一.前言  
    入侵检测系统(IDS)是用于检测服务器安全的防护系统,通常可分为基于主机(host-based)和基于网络(network-based)两大类。基于主机的入侵检测系统,顾名思义,需要在被监控的服务器上安装agent客户端,agent通过分析本地的日志、端口、进程等信息发现安全漏洞,然后将分析结果通过到中央数据库,该类型的入侵检测系统比较适合大量的服务器监控。而基于网络的入侵检测系统,则主要通过旁路的方式,对流量进行采样分析,从而发现其中的异常,由于一般机房的流量很大,所以很难进行全镜像流量分析,一般都是进行采样分析,导致很难发现其中APT攻击。本系列文章主要介绍一个开源的基于主机的入侵检测系统OSSEC。
  此文原出自【爱运维社区】:  http://www.easysb.cn

二.OSSEC简介
  OSSEC是一个开源的入侵检测系统,支持Linux, MacOS, Solaris, HP-UX, AIX, Windows等大部分的操作系统上,可用于日志分析,文件完整性检查,策略监控,rootkit检测,实时警报和响应。目前,该开源项目主要是由 趋势科技 来支撑,具体详细的说明请参考官方主页。
    OSSEC官方主页:  http://www.ossec.net

2.1 OSSEC特性
   OSSEC是一个集合了基于主机型入侵检测,日志监控和SIM/SIEM等功能的平台,可有效监控系统,它主要有下面几个特性。

  • 快速实现特定安全需要

用户可用来实现检测出未授权的文件修改,并及时发出警报;监控日志文件,发现可疑的日志记录;实现文件完整性监控;策略检测和加强等。

  • 支持多平台

支持大部分的系统平台,比如Linux, Solaris, AIX, HPUX, BSD, Winodws, Mac 和 Vmware ESX。

  • 自定义安全规则,实时警报

用户可以根据实际需要,自定义配置规则和响应措施。对于检测出的警报可以通过邮件,短信和syslog的方式推送,及时通知管理员,同时还可以自动执行相应响应(response)。

  • 兼容其他安全产品

OSSEC可以和其他的SIM/SEM安全产品相兼容。

  • 集中式管理

OSSEC提供了一种集中式的服务器管理方法,可以管理不同平台的系统,用户可以通过控制中心的Server端直接分发配置文件。

  • 灵活的部署方式

OSSEC有两种部署方式:有代理(Agent)和无代理(Agentless)两种。一般来说,推荐使用有代理的部署方式,即Server/Agent的部署方式。

  • 强大的入侵检测功能

OSSEC主要有以下四个方面的功能特性:
   1. 文件完整性检查
   入侵者在入侵计算机之后,通常会修改或者上传一些文件作为服务器的后门,比如上传webshell等。而文件完整性检查的目的就是用来发现这些变化,然后再通知管理员。当然,这些变化,不一定是修改文件,也有可能是目录,注册表等。
   2. 日志监控
   为有效监控系统和应用程序的运行情况,OSSEC还支持对日志文件的监控,包括自己写的应用程序所产生的日志(这时可能需要自己来编写日志的编码器),监控服务器上正在发生什么,可通过配置具体的规则和响应来决定发生意外时该采取哪些响应。
   3. Rootkit检测
   检测入侵者在服务器上安装的恶意Rootkit,消除安装在服务器上的后门。
   4. 规则及响应
   OSSEC采用灵活的Rule/Active response机制,允许用户对系统发生的特定情况采取何种响应措施。

作者:胡杨< jekkay@easysb.cn >< 479904359@qq.com >
  此文原出自【爱运维社区】:  http://www.easysb.cn
  如转载请标明原出处,谢绝阉割党。

【1. 概述】开源入侵检测系统OSSEC详解相关推荐

  1. 开源入侵检测系统OSSEC搭建之一:服务端安装

    OSSEC是一款开源的多平台的入侵检测系统,可以运行于Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操作系统中.主要功能有日志分析.完整性检查.rootkit检测 ...

  2. 开源入侵检测系统OSSEC的搭建及使用

    环境centos7 官网 http://www.ossec.net/ Linux下载地址 https://github.com/ossec/ossechids/archive/2.9.4.tar.gz ...

  3. 信息安全体系建设☞开源入侵检测系统NIDS

    我们之前提到在边界处搭建信息安全体系,需要依赖防火墙,但是防火墙就像我们生活当中的一扇门,只是负责开和关我们不能够感知到是谁进来或者谁出去.比如说我们在制定防火墙策略的时候,我们制定的规则是人可以出去 ...

  4. EasyPR中文开源车牌识别系统 开发详解

     在上篇文档中作者已经简单的介绍了EasyPR,现在在本文档中详细的介绍EasyPR的开发过程. 正如淘宝诞生于一个购买来的LAMP系统,EasyPR也有它诞生的原型,起源于CSDN的taotao ...

  5. 信息安全体系建设☞开源入侵检测系统HIDS

    在之前的博文中介绍了NIDS, IDS就像是我们在网络的关键节点上假设的一双双水汪汪的大眼睛.IDS能帮我们深度检测流过的数据包,针对数据包中的特征来触发告警,并记录日志.同时我们也可以根据资产的重要 ...

  6. ossec支持mysql数据库_开源入侵检测工具ossec安装配置(HIDS)

    ossec主要功能有日志分析.完整性检查.rookit检测.基于时间的警报和主动响应. ///服务端安装 1.yum install wget gcc make httpd php php-mysql ...

  7. 基于主机的入侵检测系统ossec安装部署-CentOS6.5

    1.ossec服务端安装 解压>>> #tar -zxvf ossec_server.tar.gz #cd ossec 安装>>> #./install.sh ag ...

  8. ossec开源入侵检测系统安装配置

    ossec开源入侵检测系统安装配置,文档对server/agent模式进行详细介绍,如果只有一台服务器,可以用local模式,这种方式安装更为简单. OSSEC简要介绍:  OSSEC 是一款开源的入 ...

  9. 网络安全实验-入侵检测-基于网络入侵检测系统

     实验目的: 1.掌握snort IDS工作机理 2.应用snort三种方式工作 3.熟练编写snort规则 实验原理: 一.snort IDS概述 snort IDS(入侵检测系统)是一个强大的网络 ...

最新文章

  1. solrj操作单机solr
  2. “它将改变一切”,DeepMind AI解决生物学50年来重大挑战,破解蛋白质分子折叠问题...
  3. 总结-软件工程师 ( 编程能力 )
  4. 详解RPC远程调用和消息队列MQ的区别
  5. 和渠道商成为真朋友,CDEC大会做对了什么?
  6. Revit软件安装族库/族样板/项目样板默认位置在哪?(详细说明)
  7. 淘宝开源Web服务器Tengine简介
  8. 移动中兴ZXV10 B860AV2.1-A_S905L2_MT7668_线刷固件包
  9. 真的!这么写参数校验 (Validator) 就不会被劝退了。。。
  10. url中出现“%22”等如何处理?如何判断url中是否有“%22等”?如何获取当前网址?传入多个参数在url上? encodeURL和(js)
  11. 微软遥测服务服务器,使用 .REST 配置 Azure 媒体服务遥测 | Microsoft Docs
  12. 尚硅谷谷粒商城第十二天 商品详情页及异步编排
  13. 最全的100个Python精选库,建议收藏!
  14. Java8新特性之Joining
  15. uniapp小程序获取定位(高德SDK)
  16. python可以用else作为变量名_在Python中可以使用if作为变量名。
  17. itextword加公章 java_使用itext和freemarker来根据Html模板生成PDF文件,加水印、印章...
  18. 百度地图html演示,百度地图.html
  19. IT行业岗位分析丨我们要不要学习Linux?
  20. Anaconda+tensorflow+win10安装包和教程(2021年12月)

热门文章

  1. weboffice插件使用说明
  2. metrics类型 普罗米修斯_接近完美的监控系统—普罗米修斯
  3. 经常用电脑辐射大怎么办?
  4. android 64位进程,简单科普一下,安卓下的64位和32位
  5. 用Project软件编制项目计划【总结】
  6. 51单片机仿真例程-led点阵屏
  7. Windows下svn使用教程
  8. java编程基础篇-- 编写一个程序,从键盘输入三个整数,求三个整数中的最小值。
  9. 7-56 365次方
  10. 哈希宝-简单上手教程