Apa sajakah alat umum untuk deteksi intrusi? [Tutup]

Tolong beri deskripsi singkat untuk setiap alat.

Mendengus

Dari halaman tentang mereka :

Awalnya dirilis pada tahun 1998 oleh pendiri Sourcefire dan CTO Martin Roesch, Snort adalah sistem deteksi dan pencegahan intrusi jaringan open source yang mampu melakukan analisis lalu lintas waktu-nyata dan logging paket pada jaringan IP. Awalnya disebut teknologi deteksi intrusi "ringan", Snort telah berkembang menjadi teknologi IPS matang dan kaya fitur yang telah menjadi standar de facto dalam deteksi dan pencegahan intrusi. Dengan hampir 4 juta unduhan dan sekitar 300.000 pengguna terdaftar Snort, itu adalah teknologi pencegahan intrusi yang paling banyak digunakan di dunia.

Mengapa Anda tidak memeriksa http://sectools.org/

Tripwire

Merupakan pemeriksa integritas open source (meskipun ada versi open source) yang menggunakan hash untuk mendeteksi modifikasi file yang ditinggalkan oleh penyusup.

OpenBSD memiliki mtree (8): http://www.openbsd.org/cgi-bin/man.cgi?query=mtree Memeriksa apakah file telah berubah dalam hierarki direktori yang diberikan.

Logcheck adalah utilitas sederhana yang dirancang untuk memungkinkan administrator sistem untuk melihat file log yang dihasilkan pada host di bawah kendali mereka.

Ini dilakukan dengan mengirimkan ringkasan dari file log kepada mereka, setelah terlebih dahulu menyaring entri "normal". Entri normal adalah entri yang cocok dengan salah satu dari banyak file ekspresi reguler yang disertakan dalam database.

Anda harus mengawasi log Anda sebagai salah satu bagian dari rutinitas keamanan yang sehat. Ini juga akan membantu menjebak banyak anomali lainnya (perangkat keras, auth, memuat ...).

DenyHosts untuk server SSH.

Untuk NIDS, Suricata dan Bro adalah dua alternatif gratis untuk mendengus.

Berikut ini adalah artikel menarik yang membahas ketiganya:
http://blog.securitymonks.com/2010/08/26/three-little-idsips-engines-build-their-open-source-solutions/

Harus menyebutkan OSSEC , yang merupakan HIDS.

Second Look adalah produk komersial yang merupakan alat yang ampuh untuk deteksi intrusi pada sistem Linux. Ia menggunakan memori forensik untuk memeriksa kernel dan semua proses yang sedang berjalan, dan membandingkannya dengan data referensi (dari vendor distribusi atau perangkat lunak pihak ketiga kustom / resmi). Dengan menggunakan pendekatan verifikasi integritas ini, ia mendeteksi rootkit dan backdoor kernel, thread dan perpustakaan yang disuntikkan, dan malware Linux lainnya yang berjalan di sistem Anda, tanpa tanda tangan atau pengetahuan apriori malware lainnya.

Ini adalah pendekatan pelengkap alat / teknik yang disebutkan dalam jawaban lain (misalnya, integritas file diperiksa dengan Tripwire; deteksi intrusi berbasis jaringan dengan Snort, Bro, atau Suricata; analisis log, dll.)

Penafian: Saya adalah pengembang dari Tampilan Kedua.