絕對不能錯過的5款開源入侵檢測工具
入侵檢測系統(IDS)不可或缺,可用于監視網絡、標記可疑活動或自動阻止潛在惡意流量。以下5款IDS可稱之為開源IDS首選。
作為網絡安全專業人士,阻止攻擊者訪問公司網絡是我們的職責,但隨著移動設備、分布式團隊和物聯網的興起,保護網絡邊界這個任務的困難度呈指數級增加。令人沮喪的現實是,攻擊者有時候確實能成功侵入公司網絡,而安全團隊發現攻擊的用時越長,數據泄露的損失就越大。
在健壯的事件響應計劃支撐基礎上引入入侵檢測系統(IDS),可以有效減少數據泄露的潛在危害。
IDS通常分為兩類:基于特征碼的IDS——掃描已知惡意流量模式并在發現時發出警報;基于異常的IDS——監測基線以暴露偏離基準的異常情況。
若想全面防護公司數據和系統,IDS應部署在網絡的各個角落,從內部服務器到數據中心到公共云環境都應有IDS的身影。值得指出的是,IDS還可揭示員工的逾矩行為,包括內部人威脅和磨洋工情形,比如整天在工作電腦上看片或聊微信、QQ。
幸運的是,市場上不僅有商業版的IDS,還有很多開源IDS可供選擇,比如下面5款:
1. Snort
作為IDS事實上的業界標準,Snort是個非常有價值的工具。該Linux實用工具很便于部署,且可配置多種功能,比如監視網絡流量找尋入侵嘗試,記錄入侵日志,以及在檢測到入侵嘗試時采取特定動作。這是一款被廣泛部署的IDS工具,且可作為入侵防御系統(IPS)使用。
Snort的歷史可追溯至1998年,且歷久彌新,有活躍的社區在提供有力支持。雖然既沒有圖形用戶界面(GUI),也缺乏管理控制面板,但你可以利用其他開源工具來補足這個缺陷,比如Snorby或Base。Snort的高度定制性為各種類型的公司企業和組織提供了很多選擇。
如果出于某種原因你不想用Snort,那Suricata也是個不錯的選項。
2. Bro
Bro擁有可將流量轉化為一系列事件的分析引擎,能夠檢測可疑特征碼和異常。用戶還可利用Bro-Script編寫策略引擎任務,自動化執行更多工作。比如說,該工具可以自動化下載檢測到的可疑文件,將之發去分析,在發現異常情況時通知相關人員,并將可疑文件來源加入黑名單,關停下載了該文件的設備。
Bro的缺點在于其陡峭的學習曲線和復雜的設置,用戶想要發揮出它的最大價值需經歷相對痛苦的摸索階段。不過,Bro社區還在發展壯大,日益提供更多的幫助,而且Bro能夠檢測到其他入侵檢測工具可能漏掉的異常和模式。
3. Kismet
Kismet可謂無線IDS的標準,是大多數公司的基本工具。該工具專注無線協議,包括WiFi和藍牙,能夠追蹤員工很容易意外創建的未授權接入點。Kismet能檢測默認網絡或配置漏洞,還可以跳頻,但其搜索網絡的耗時有點長,能獲得最佳結果的范圍也有限。
Kismet可應用在安卓和iOS平臺上,但對Windows支持不足。它有多種API可供集成其他工具,且可為高工作負載提供多線程包解碼功能。最近還推出了全新的Web用戶界面,附帶擴展插件支持。
4. OSSEC
在基于主機的IDS(HIDS)領域,OSSEC是目前功能最全的選擇。OSSEC擴展性強,且支持絕大部分操作系統,包括Windows、Linux、Mac OS、Solaris等。其客戶端/服務器架構會向中心服務器發送警報和日志以供分析。這意味著即便主機系統掉線或被黑客入侵,警報也能發出。該架構還減輕了工具部署的工作量,因為可以集中管理多個代理。
OSSEC安裝很小,運行時對系統資源幾乎沒有影響。該工具定制化程度很高,可被配置成實時自動化操作模式。OSSEC社區很強大,有很多資源可以利用。
如果對中心服務器有所顧慮,還可以考慮 Samhain Labs ,這款工具也是基于主機的,但提供多種輸出方式。
5. Open DLP
數據防泄漏(DLP)就是該款工具的主要目的。該攻擊可以全面掃描數據,無論數據是存在數據庫中還是存放在文件系統里。 Open DLP 會搜索與公司相關的敏感數據以發現數據的未授權復制和傳輸。這對防御惡意內部人或粗心大意的員工往外部發送數據很有用。該工具在Windows系統上運行良好,也支持Linux,且可通過代理部署,或作為無代理工具使用。
底線
如您所見,有很多很好的免費開源IDS可供選擇,上面列出的還只是其中很少的一部分,不過,這5款工具是個不錯的開端。
【本文是51CTO專欄作者“”李少鵬“”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
