web-dev-qa-db-ja.com

侵入検知のためのいくつかの一般的なツールは何ですか?

各ツールについて簡単に説明してください。

19
setzamora

Snort

から ページについて

Sourcefireの創設者およびCTO Martin Roeschによって1998年に最初にリリースされたSnortは、IPネットワーク上でリアルタイムのトラフィック分析およびパケットロギングを実行できる無料のオープンソースネットワーク侵入検知および防止システムです。 Snortは当初「軽量」侵入検知テクノロジーと呼ばれていましたが、成熟した機能豊富なIPSテクノロジーに進化し、侵入検知と侵入防止の事実上の標準となっています。400万近くのダウンロードと約30万人の登録ユーザーSnortは、世界で最も広く導入されている侵入防止テクノロジーです。

12
Cristi

チェックしてみませんか http://sectools.org/

9
jocape

トリップワイヤー

オープンソース(クローズドソースバージョンがあります)の整合性チェッカーで、ハッシュを使用して侵入者が残したファイルの変更を検出します。

7
pjz

OpenBSDにはmtree(8)があります: http://www.openbsd.org/cgi-bin/man.cgi?query=mtree これは、指定されたディレクトリ階層でファイルが変更されました。

6
cannedprimates

Logcheck は、システム管理者が制御下のホストで生成されたログファイルを表示できるように設計されたシンプルなユーティリティです。

これは、最初に「通常の」エントリを除外した後、ログファイルの要約をメールで送信することによって行われます。通常のエントリは、データベースに含まれている多くの正規表現ファイルの1つに一致するエントリです。

正常なセキュリティルーチンの一部としてログを監視する必要があります。また、他の多くの(ハードウェア、認証、ロード...)異常をトラップするのにも役立ちます。

4
XTL

DenyHosts SSHサーバー用。

3
grokus

NIDSの場合、SuricataとBroはsnortの2つの無料の代替手段です。

3つすべてについて説明する興味深い記事を次に示します。
http://blog.securitymonks.com/2010/08/26/three-little-idsips-engines-build-their-open-source-solutions/

言及する必要があります [〜#〜] ossec [〜#〜] 、これはHIDSです。

2
3molo

Second Look は、Linuxシステムでの侵入検知のための強力なツールである商用製品です。メモリフォレンジックを使用してカーネルと実行中のすべてのプロセスを調べ、それらを参照データ(配布ベンダーまたは承認されたカスタム/サードパーティソフトウェアから)と比較します。この整合性検証アプローチを使用して、システムで実行されているカーネルルートキットとバックドア、挿入されたスレッドとライブラリ、その他のLinuxマルウェアを検出します。署名やその他の事前知識はありません。

これは、他の回答で言及されているツール/テクニックへの補完的なアプローチです(たとえば、Tripwireによるファイル整合性チェック、Snort、Bro、またはSuricataによるネットワークベースの侵入検知、ログ分析など)。

免責事項:私はSecond Lookの開発者です。

1
Andrew Tappert