威胁形势变得越来越多样化,用于攻击的系统比以往任何时候都更加复杂。毫无疑问,入侵检测系统对于确保现代组织资产和所有网络流量的安全至关重要。这些保护措施用于捍卫对组织网络的受限访问。当涉及入侵检测系统时,有两种不同的类型。基于主机的(HIDS)和基于网络的系统(NIDS)。基于网络的IDS分析网络流量中是否有入侵,并发出警报,而HIDS通过检查网络上的事件来跟踪主机的可疑活动。

本文将介绍五个基于主机的开源入侵检测系统,以帮助您保护组织。

关于HIDS

在深入研究HIDS工具之前,让我们探讨什么是基于主机的入侵检测系统。如前所述,入侵检测系统是一种硬件或软件应用程序,可在检测到恶意活动时检测并警告管理员。HIDS主要专注于监视和分析日志文件,以便 基于预定义的策略和一组规则来检测异常和未经授权的更改。换句话说,HIDS与您添加的预先建立的规则一样有效。对于大量存储的日志,提取有意义的信息对于检测异常至关重要。提取的信息应准确。因此,确保这些日志的安全性对于防御日志操纵至关重要。

1. OSSEC

OSSEC是开源安全事件关联器的缩写。这个建立良好且信誉良好的解决方案是OSSEC基金会开发和维护的免费和开放源代码的基于主机的入侵检测系统,这要归功于众多的贡献者。它后来归趋势科技所有。这是一个不断发展的项目,每月下载约5000次,并且具有可扩展性和多平台方面的特点,因为它可以在Windows,不同的Linux发行版和MacOS上运行。OSSEC通常与Wazuh进行比较;我们将介绍OSSEC与Wazuh之间的一些细分情况,这是HIDS或SIEM用户进行的比较。在此列表的后面,我们将介绍Wazuh。

作为HIDS,此工具使您能够使用签名和异常检测方法来执行日志分析,文件完整性检查,策略监视,rootkit检测和活动响应。它提供了对系统操作的有价值的洞察力,以检测异常。OSSEC采用服务器代理模型-意味着专用服务器为每个主机提供聚合和分析。要安装和配置OSSEC,步骤非常简单 ,但OSSEC确实有一些缺点。例如,如果要升级到较新的版本,除非进行导出并在迁移后将其导入,否则由于覆盖操作,您将丢失定义的规则。但是,如果您聚合多个设备和不同的服务(Web服务器,数据库,防火墙等),OSSEC作为强大的日志分析引擎是一个不错的选择。

图1:8db1416a-67ff-4acf-8030-20a99d0e757d.png

后来的发行版增加了用于基于debian的系统的身份验证日志文件,以及用于分析(3.6.0)的非标准Sophos UTM时间戳,用于缩进日志的多行日志收集(3.5.0)以及对多行的其他升级。记录。

2. Tripwire

顾名思义,这是Tripwire开发的基于主机的免费开放源代码检测系统。该公司也提供商业解决方案,但我们将专注于开源HIDS。开源的Tripwire软件包仅在几乎所有Linux发行版上运行。它以确保数据完整性的强大功能而闻名,它可以帮助系统管理员检测对系统文件的更改,并在文件损坏或被篡改时通知他们。

要将其安装在Linux主机上,只需使用apt-get或yum实用程序。在安装过程中,系统将要求您添加必需的密码。最好选择一个复杂的。一旦它的安装,你需要启动数据库,你可以轻松地开始你的支票。如果您需要一个集成良好的Linux入侵检测系统,则开源Triptrip可能是您的最佳选择,但它有一些限制。例如,它不会实时通知您,因此您需要自己查看日志。您还需要在安装操作系统后进行安装,以使其在安装之前不会检测到恶意活动。

以下屏幕快照除了其他指示之外,还说明了每个规则和安全级别。

图2(图像源)

3. Wazuh

Wazuh是另一个用于完整性监视,事件响应和合规性的开源监视解决方案。撰写本文时,最新版本为3.8.2。如前所述,您可能会在网上看到Wazuh与OSSEC的比较,但这不仅是因为相似的目的,而且是一个共同的起源。Wazuh最初是OSSEC的分支,并且如官方文档所示,它的构建具有更高的可靠性和可伸缩性。除了执行日志分析,完整性检查,Windows注册表监视和活动响应之外,Wazuh还使用异常和签名检测方法来检测rootkit。与OSSEC的不同之处在于它与ELK集成的能力 ,改进的规则集以及使用静态API的功能。通过专注于持久卷和绑定挂载,还可以利用Wazah来监视Docker容器中的文件。

该HIDS由3个主要组件组成:代理,服务器和弹性堆栈。它的代理在Windows,Linux,Solaris,BSD和Mac操作系统上运行。要了解如何安装项目,强烈建议您遵循官方安装指南。这些步骤很容易遵循并得到充分解释。Wazuh有一些缺点。服务器安装和API可能会很麻烦。

以下屏幕快照代表了Wazuh的概述仪表板:

图3(图像源)

从3.11.2版本开始,Wazuh UI已针对Kibana进行了升级(当时为7.5.2),其中升级了其XML验证程序,并增加了文件大小限制。

4. Samhain

Samhain是具有中央管理功能的开源HIDS,可帮助您检查文件完整性,监视日志文件并检测隐藏的进程。这种多平台解决方案可在POSIX系统(Unix,Linux,Cygwin / Windows )上运行。

Samhain的安装非常简单,您只需要从官方网页下载tar.gz文件并将其安装在系统上即可。在此之前,您需要确保MySQL和Apache在您的服务器上运行。Samhain项目带有大量详细的文档。该HIDS还通过TCP / IP通信提供集中和加密的监视功能。它与其他先前讨论过的开源HIDS的不同之处在于其隐身功能- 使其免受入侵者的侵害- 这要归功于其开发人员编写的偏执代码。而Samhain 社区 很好,比其他HIDS难安装。Windows的客户端要求安装Cygwin,而且一开始很难理解其报告。

Samhain日志默认情况下位于/ var / log ,默认情况下用于XML编写(使用./configure –enable–xml-log 命令对其进行配置)。Samhain包括日志文件旋转和锁定功能。它有助于记录SQL数据库,控制台,电子邮件,系统日志,Prelude IDS等。

5.安全洋葱

Security Onion是由Doug Burks设计和维护的基于Linux的免费开源入侵检测系统。该项目由三个组件组成:完整的数据包捕获功能,将基于主机的事件与基于网络的事件相关联的入侵检测系统,以及许多其他工具集,包括Snort,Bro,Sguil,Suricata和许多其他实用程序。

安全洋葱不只是入侵检测系统。归根结底,如果您想在几分钟之内轻松地建立网络安全监控(NSM)平台,则由于其友好的向导,此工具便是答案。

在安装之前,您需要知道Security Onion仅支持64位硬件。您也可以在官方文档中找到详细的技术要求。Security Onion的安装步骤非常简单。阅读文档(包括要求和发行说明)后,您需要下载ISO映像。

如果时间紧迫,安全洋葱是最好的选择,但它也有一些缺点。首先,它不支持Wi-Fi来管理网络。另外,您将必须学习如何使用不同的工具来学习提高分发效率。除此之外,它不会自动备份规则以外的配置。为此,您需要使用第三方实用程序。

此屏幕快照说明了使用Security Onion(Sguil)进行实时事件检测:

图4

摘要

对于现代组织而言,部署基于主机的入侵检测系统至关重要。市场上有许多具有不同功能的HIDS。为了帮助您缩小范围,我们选择了五个开源工具,使您可以深入了解主机上发生的事情。选择基于许多标准,包括工具的普及程度,工具的功能以及托管的操作系统。

HIDS只是许多重要的安全工具之一,可以帮助团队改善公司的安全状况。选择正确的工具可能很困难。考虑以下问题:您的团队是否有能力将安全性纳入DevOps实践中?考虑云安全性时有什么细微差别?对于越来越多地因安全工具及其产生的数据泛滥而感到不知所措的公司,安全分析正成为一种主要趋势。查看我们的完整云运营安全蓝图,以获取有关SecOps工具和最佳实践的更多信息。

5个流行的开源HIDS系统介绍相关推荐

  1. 流行的开源数据挖掘tool

    IDMer说道:本文只对几种流行的开源数据挖掘平台进行了检视,比如Weka和R等.如果您想找寻更多的开源数据挖掘软件,可以到KDnuggets和Open Directory上查看.为了评测这些软件,我 ...

  2. GitHub 上 57 款最流行的开源深度学习项目【转】

    GitHub 上 57 款最流行的开源深度学习项目[转] 2017-02-19 20:09 334人阅读 评论(0) 收藏 举报 分类: deeplearning(28) from: https:// ...

  3. 安卓流行布局开源库_如何使用流行度在开源库之间进行选择

    安卓流行布局开源库 by Ashish Singal 通过Ashish Singal 如何使用流行度在开源库之间进行选择 (How to choose between open source libr ...

  4. pyscripter与python的关系_Pyscripter是python下一个非常流行的开源IDE

    背景 Pyscripter是python下一个非常流行的开源IDE,笔者一直使用Pyscripter来来编写python脚本. 关于IDE的一些特性本文不在赘述,主要是分享一下今天遇到的一个问题. 问 ...

  5. 最后防线:三款开源HIDS功能对比评估

    本文是对Wazuh, Osquery, AgentSmith这三款开源HIDS进行功能性的评估,目的是取长补短,做一个完善的HIDS系统. 简介 HIDS的功能主要是依靠agent的数据收集功能, 所 ...

  6. 最后防线:三款开源HIDS应用对比评估

    本文仅从应用角度评估Wazuh, Osquery, AgentSmith这三款HIDS,针对企业立马使用HIDS,或者包装成方案的场景. 简介 Wazuh:一款免费.开源的企业级安全监控解决方案,用于 ...

  7. 28款GitHub最流行的开源机器学习项目,推荐GitHub上10 个开源深度学习框架

    20 个顶尖的 Python 机器学习开源项目 机器学习 2015-06-08 22:44:30 发布 您的评价: 0.0 收藏 1收藏 我们在Github上的贡献者和提交者之中检查了用Python语 ...

  8. 基于时序数据库做监控,这里有超流行的开源方案

    点击上方"朱小厮的博客",选择"设为星标" 回复"666"获取新整理的1000+GB资料 在微服务架构下,我们对服务进行了拆分,所以用户的每 ...

  9. 2018年GitHub最流行Python开源项目

    原文链接:https://www.ctocio.com/ccnews/27611.html 文章来自IT经理网 Python是当下最火的编程语言之一,在GitHub上有大量热门开源项目,近日开源众包平 ...

最新文章

  1. gpu处理信号_在PyTorch中使用DistributedDataParallel进行多GPU分布式模型训练
  2. 手语识别 机器学习_机器学习入门实践,让机器识别一只猫
  3. 【 Verilog HDL 】进一步了解 Verilog HDL 的赋值运算符
  4. Springboot中实现文件上传功能
  5. 总结java父类构造函数对子类构造函数的影响
  6. mysql使用jpa仓储查询报错_Jpa自动查询报错
  7. 无法识别的属性“targetFramework”。请注意属性名称区分大小写。
  8. win10如何远程连接BCC云服务器?
  9. Google Maps API 初级2
  10. 零售业有效利用物联网的几种方法
  11. 逾期怎么处理_信用卡3万逾期三个月,催收说已经起诉生效,立案处理了,该怎么办?...
  12. 高级定价基本概念理解
  13. 剑桥教授项目 | 机器学习在推荐系统中的应用
  14. 20191216每日一句
  15. 简单实现虚拟机备份上云
  16. Axure rp8.1.0.3381激活码(亲测可用)
  17. 在xilinx SDK中查询API函数的方法
  18. 免费设计素材网站,这4个就够了。
  19. 信息系统规划方法-战略目标集转化法(SST)
  20. Spectrum数据采集卡和任意波形发生器在杨百翰大学声波研究中的应用

热门文章

  1. 使用HttpClient登录知乎获取返回页面信息
  2. 关于computer vision的会议及vision guys-机器学习与视觉大牛族谱深度挖掘
  3. c语言 乱码转化为16进制_编码格式介绍及C语言处理汉字编码
  4. 2022上海省赛(A,E,G,H,M,N)
  5. 移动硬盘参数错误无法访问数据恢复方法
  6. php writeup,writeup---你真的会PHP吗?
  7. void 和 void *区别(c++)
  8. 挑战微信?三大运营商的目的或许不在这
  9. 【思前享后】区块链应用
  10. zbrush 使用ZModeler制作护腕