Intereting Posts
Подстановка команд: разделение на новой строке, но не пробел добавлен маршрут, но показывает обратный ip Вторая сессия записывается на диск BD-R с использованием -Z-флаг growisofs вместо -M. Можно ли сделать первый сеанс видимым? Добавление значений Вырезать строку-Catch: есть файл с тем же именем, что и строка в том же пути В чем смысл / цель * .pid файлов в / var / run Сочетание клавиш для переименования вкладок в эмуляторе терминала Terminator? Как я могу использовать grep для нескольких шаблонов и печатать их в одной строке? xterm warning: попытался подключиться к диспетчеру сеанса Владелец процесса против пользователя процесса (системный монитор Gnome) linux: Как определить лучший формат файловой системы? Gentoo virt-manager на системе без GNOME не может подключиться к libvirtd из-за того, что polkit бросает недостающую ошибку файла Каково разрешение файла / etc / shadow в CentOS? Несколько загрузочных загрузчиков grub2 константа "введите кодовую фразу для открытого ключа" ssh

Каковы некоторые общие инструменты для обнаружения вторжений?

Пожалуйста, дайте краткое описание каждого инструмента.

пыхтеть

На своей странице :

Первоначально выпущенный в 1998 году основателем Sourcefire и техническим директором Мартином Рошем, Snort является бесплатной системой обнаружения и предотвращения вторжений с открытым исходным кодом, способной выполнять анализ трафика в реальном времени и протоколирование пакетов в сетях IP. Первоначально он назывался «легкая» технология обнаружения вторжений, Snort превратилась в зрелую, многофункциональную технологию IPS, которая стала фактическим стандартом в области обнаружения и предотвращения вторжений. Благодаря почти 4 миллионам загрузок и примерно 300 000 зарегистрированных пользователей Snort, это самая широко распространенная технология предотвращения вторжений в мире.

Почему бы вам не проверить http://sectools.org/

Tripwire

Является открытым исходным кодом (хотя есть версия с закрытым исходным кодом), который использует хеши для обнаружения изменений файлов, оставленных злоумышленниками.

OpenBSD имеет mtree (8): http://www.openbsd.org/cgi-bin/man.cgi?query=mtree Он проверяет, были ли изменены файлы в заданной иерархии каталогов.

Logcheck – это простая утилита, которая позволяет системному администратору просматривать файлы журналов, которые производятся на компьютерах под их контролем.

Он делает это путем отправки резюме журналов для них после первой фильтрации «обычных» записей. Обычные записи – это записи, которые соответствуют одному из многих включенных файлов регулярных выражений, содержащихся в базе данных.

Вы должны следить за своими журналами как часть здоровой процедуры обеспечения безопасности. Это также поможет избежать многих других (аппаратных, аут, нагрузка …) аномалий.

DenyHosts для SSH-сервера.

Для NIDS Suricata и Bro – две бесплатные альтернативы фырканье.

Вот интересная статья, в которой обсуждаются все три из них:
http://blog.securitymonks.com/2010/08/26/three-little-idsips-engines-build-their-open-source-solutions/

Стоит упомянуть OSSEC , который является HIDS.

Second Look – это коммерческий продукт, который является мощным инструментом для обнаружения вторжений в системах Linux. Он использует криминализацию памяти для проверки ядра и всех запущенных процессов и сравнивает их с справочными данными (от поставщика распространения или уполномоченного пользовательского / стороннего программного обеспечения). Используя этот метод проверки целостности, он обнаруживает руткиты ядра и бэкдоры, инъецированные потоки и библиотеки и другие вредоносные программы Linux, работающие на ваших системах, без подписей или других априорных знаний о вредоносном ПО.

Это дополнительный подход к инструментам / методам, упомянутым в других ответах (например, проверка целостности файлов с помощью Tripwire, обнаружение вторжений в сети с помощью Snort, Bro или Suricata, анализ журналов и т. Д.),

Отказ от ответственности: я разработчик Second Look.