题 现代开源NIDS / HIDS和游戏机? [关闭]


多年前,我们通过在我们的外部防火墙前面放置一个水龙头来设置IDS解决方案,通过IDS盒在DS1上管理所有流量,然后将结果发送到运行ACiD的日志记录服务器。这是在2005年左右。我被要求改进解决方案并对其进行扩展并环顾四周,我发现ACiD的最后一个版本是从2003年开始的,我似乎无法找到其他任何看起来甚至是最新版本的东西。虽然这些东西可能功能齐全,但我担心库冲突等。任何人都可以使用一些现代工具为我提供基于Linux / OpenBSD的解决方案的建议吗?

为了清楚起见,我知道Snort仍在积极开发中。我想我现在更需要一个现代化的开源Web控制台来整合数据。当然,如果人们对除了Snort之外的IDS有很好的体验,我很高兴听到它。


7
2017-10-22 14:24






答案:


我认为最好的开源组合是:

对于NIDS:Snort with BASE for web ui

对于HIDS:OSSEC

我还使用OSSEC将NIDS数据整合到一个地方(如SIEM OSSEC进行日志分析,文件完整性检查和rootkit检测)。

链接:         http://www.snort.org http://www.ossec.net http://base.secureideas.net/


5
2017-10-28 12:44



正是我在寻找什么。谢谢! - MattC


OSSIM。

OSSIM整合了所有这些东西。 OSSEC,Snort等

开源和免费。

OSSIM具有以下软件组件:

Arpwatch - 用于MAC异常检测。
P0f - 用于被动OS检测和OS变更分析。
垫 - 用于服务异常检测。
Nessus - 用于漏洞评估和交叉关联(IDS与安全扫描程序)。
Snort - IDS,也用于与nessus的交叉相关。
Spade - 统计数据包异常检测引擎。用于获取没有签名的攻击知识。
Tcptrack - 用于会话数据信息,可用于攻击相关。
Ntop - 它构建了一个令人印象深刻的网络信息数据库,我们可以从中识别异常行为/异常检测。
Nagios - 从主机资产数据库馈送,它监视主机和服务可用性信息。
奥西里斯 - 一个伟大的HIDS。
OCS-NG - 跨平台库存解决方案。
OSSEC - 完整性,rootkit,注册表检测等。

http://www.alienvault.com/community.php?section=Home

-Josh


1
2017-10-28 13:10



这是一个巨大的帮助。谢谢! - MattC


您可以使用基于Prelude-IDS的开源免费解决方案 http://www.prelude-ids.com/

  • Prelude IDS是SIM(安全信息管理)系统/ IDS框架。

  • Snort可以用作NIDS

  • Prelude LML as HIDS:SSH,Cisco PIX,Netfilter IPFW,Postfix,Sendmail的规则集......

  • Prewikka是官方的Prelude用户界面:基于Python的Web GUI => https://dev.prelude-ids.com/wiki/prelude/ManualPrewikka


1
2018-01-11 23:16