Каковы некоторые распространенные инструменты для обнаружения вторжений? [закрыто]

Пожалуйста, дайте краткое описание для каждого инструмента.

фырканье

Из их о странице :

Изначально выпущенная в 1998 году основателем Sourcefire и техническим директором Мартином Рошем, Snort - это бесплатная система обнаружения и предотвращения вторжений в сеть с открытым исходным кодом, способная выполнять анализ трафика в реальном времени и протоколирование пакетов в IP-сетях. Изначально называемая «облегченной» технологией обнаружения вторжений, Snort превратилась в зрелую, многофункциональную технологию IPS, которая фактически стала стандартом в обнаружении и предотвращении вторжений. С почти 4 миллионами загрузок и приблизительно 300 000 зарегистрированных пользователей Snort, это самая широко распространенная технология предотвращения вторжений в мире.

Почему бы вам не проверить http://sectools.org/

Tripwire

Является средством проверки целостности с открытым исходным кодом (хотя есть и версия с закрытым исходным кодом), использующим хэши для обнаружения изменений файлов, оставленных злоумышленниками.

OpenBSD имеет mtree (8): http://www.openbsd.org/cgi-bin/man.cgi?query=mtree. Он проверяет, были ли какие-либо файлы изменены в данной иерархии каталогов.

Logcheck - это простая утилита, которая предназначена для того, чтобы системный администратор мог просматривать файлы журналов, созданные на хостах, находящихся под их контролем.

Он делает это, отправляя им сводки лог-файлов, предварительно отфильтровав «нормальные» записи. Обычные записи - это записи, которые соответствуют одному из множества включенных файлов регулярных выражений, содержащихся в базе данных.

Вы должны смотреть свои журналы как часть здоровой рутины безопасности. Это также поможет отловить множество других (аппаратное обеспечение, аутентификация, загрузка ...) аномалий.

DenyHosts для SSH-сервера.

Для NIDS Suricata и Bro - две бесплатные альтернативы для фырканья.

Вот интересная статья, в которой обсуждаются все три из них:
http://blog.securitymonks.com/2010/08/26/three-little-idsips-engines-build-their-open-source-solutions/

Должен упомянуть OSSEC , который является HIDS.

Second Look - это коммерческий продукт, который является мощным инструментом для обнаружения вторжений в системах Linux. Он использует криминалистику памяти для проверки ядра и всех запущенных процессов и сравнивает их со справочными данными (от поставщика дистрибутива или авторизованного программного обеспечения сторонних производителей). Используя этот подход проверки целостности, он обнаруживает руткиты и бэкдоры ядра, внедренные потоки и библиотеки и другие вредоносные программы Linux, работающие в ваших системах, без сигнатур или других априорных знаний о вредоносном ПО.

Это дополнительный подход к инструментам / методам, упомянутым в других ответах (например, проверка целостности файлов с помощью Tripwire; сетевое обнаружение вторжений с помощью Snort, Bro или Suricata; анализ журналов и т. Д.)

Отказ от ответственности: я разработчик Second Look.