Intereting Posts
Список всех файлов, содержащих определенную строку. Как запустить обновление pkg на FreeBSD без загрузки каких-либо данных? Связывание Установка в разных файловых системах почему эта команда sed не может получить желаемый результат PIP сохраняет день на Fedora 25 для No module с именем «PyQt5.QtWebEngineWidgets» ошибка..WHY? Как перезапустить (или сбросить) запущенный процесс в Linux SSH для серверов с доступом sudo – скрипт вызывает неожиданный конец ошибки файла Небуферизованная команда socat для подключения последовательных портов на удаленных компьютерах и регистрации данных Остановить Linux от использования swap Почему существует большая задержка после ввода неправильного пароля? Исправление всех несовместимостей менеджера пакетов и пипсов восстановить электронную почту с учетной записи imap с помощью mailx Почему я не могу создать «hardlink» для файла из каталога «mount -bind» в той же файловой системе? Почему я получаю эту ошибку зависимостей? Как правильно отключить трубопровод?

Каковы некоторые общие инструменты для обнаружения вторжений?

Пожалуйста, дайте краткое описание каждого инструмента.

пыхтеть

На своей странице :

Первоначально выпущенный в 1998 году основателем Sourcefire и техническим директором Мартином Рошем, Snort является бесплатной системой обнаружения и предотвращения вторжений с открытым исходным кодом, способной выполнять анализ трафика в реальном времени и протоколирование пакетов в сетях IP. Первоначально он назывался «легкая» технология обнаружения вторжений, Snort превратилась в зрелую, многофункциональную технологию IPS, которая стала фактическим стандартом в области обнаружения и предотвращения вторжений. Благодаря почти 4 миллионам загрузок и примерно 300 000 зарегистрированных пользователей Snort, это самая широко распространенная технология предотвращения вторжений в мире.

Почему бы вам не проверить http://sectools.org/

Tripwire

Является открытым исходным кодом (хотя есть версия с закрытым исходным кодом), который использует хеши для обнаружения изменений файлов, оставленных злоумышленниками.

OpenBSD имеет mtree (8): http://www.openbsd.org/cgi-bin/man.cgi?query=mtree Он проверяет, были ли изменены файлы в заданной иерархии каталогов.

Logcheck – это простая утилита, которая позволяет системному администратору просматривать файлы журналов, которые производятся на компьютерах под их контролем.

Он делает это путем отправки резюме журналов для них после первой фильтрации «обычных» записей. Обычные записи – это записи, которые соответствуют одному из многих включенных файлов регулярных выражений, содержащихся в базе данных.

Вы должны следить за своими журналами как часть здоровой процедуры обеспечения безопасности. Это также поможет избежать многих других (аппаратных, аут, нагрузка …) аномалий.

DenyHosts для SSH-сервера.

Для NIDS Suricata и Bro – две бесплатные альтернативы фырканье.

Вот интересная статья, в которой обсуждаются все три из них:
http://blog.securitymonks.com/2010/08/26/three-little-idsips-engines-build-their-open-source-solutions/

Стоит упомянуть OSSEC , который является HIDS.

Second Look – это коммерческий продукт, который является мощным инструментом для обнаружения вторжений в системах Linux. Он использует криминализацию памяти для проверки ядра и всех запущенных процессов и сравнивает их с справочными данными (от поставщика распространения или уполномоченного пользовательского / стороннего программного обеспечения). Используя этот метод проверки целостности, он обнаруживает руткиты ядра и бэкдоры, инъецированные потоки и библиотеки и другие вредоносные программы Linux, работающие на ваших системах, без подписей или других априорных знаний о вредоносном ПО.

Это дополнительный подход к инструментам / методам, упомянутым в других ответах (например, проверка целостности файлов с помощью Tripwire, обнаружение вторжений в сети с помощью Snort, Bro или Suricata, анализ журналов и т. Д.),

Отказ от ответственности: я разработчик Second Look.