安利 | 最好用的五大開源入侵檢測工具！

作為網絡安全專業人士，我們一直在阻止攻擊者訪問我們的網絡，但隨著移動設備，分布式團隊和物聯網(IoT)的興起，使得對網絡的保護更加困難。網絡安全工作者不得不引起重視的問題是，當攻擊者成功攻陷你的網絡時，你發現攻擊的時間越長，數據泄露所造成的損失越大。

通過采用強大的事件響應計劃支持的可靠入侵檢測系統(IDS)，用戶可以減少漏洞的潛在損害。

IDS通常分為兩組：基于特征碼的IDS，它會通過掃描發現它們存在的已知的惡意流量并進行警報。此外還有基于異常的IDS，它會通過查看基線來暴露異常狀況。

如果想要保護數據和系統，在網絡中部署IDS至關重要，從內部服務器到數據中心再到公共云環境都應該進行相關部署。值得注意的是，IDS還可以揭示員工的不當行為，包括內部威脅以及工作時間通過Netflix或Facebook Messenger等傳輸工具聊天的怠工行為。

幸運的是，有許多開源入侵檢測工具值得大家嘗試，接下來我們就來列舉五個例子。

1、Snort

作為IDS的事實標準，Snort是一個非常有價值的工具。此Linux實用程序易于部署，可配置為監視網絡流量以進行入侵嘗試，記錄入侵行為，并在檢測到入侵嘗試時執行指定的操作。它是部署最廣泛的IDS工具之一，也可作為入侵防御系統(IPS)。

Snort可追溯到1998年，至今仍沒有消失的跡象，有一些活躍的社區提供了很好的幫助和支持。Snort沒有GUI(圖形用戶界面)，且缺少一個管理控制臺，但用戶可以使用另一個像Snorby或Base這樣的開源工具來彌補這個缺陷。Snort提供的高水平定制為許多不同的組織提供了很好的選擇。

如果你不想出于某些原因使用Snort，那么Suricata也是一個很好的選擇。

2、Bro

Bro能夠通過分析引擎將流量轉換成一系列事件，可以檢測可疑的特征碼和異常。用戶可以使用brol - script為策略引擎設計任務，這對于希望通過自動化完成更多工作的人來說是一個不錯的選擇。例如，該工具能夠自動下載它在網絡上發現的可疑文件，并將它們發送給分析人員，如果發現任何異常情況，將通知相關人員，將源文件列入黑名單，并關閉下載它的設備。

Bro的缺點在于，用戶如果想通過它提取最大的價值，需要建立一個陡峭的學習曲線，而且可能會非常復雜。然而，該社區還在不斷成長，并為用戶提供了越來越多的幫助，Bro能夠檢測其他入侵檢測工具可能會忽略的異常和模式。

3、Kismet

作為無線IDS的標準，Kismet是大多數企業必不可少的工具。它專注于無線協議，包括Wi-Fi和藍牙，并追蹤員工未經授權創建的接入點。它可以檢測默認網絡或配置漏洞，并且可以跳頻，但搜索網絡需要很長時間，并且獲取最佳結果的搜索范圍有限。

Kismet能夠在幾個不同的平臺上運行，包括Android和iOS，但對于Windows的支持有限。此外還有各種用于集成其他工具的API，能夠為更高的工作負載提供多線程數據包解碼。最近其推出了一個全新的，基于Web用戶的界面，支持擴展插件。

4、OSSEC

基于主機的IDS或HIDS，我們來看一下OSSEC，這是迄今為止功能最全面的HIDS選擇。它非常易于擴展，能夠在大多數操作系統上運行，包括Windows，Linux，Mac OS，Solaris等。它具有客戶端/服務器體系結構，可將警報和日志發送到中央服務器進行分析。這意味著即使主機系統被脫機或完全受損，警報也會發出。通過該體系結構，能夠使部署更加簡單，因為它可以實現多個代理的集中管理。

OSSEC是一個小型的安裝程序，一旦啟動并運行，對系統資源的占用非常小。此外它也是可定制的，可以配置為自動實時操作。OSSEC有一個龐大的社區，有大量資源可供使用。

如果你對中心服務器有所顧慮，那么你可能將Samhain Labs納入你的替代方案，它也是基于主機的，但是它提供了代理的多種輸出方法。

5、Open DLP

數據防泄漏(DLP)是此工具的主要目的。它能夠在數據庫或文件系統中靜態掃描數據。Open DLP將搜索與用戶組織相關的敏感數據，以發現未經授權的復制和傳輸操作。這對于防御內鬼和粗心員工發送敏感數據非常有用。它能夠在Windows上良好運行，也能夠支持Linux，可以通過代理或作為無代理工具進行部署。

底線

正如您所看到的，有許多優秀的免費開源入侵檢測工具可供選擇，這絕不是一個詳盡的列表，但這五個選項是一個很好的開端。