Top1: Wazuh

Github: https://github.com/wazuh/wazuh

系統特點:

• 集成文件完整性監控(FIM)、日志分析、Rootkit檢測。
• 強大的規則引擎+主動響應。
• Web界面+ElasticStack支持。
• 具備Kubernetes感知能力并支持容器運行時事件。
• 內置PCI/GDPR/HIPAA策略檢查。

使用場景：需要具備審計準備能力的合規工具和可擴展的企業級部署方案。

Top2：Elkeid

Github:https://github.com/bytedance/Elkeid

系統特點:

• 由字節跳動構建，用于大規模 eBPF 主機探測。
• 基于 Kafka 的檢測管道。
• 基于插件的規則引擎,使用Go/lua。
• 基于容器原生架構, 具備eBPF與netlink的可觀測能力。
• 在現代Linux內核上具有極高性能。

使用場景：需要針對容器化工作負載和分布式基礎設施的云規模主機入侵檢測系統（HIDS）。

Top3：Falco

Github: https://github.com/falcosecurity/falco

系統特點:

• CNCF沙箱項目。
• 通過 eBPF 實現實時系統調用監控。
• 內置針對 Kubernetes 特有威脅的規則（例如：容器內開啟 shell、二進制被修改）。
• 輕量且高效，可導出數據至 Prometheus 或 SIEM 系統。
• 支持 CRI-O、containerd 插件及 Pod 安全策略。

使用場景:需要一個快速、原生支持容器環境的運行時檢測引擎。

Top4：OSSEC

Github:https://github.com/ossec/ossec-hids

系統特點:

• 基于日志的檢測，支持較完善的文件完整性監控（FIM）。
• 支持 Syslog 集成，可自定義調整規則。
• 穩定可靠，適用于傳統環境。
• 占用資源極低。

使用場景：需要在傳統、靜態或資源受限系統中部署一個輕量級的主機入侵檢測系統（HIDS）。

Top5: Audit + AIDE

• Github(Audit):https://github.com/linux-audit/audit-userspace
• Github(AIDE): https://github.com/aide/aide

系統特點:

• 極其輕量級。
• 適用于加固系統和資源受限設備。
• 被廣泛應用于高安全等級環境（如 NSA/CIS 基準）

使用場景：希望對監控內容、日志記錄方式以及后續處理流程擁有完全控制權。