绝对不能错过的5款开源入侵检测工具

入侵检测系统(IDS)不可或缺，可用于监视网络、标记可疑活动或自动阻止潜在恶意流量。以下5款IDS可称之为开源IDS首选。

作为网络安全专业人士，阻止攻击者访问公司网络是我们的职责，但随着移动设备、分布式团队和物联网的兴起，保护网络边界这个任务的困难度呈指数级增加。令人沮丧的现实是，攻击者有时候确实能成功侵入公司网络，而安全团队发现攻击的用时越长，数据泄露的损失就越大。

在健壮的事件响应计划支撑基础上引入入侵检测系统(IDS)，可以有效减少数据泄露的潜在危害。

IDS通常分为两类：基于特征码的IDS——扫描已知恶意流量模式并在发现时发出警报；基于异常的IDS——监测基线以暴露偏离基准的异常情况。

若想全面防护公司数据和系统，IDS应部署在网络的各个角落，从内部服务器到数据中心到公共云环境都应有IDS的身影。值得指出的是，IDS还可揭示员工的逾矩行为，包括内部人威胁和磨洋工情形，比如整天在工作电脑上看片或聊微信、QQ。

幸运的是，市场上不仅有商业版的IDS，还有很多开源IDS可供选择，比如下面5款：

1. Snort

作为IDS事实上的业界标准，Snort是个非常有价值的工具。该 Linux 实用 工具 很便于部署，且可配置多种功能，比如监视网络流量找寻入侵尝试，记录入侵日志，以及在检测到入侵尝试时采取特定动作。这是一款被广泛部署的IDS工具，且可作为入侵防御系统(IPS)使用。

Snort的历史可追溯至1998年，且历久弥新，有活跃的社区在提供有力支持。虽然既没有图形用户界面(GUI)，也缺乏管理控制面板，但你可以利用其他开源工具来补足这个缺陷，比如Snorby或Base。Snort的高度定制性为各种类型的公司企业和组织提供了很多选择。

如果出于某种原因你不想用Snort，那Suricata也是个不错的选项。

2. Bro

Bro拥有可将流量转化为一系列事件的分析引擎，能够检测可疑特征码和异常。用户还可利用Bro-Script编写策略引擎任务，自动化执行更多工作。比如说，该工具可以自动化下载检测到的可疑文件，将之发去分析，在发现异常情况时通知相关人员，并将可疑文件来源加入黑名单，关停下载了该文件的设备。

Bro的缺点在于其陡峭的学习曲线和复杂的设置，用户想要发挥出它的最大价值需经历相对痛苦的摸索阶段。不过，Bro社区还在发展壮大，日益提供更多的帮助，而且Bro能够检测到其他入侵检测工具可能漏掉的异常和模式。

3. Kismet

Kismet可谓无线IDS的标准，是大多数公司的基本工具。该工具专注无线协议，包括WiFi和蓝牙，能够追踪员工很容易意外创建的未授权接入点。Kismet能检测默认网络或配置漏洞，还可以跳频，但其搜索网络的耗时有点长，能获得最佳结果的范围也有限。

Kismet可应用在安卓和iOS平台上，但对Windows支持不足。它有多种API可供集成其他工具，且可为高工作负载提供多线程包解码功能。最近还推出了全新的Web用户界面，附带扩展插件支持。

4. OSSEC

在基于主机的IDS(HIDS)领域，OSSEC是目前功能最全的选择。OSSEC扩展性强，且支持绝大部分操作系统，包括Windows、Linux、Mac OS、Solaris等。其客户端/服务器架构会向中心服务器发送警报和日志以供分析。这意味着即便主机系统掉线或被黑客入侵，警报也能发出。该架构还减轻了工具部署的工作量，因为可以集中管理多个代理。

OSSEC安装很小，运行时对系统资源几乎没有影响。该工具定制化程度很高，可被配置成实时自动化操作模式。OSSEC社区很强大，有很多资源可以利用。

如果对中心服务器有所顾虑，还可以考虑 Samhain Labs ，这款工具也是基于主机的，但提供多种输出方式。

5. Open DLP

数据防泄漏(DLP)就是该款工具的主要目的。该攻击可以全面扫描数据，无论数据是存在数据库中还是存放在文件系统里。 Open DLP 会搜索与公司相关的敏感数据以发现数据的未授权复制和传输。这对防御恶意内部人或粗心大意的员工往外部发送数据很有用。该工具在Windows系统上运行良好，也支持Linux，且可通过代理部署，或作为无代理工具使用。

底线

如您所见，有很多很好的免费开源IDS可供选择，上面列出的还只是其中很少的一部分，不过，这5款工具是个不错的开端。

声明：本文来自安全牛，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如需转载，请联系原作者获取授权。