chanong 入侵检测系统 (IDS) 检查所有传入和传出的网络活动,并可以识别 IDS 用来指示试图进入(或危害系统)的网络攻击(或系统攻击)的可疑模式。 入侵检测系统与防火墙的不同之处在于,防火墙专注于入侵以防止入侵发生。 防火墙限制网络之间的访问以防止入侵,但它们不会针对来自网络内部的攻击发出警报信号。 然而,IDS可以评估可疑入侵并在入侵发生时发出警告。 IDS 还可以观察来自系统内部的攻击。 从这个意义上说,IDS可能会做更全面的安全工作。 今天我们来看看以下五个最著名的入侵检测系统。
1. Snort:这是一个几乎人人都喜欢的开源IDS。 它使用灵活的基于规则的语言来描述通信,结合签名、协议和异常行为检测方法。 它更新速度非常快,成为世界上部署最广泛的入侵检测技术,并成为防御技术的标准。 通过协议分析、内容查找和各种预处理器,Snort 可以检测数千种蠕虫、漏洞利用尝试、端口扫描和各种可疑行为。 这里需要注意的是,用户需要检查免费的BASE来分析Snort的警告。
2.OSSEC HIDS:这是一个基于主机的开源入侵检测系统,可以进行日志分析、完整性检查、注册表监控、检测、实时警告以及动态及时响应。 除了 IDS 功能外,它通常还可用作 SEM/SIM 解决方案。 由于其强大的日志分析引擎,互联网提供商、大学和数据中心很乐意运行 OSSEC HIDS 来监控和分析他们的防火墙、IDS、Web 服务器和身份验证日志 3./:是一种能够逃避网络入侵检测的工具 Box,一种自分段路由程序,可以拦截、修改和重写发往特定主机的通信,可以实施多种攻击,如插入、规避、拒绝服务攻击等。它有一组简单的规则,可以延迟、复制、丢弃、分段、重叠、打印、日志、源路由跟踪等发送到特定主机的数据包。 严格来说,这个工具是用来辅助测试网络入侵检测系统的,也可以辅助测试防火墙和基本的TCP/IP堆栈行为。 不要滥用该软件。
4. BASE:又称基础分析和安全引擎,BASE是一个基于PHP的分析引擎,可以搜索和处理各种IDS、防火墙和网络监控工具产生的安全事件数据。 功能包括查询生成器和查找界面(可以检测不同匹配模式的警告)、数据包查看器/解码器、基于时间、签名、协议、IP 地址等的统计图。
5.Sguil:这是一个被网络安全专家称为监控网络活动的控制台工具,它可以用于网络安全分析。 它的主要组件是一个直观的 GUI 界面,提供来自 Snort/ 的实时事件活动。 网络安全监控活动和 IDS 警告的事件驱动分析也可以借助其他组件来实现。
通过以上内容的介绍,相信大家对入侵检测系统有了一个大概的了解。 科学技术仍在不断进步,入侵检测系统也会随之不断变化。
微信扫一扫打赏
支付宝扫一扫打赏
