【賽迪網-IT技術報道】入侵檢測系統(IDS)檢查所有進入和發出的網絡活動,並可確認某種可疑模式,IDS利用這種模式能夠指明來自試圖進入(或破壞系統)的某人的網絡攻擊(或系統攻擊)。入侵檢測系統與防火牆不同,主要在於防火牆關注入侵是為了阻止其發生。防火牆限制網絡之間的訪問,目的在於防止入侵,但並不對來自網絡內部的攻擊發出警報信號。而IDS卻可以在入侵發生時,評估可疑的入侵並發出警告。而且IDS還可以觀察源自系統內部的攻擊。從這個意義上來講,IDS可能安全工作做得更全面。今天我們就看看下面這五個最著名的入侵檢測系統。
1。Snort:這是一個幾乎人人都喜愛的開源IDS,它採用靈活的基於規則的語言來描述通信,將簽名、協議和不正常行為的檢測方法結合起來。其更新速度極快,成為全球部署最為廣泛的入侵檢測技術,並成為防禦技術的標準。通過協議分析、內容查找和各種各樣的預處理程序,Snort可以檢測成千上萬的蠕蟲、漏洞利用企圖、端口掃瞄和各種可疑行為。在這裡要注意,用戶需要檢查免費的BASE來分析Snort的警告。
2。OSSEC HIDS:這一個基於主機的開源入侵檢測系統,它可以執行日誌分析、完整性檢查、Windows註冊表監視、rootkit檢測、實時警告以及動態的適時響應。除了其IDS的功能之外,它通常還可以被用作一個SEM/SIM解決方案。因為其強大的日誌分析引擎,互聯網供應商、大學和資料中心都樂意運行OSSEC HIDS,以監視和分析其防火牆、IDS、Web伺服器和身份驗證日誌。
3。Fragroute/Fragrouter:是一個能夠逃避網絡入侵檢測的工具箱,這是一個自分段的路由程序,它能夠截獲、修改並重寫發往一台特定主機的通信,可以實施多種攻擊,如插入、逃避、拒絕服務攻擊等。它擁有一套簡單的規則集,可以對發往某一台特定主機的資料包延遲發送,或複製、丟棄、分段、重疊、打印、記錄、源路由跟蹤等。嚴格來講,這個工具是用於協助測試網絡入侵檢測系統的,也可以協助測試防火牆,基本的TCP/IP堆棧行為。可不要濫用這個軟體呵。
4。BASE:又稱基本的分析和安全引擎,BASE是一個基於PHP的分析引擎,它可以搜索、處理由各種各樣的IDS、防火牆、網絡監視工具所生成的安全事件資料。其特性包括一個查詢生成器並查找接口,這種接口能夠發現不同匹配模式的警告,還包括一個資料包查看器/解碼器,基於時間、簽名、協議、IP地址的統計圖表等。
5。Sguil:這是一款被稱為網絡安全專家監視網絡活動的控制台工具,它可以用於網絡安全分析。其主要部件是一個直觀的GUI界面,可以從Snort/barnyard提供實時的事件活動。還可借助於其它的部件,實現網絡安全監視活動和IDS警告的事件驅動分析。
(