Jakie są typowe narzędzia do wykrywania włamań? [Zamknięte]

Proszę podać krótki opis każdego narzędzia.

Parsknięcie

Z ich strony o stronie :

Pierwotnie wydany w 1998 r. Przez założyciela Sourcefire i dyrektora technicznego Martina Roescha, Snort to darmowy system wykrywania włamań i zapobiegania włamaniom do sieci o otwartym kodzie źródłowym, zdolny do przeprowadzania analizy ruchu w czasie rzeczywistym i rejestrowania pakietów w sieciach IP. Początkowo nazywany „lekką” technologią wykrywania włamań, Snort przekształcił się w dojrzałą, bogatą w funkcje technologię IPS, która stała się de facto standardem w wykrywaniu włamań i zapobieganiu im. Dzięki prawie 4 milionom pobrań i około 300 000 zarejestrowanych użytkowników Snort jest najczęściej stosowaną technologią zapobiegania włamaniom na świecie.

Dlaczego nie sprawdzisz http://sectools.org/

Tripwire

Jest narzędziem do sprawdzania integralności oprogramowania typu open source (choć jest wersja zamknięta), który używa skrótów do wykrywania modyfikacji plików pozostawionych przez intruzów.

OpenBSD ma mtree (8): http://www.openbsd.org/cgi-bin/man.cgi?query=mtree Sprawdza, czy jakieś pliki uległy zmianie w danej hierarchii katalogów.

Logcheck to proste narzędzie, które pozwala administratorowi systemu na przeglądanie plików dziennika, które są tworzone na hostach pod ich kontrolą.

Robi to, wysyłając do nich streszczenia plików dziennika, po uprzednim odfiltrowaniu „normalnych” wpisów. Normalne wpisy to wpisy, które pasują do jednego z wielu zawartych w bazie danych plików wyrażeń regularnych.

Powinieneś obserwować swoje dzienniki jako część zdrowej procedury bezpieczeństwa. Pomoże również w pułapce wielu innych anomalii (sprzęt, uwierzytelnianie, ładowanie ...).

DenyHosts dla serwera SSH.

Dla NIDS Suricata i Bro to dwie bezpłatne alternatywy dla parskania.

Oto interesujący artykuł omawiający wszystkie trzy z nich:
http://blog.securitymonks.com/2010/08/26/three-little-idsips-engines-build-their-open-source-solutions/

Muszę wspomnieć o OSSEC , który jest HIDS.

Second Look to produkt komercyjny, który jest potężnym narzędziem do wykrywania włamań w systemach Linux. Korzysta z kryminalistyki pamięci, aby zbadać jądro i wszystkie uruchomione procesy i porównać je z danymi referencyjnymi (pochodzącymi od dostawcy dystrybucji lub autoryzowanego oprogramowania niestandardowego / zewnętrznego). Stosując to podejście do weryfikacji integralności, wykrywa rootkity jądra i backdoory, wstrzykiwane wątki i biblioteki oraz inne złośliwe oprogramowanie dla Linuksa działające w twoim systemie, bez sygnatur ani innej wiedzy o tym szkodliwym oprogramowaniu z góry.

Jest to komplementarne podejście do narzędzi / technik wymienionych w innych odpowiedziach (np. Sprawdzanie integralności plików za pomocą Tripwire; wykrywanie włamań przez sieć za pomocą Snorta, Bro lub Suricata; analiza logów itp.)

Uwaga: Jestem programistą Second Look.