Apa sajakah alat umum untuk deteksi intrusi? [Tutup]

Jawaban:

12

Mendengus

Dari halaman tentang mereka :

Awalnya dirilis pada tahun 1998 oleh pendiri Sourcefire dan CTO Martin Roesch, Snort adalah sistem deteksi dan pencegahan intrusi jaringan open source yang mampu melakukan analisis lalu lintas waktu-nyata dan logging paket pada jaringan IP. Awalnya disebut teknologi deteksi intrusi "ringan", Snort telah berkembang menjadi teknologi IPS matang dan kaya fitur yang telah menjadi standar de facto dalam deteksi dan pencegahan intrusi. Dengan hampir 4 juta unduhan dan sekitar 300.000 pengguna terdaftar Snort, itu adalah teknologi pencegahan intrusi yang paling banyak digunakan di dunia.

Cristi
sumber
2
Apakah itu salinan iklan?
gvkv
7

Tripwire

Merupakan pemeriksa integritas open source (meskipun ada versi open source) yang menggunakan hash untuk mendeteksi modifikasi file yang ditinggalkan oleh penyusup.

pjz
sumber
4

Logcheck adalah utilitas sederhana yang dirancang untuk memungkinkan administrator sistem untuk melihat file log yang dihasilkan pada host di bawah kendali mereka.

Ini dilakukan dengan mengirimkan ringkasan dari file log kepada mereka, setelah terlebih dahulu menyaring entri "normal". Entri normal adalah entri yang cocok dengan salah satu dari banyak file ekspresi reguler yang disertakan dalam database.

Anda harus mengawasi log Anda sebagai salah satu bagian dari rutinitas keamanan yang sehat. Ini juga akan membantu menjebak banyak anomali lainnya (perangkat keras, auth, memuat ...).

XTL
sumber
3

DenyHosts untuk server SSH.

grokus
sumber
1

Second Look adalah produk komersial yang merupakan alat yang ampuh untuk deteksi intrusi pada sistem Linux. Ia menggunakan memori forensik untuk memeriksa kernel dan semua proses yang sedang berjalan, dan membandingkannya dengan data referensi (dari vendor distribusi atau perangkat lunak pihak ketiga kustom / resmi). Dengan menggunakan pendekatan verifikasi integritas ini, ia mendeteksi rootkit dan backdoor kernel, thread dan perpustakaan yang disuntikkan, dan malware Linux lainnya yang berjalan di sistem Anda, tanpa tanda tangan atau pengetahuan apriori malware lainnya.

Ini adalah pendekatan pelengkap alat / teknik yang disebutkan dalam jawaban lain (misalnya, integritas file diperiksa dengan Tripwire; deteksi intrusi berbasis jaringan dengan Snort, Bro, atau Suricata; analisis log, dll.)

Penafian: Saya adalah pengembang dari Tampilan Kedua.

Andrew Tappert
sumber