安利 | 最好用的五大開源入侵檢測工具！

作為網路安全專業人士，我們一直在阻止攻擊者訪問我們的網路，但隨著移動裝置，分散式團隊和物聯網(IoT)的興起，使得對網路的保護更加困難。網路安全工作者不得不引起重視的問題是，當攻擊者成功攻陷你的網路時，你發現攻擊的時間越長，資料洩露所造成的損失越大。

透過採用強大的事件響應計劃支援的可靠入侵檢測系統(IDS)，使用者可以減少漏洞的潛在損害。

IDS通常分為兩組：基於特徵碼的IDS，它會透過掃描發現它們存在的已知的惡意流量並進行警報。此外還有基於異常的IDS，它會透過檢視基線來暴露異常狀況。

如果想要保護資料和系統，在網路中部署IDS至關重要，從內部伺服器到資料中心再到公共雲環境都應該進行相關部署。值得注意的是，IDS還可以揭示員工的不當行為，包括內部威脅以及工作時間透過Netflix或Facebook Messenger等傳輸工具聊天的怠工行為。

幸運的是，有許多開源入侵檢測工具值得大家嘗試，接下來我們就來列舉五個例子。

1、Snort

作為IDS的事實標準，Snort是一個非常有價值的工具。此Linux實用程式易於部署，可配置為監視網路流量以進行入侵嘗試，記錄入侵行為，並在檢測到入侵嘗試時執行指定的操作。它是部署最廣泛的IDS工具之一，也可作為入侵防禦系統(IPS)。

Snort可追溯到1998年，至今仍沒有消失的跡象，有一些活躍的社群提供了很好的幫助和支援。Snort沒有GUI(圖形使用者介面)，且缺少一個管理控制檯，但使用者可以使用另一個像Snorby或Base這樣的開源工具來彌補這個缺陷。Snort提供的高水平定製為許多不同的組織提供了很好的選擇。

如果你不想出於某些原因使用Snort，那麼Suricata也是一個很好的選擇。

2、Bro

Bro能夠透過分析引擎將流量轉換成一系列事件，可以檢測可疑的特徵碼和異常。使用者可以使用brol - script為策略引擎設計任務，這對於希望透過自動化完成更多工作的人來說是一個不錯的選擇。例如，該工具能夠自動下載它在網路上發現的可疑檔案，並將它們傳送給分析人員，如果發現任何異常情況，將通知相關人員，將原始檔列入黑名單，並關閉下載它的裝置。

Bro的缺點在於，使用者如果想透過它提取最大的價值，需要建立一個陡峭的學習曲線，而且可能會非常複雜。然而，該社群還在不斷成長，併為使用者提供了越來越多的幫助，Bro能夠檢測其他入侵檢測工具可能會忽略的異常和模式。

3、Kismet

作為無線IDS的標準，Kismet是大多數企業必不可少的工具。它專注於無線協議，包括Wi-Fi和藍芽，並追蹤員工未經授權建立的接入點。它可以檢測預設網路或配置漏洞，並且可以跳頻，但搜尋網路需要很長時間，並且獲取最佳結果的搜尋範圍有限。

Kismet能夠在幾個不同的平臺上執行，包括Android和iOS，但對於Windows的支援有限。此外還有各種用於整合其他工具的API，能夠為更高的工作負載提供多執行緒資料包解碼。最近其推出了一個全新的，基於Web使用者的介面，支援擴充套件外掛。

4、OSSEC

基於主機的IDS或HIDS，我們來看一下OSSEC，這是迄今為止功能最全面的HIDS選擇。它非常易於擴充套件，能夠在大多數作業系統上執行，包括Windows，Linux，Mac OS，Solaris等。它具有客戶端/伺服器體系結構，可將警報和日誌傳送到中央伺服器進行分析。這意味著即使主機系統被離線或完全受損，警報也會發出。透過該體系結構，能夠使部署更加簡單，因為它可以實現多個代理的集中管理。

OSSEC是一個小型的安裝程式，一旦啟動並執行，對系統資源的佔用非常小。此外它也是可定製的，可以配置為自動實時操作。OSSEC有一個龐大的社群，有大量資源可供使用。

如果你對中心伺服器有所顧慮，那麼你可能將Samhain Labs納入你的替代方案，它也是基於主機的，但是它提供了代理的多種輸出方法。

5、Open DLP

資料防洩漏(DLP)是此工具的主要目的。它能夠在資料庫或檔案系統中靜態掃描資料。Open DLP將搜尋與使用者組織相關的敏感資料，以發現未經授權的複製和傳輸操作。這對於防禦內鬼和粗心員工傳送敏感資料非常有用。它能夠在Windows上良好執行，也能夠支援Linux，可以透過代理或作為無代理工具進行部署。

底線

正如您所看到的，有許多優秀的免費開源入侵檢測工具可供選擇，這絕不是一個詳盡的列表，但這五個選項是一個很好的開端。