入侵检测工具 绝对不能错过的5款开源入侵检测工具

入侵检测系统是不可或缺的，它可以用来监控网络，标记可疑活动或自动阻止潜在的恶意流量。以下五个IDS可以称之为开源IDS的首选。

作为网络安全专业人员，我们有责任阻止攻击者访问公司网络。但是随着移动设备、分布式团队、物联网的兴起，保护网络边界的难度成倍增加。令人沮丧的现实是，有时攻击者可以成功入侵公司网络，安全团队发现攻击时间越长，数据泄露的损失就越大。

引入基于鲁棒事件响应计划的入侵检测系统可以有效降低数据泄露的潜在危害。

IDS通常分为两类:基于签名的IDS——扫描已知的恶意流量模式，发现时发出警报；基于异常的入侵检测系统——监控基线以暴露偏离基线的异常情况。

如果你想全面保护公司数据和系统，那么IDS应该部署在网络的每个角落，从内部服务器到数据中心，再到公共云环境。值得指出的是，IDS还可以揭露员工的越界行为，包括内部威胁和磨蹭，比如整天在工作电脑上看电影或者微信、QQ聊天等。

幸运的是，不仅有商业IDS，还有很多开源IDS可供选择，比如以下五种模式:

1.鼻息声

作为入侵检测系统事实上的行业标准，Snort是一个非常有价值的工具。Linux实用程序易于部署，可以配置许多功能，例如监控网络流量以发现入侵企图，记录入侵日志，以及在检测到入侵企图时采取特定操作。这是一个广泛部署的入侵检测工具，可以用作入侵防御系统。

Snort的历史可以追溯到1998年，历史悠久，活跃的社区提供了强大的支持。虽然既没有图形用户界面(GUI)，也没有管理控制面板，但是可以使用其他开源工具来弥补这个缺陷，比如Snorby或者Base。Snort的高度定制为各种类型的公司、企业和组织提供了许多选择。

如果出于某种原因不想使用Snort，Suricata也是一个不错的选择。

2.兄弟

Bro有一个分析引擎，可以将流量转换为一系列事件，并可以检测可疑的签名和异常。用户还可以使用Bro-来编写策略引擎任务并自动化更多的工作。例如，该工具可以自动下载检测到的可疑文件，将其发送进行分析，发现异常情况时通知相关人员，将可疑文件的来源列入黑名单，并关闭下载文件的设备。

Bro的缺点在于学习曲线陡峭，设置复杂，用户要想充分发挥其最大价值，需要经历一个相对痛苦的探索阶段。然而，Bro社区仍在增长并提供更多帮助，Bro可以检测其他入侵检测工具可能遗漏的异常和模式。

3.命运

Kismet是无线IDS的标准，也是大多数公司的基本工具。该工具侧重于无线保真，包括WiFi和蓝牙，可以跟踪员工很容易意外创建的未经授权的接入点。Kismet可以检测默认网络或配置漏洞，也可以跳频。但是搜索网络时间长，最佳结果范围有限。

Kismet可以在Android和iOS平台上使用，但对Windows的支持不足。它有多种与其他工具集成的API，可以为高工作负载提供多线程包解码。最近推出了全新的Web用户界面，有扩展支持。

4.OSSEC

在基于主机的入侵检测领域(HIDS)，OSSEC是目前最全面的选择。OSSEC是可扩展的，支持大部分操作系统，包括Windows、Linux、Mac OS、Solaris等。其客户机/服务器架构将警报和日志发送到中央服务器进行分析。这意味着，即使主机系统断开连接或遭到黑客攻击，也可以发出警报。这种体系结构还减少了工具部署的工作量，因为可以集中管理多个代理。

OSSEC安装很小，运行时对系统资源影响很小。该工具定制程度高，可配置为实时自动运行模式。OSSEC社区很强大，有很多资源可以利用。

如果对中央服务器有顾虑，也可以考虑Samhain Labs，也是基于主机的，但是提供了多种输出方式。

5.打开DLP

防止数据泄漏(DLP)是该工具的主要目的。无论数据存在于数据库还是文件系统中，这种攻击都能彻底扫描数据。Open DLP搜索与公司相关的敏感数据，以发现未经授权的数据复制和传输。这有助于防止恶意的内部人员或粗心的员工将数据发送到外部。该工具在Windows系统上运行良好，也支持Linux，可以通过代理部署，也可以作为无代理工具使用。

结果

如你所见，有很多好的免费开源IDS可供选择，上面只列出了其中的几个。然而，这五个工具是一个良好的开端。