几年前,我们通过在外部防火墙前放置一个水龙头,通过IDS盒pipe道将DS1上的所有stream量传输到运行ACiD的日志logging服务器,从而build立了IDS解决scheme。 这大约在2005年左右。 我被要求重新整理解决scheme,并展开并环顾四周,我发现ACiD的最后一个版本是从2003年开始的,而且我似乎无法find任何似乎甚至是远程更新的东西。 虽然这些东西可能是function完整的,但我担心图书馆冲突等。任何人都可以使用一些现代化的工具给我一个基于Linux / OpenBSD的解决scheme的build议吗?
只是要清楚,我知道Snort还在积极开发之中。 我想我现在更多的是在一个现代开源的Web控制台的市场上来整合数据。 当然,如果人们对于Snort以外的IDS有很好的经验,我很高兴听到这个消息。
我认为最好的开源组合是:
对于NIDS:使用BASE进行networking用户界面的Snort
对于HIDS:OSSEC
我还使用OSSEC将NIDS数据整合到一个地方(如SIEM OSSEC进行日志分析,文件完整性检查和rootkit检测)。
链接: http : //www.snort.org http://www.ossec.net http://base.secureideas.net/
OSSIM。
OSSIM整合所有这些东西。 OSSEC,Snort等
开源&免费。
OSSIM有以下软件组件:
Arpwatch – 用于MACexception检测。
P0f – 用于被动OS检测和OS变化分析。
垫 – 用于服务exception检测。
Nessus – 用于漏洞评估和互相关(IDS vs Security Scanner)。
Snort – IDS,也用于与nessus的互相关。
Spade – 统计数据包exception检测引擎。 用于获取有关没有签名的攻击的知识。
Tcptrack – 用于会话数据信息,可以certificate对攻击相关性有用。
Ntop – build立一个令人印象深刻的networking信息数据库,从中我们可以识别exception行为/exception检测。
Nagios – 从主机资产数据库提供,监控主机和服务可用性信息。
奥西里斯 – 一个伟大的HIDS。
OCS-NG – 跨平台的库存解决scheme。
OSSEC – 完整性,rootkit,registry检测等等。
http://www.alienvault.com/community.php?section=Home
-Josh
您可以使用基于Prelude-IDS的开源免费解决schemehttp://www.prelude-ids.com/
Prelude IDS是一个SIM(安全信息pipe理)系统/ IDS框架。
Snort可以用作NIDS
前奏LML作为HIDS:SSH,Cisco PIX,Netfilter IPFW,Postfix,Sendmail的规则集…
Prewikka是官方的Prelude用户界面:基于Python的Web GUI => https://dev.prelude-ids.com/wiki/prelude/ManualPrewikka