要推遲安裝入侵檢測系統的決定。希望本指南為您提供了正確的方向。如果您對自己喜歡的IDS有任何建議,并且有使用本指南中提到的任何軟件的經驗,請在下面的評論部分中留下注釋,并與社區分享您的想法。
15 入侵檢測系統FAQ
什么是IDS和IPS?
IDS是入侵檢測系統,IPS是入侵防御系統。 盡管IDS可以檢測對網絡和主機資源的未授權訪問,但是IPS可以完成所有這些工作,并實施自動響應以將入侵者拒之門外,并保護系統免遭劫持或數據被盜。 IPS是具有內置工作流程的IDS,該工作流程由檢測到的入侵事件觸發。
Snort vs OSSEC
Snort和OSSEC都是開源IDS。 Snort是基于網絡的入侵檢測系統(NIDS),而OSSEC是基于主機的入侵檢測系統(HIDS)。 Snort和OSSEC方法之間的主要區別在于Snort的NIDS方法在數據通過網絡傳輸時對其進行處理。 OSSEC的HIDS系統檢查網絡中計算機上的日志文件以查找意外事件。 Snort和OSSEC都是領先的IDS。
基于主機的入侵檢測系統如何工作?
基于主機的入侵檢測系統(HIDS)檢查日志文件,以識別未經授權的訪問或對系統資源和數據的不當使用。 基于主機的入侵檢測系統的主要來源是Syslog和Windows Events生成的日志。 盡管某些基于主機的入侵檢測系統希望日志文件由單獨的日志服務器收集和管理,但其他系統卻內置了自己的日志文件合并器,并且還收集其他信息,例如網絡流量數據包捕獲。
什么是主動和被動IDS?
入侵檢測系統(IDS)僅需要識別對網絡或數據的未授權訪問即可獲得標題。 被動IDS將記錄入侵事件并生成警報以引起操作員的注意。 被動IDS還可以存儲有關每個檢測到的入侵和支持分析的信息。 主動IDS也被稱為入侵防御系統(IPS)或入侵檢測與防御系統(IDPS),因為它不僅可以發現入侵,還可以實施自動操作來阻止入侵者并保護資源。
IDS如何定義正常使用?
IDS可以使用兩種方法來定義正常使用-一些IDS工具會同時使用這兩種方法。 一種是將事件與攻擊策略數據庫進行比較,因此正常使用的定義是不會觸發對攻擊的識別的任何活動。 另一種方法是使用基于AI的機器學習來記錄常規活動。 AI方法可能需要一些時間來建立其正常使用的定義。
最好的入侵檢測和防御系統是什么?
我們的研究對最佳入侵檢測和防御系統進行了排名,因為SolarWinds Security Event Manager,Snort,OSSEC和ManageEngine EventLog Analyzer是本文概述的領先系統。
總結
以上是生活随笔為你收集整理的13款入侵检测系统介绍(HIDS)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 重估维信金科:担保压身,负重难行
- 下一篇: 云pos系统的服务器性能,实施云POS系