入侵检测系统(IDS)对于监控网络、标记可疑活动或自动阻止潜在的恶意流量是必不可少的。以下5款IDS堪称开源IDS的首选。作为网络安全专业人士,我们的工作是阻止攻击者访问公司网络,但随着移动设备、分布式团队和物联网的兴起,保护网络边界变得越来越困难。令人沮丧的现实是,攻击者有时确实会成功闯入企业网络,安全团队发现攻击所需的时间越长,数据泄露的代价就越高。在稳健的事件响应计划的基础上引入入侵检测系统(IDS),可以有效降低数据泄露的潜在危害。IDS通常分为两类:基于签名的IDS——扫描已知的恶意流量模式并在发现时发出警报;和基于异常的IDS——监控基线以暴露偏离基线的异常。如果你想全面保护公司数据和系统,IDS应该部署在网络的每一个角落,从内部服务器到数据中心再到公共云环境。值得指出的是,IDS还可以揭示员工的过激行为,包括内部威胁和开箱即用的情况,比如整天在工作电脑上看电影或刷微信、QQ。幸运的是,市场上不仅有商业IDS,还有很多开源IDS可供选择,例如以下五种:1.Snort是IDS事实上的行业标准,Snort是一个非常有价值的工具。这个Linux实用程序易于部署,并且可以配置为监视网络流量以查找入侵企图、记录入侵并在检测到入侵企图时采取特定操作。它是一种广泛部署的IDS工具,可用作入侵防御系统(IPS)。Snort的历史可以追溯到1998年,它已经存在了很长时间,有一个活跃的社区提供强大的支持。虽然既没有图形用户界面(GUI)也没有管理控制面板,但您可以使用其他开源工具来弥补它,例如Snorby或Base。Snort的高度定制化为各种类型的公司和组织提供了多种选择。如果出于某种原因您不想使用Snort,Suricata也是一个不错的选择。2.BroBro有一个分析引擎,可以将流量转化为一系列事件,可以检测可疑的签名和异常。用户还可以使用Bro-Script编写策略引擎任务,实现更多任务的自动化。例如,该工具可以自动下载检测到的可疑文件并发送分析,发现异常时通知相关人员,将可疑文件来源加入黑名单,关闭下载文件的设备等。Bro的缺点在于其陡峭的学习曲线和复杂的设置。用户要想将其价值最大化,需要经历一个相对痛苦的探索阶段。尽管如此,Bro社区仍在不断壮大,每天提供更多帮助,而且Bro能够检测到其他入侵检测工具可能遗漏的异常和模式。3.KismetKismet是无线IDS的标准,是大多数公司的基本工具。该工具专注于无线协议,包括Wi-Fi和蓝牙,并且可以追踪员工很容易意外创建的未经授权的访问点。Kismet可以检测默认网络或配置漏洞,也可以跳频,但搜索网络需要一点时间,而且能得到最佳结果的范围有限。Kismet可在Android和iOS平台上使用,但不支持Windows。它具有用于集成其他工具的各种API,并为高工作负载提供多线程数据包解码。最近还引入了一个全新的网络用户界面,具有扩展的插件支持。4.OSSEC在基于主机的IDS(HIDS)领域,OSSEC是目前最全面的选择。OSSEC具有很强的可扩展性,支持大多数操作系统,包括Windows、Linux、MacOS、Solaris等。其客户端/服务器架构将警报和日志发送到中央服务器进行分析。这意味着即使主机系统离线或被黑客入侵,也可以发送警报。该架构还简化了工具部署,因为可以集中管理多个代理。OSSEC安装小,运行时对系统资源影响小。该工具是高度可定制的,可以配置为实时自动化操作。OSSEC社区很强大,有很多可用资源。如果您担心中央服务器,您也可以考虑SamhainLabs,它也是基于主机的,但提供多种输出方法。5.OpenDLP数据泄露防护(DLP)是这个工具的主要用途。该攻击全面扫描数据,无论数据是存储在数据库中还是文件系统中。OpenDLP搜索敏感的公司相关数据,以查找未经授权的数据复制和传输。这对于防止恶意内部人员或粗心的员工向外部发送数据很有用。该工具在Windows系统上运行良好,也支持Linux,可以通过代理部署,也可以作为无代理工具部署。底线如您所见,有许多优秀的免费和开源IDS可供选择,上面的列表只是其中的一小部分,但这5个工具是一个很好的起点。【本文为专栏作家“李少鹏”原创文章,转载请通过暗牛(微信♂id:gooann-sectv)获得授权】点此查看作者更多好文
