Câu trả lời:
Từ trang về họ :
Được phát hành lần đầu vào năm 1998 bởi người sáng lập Sourcefire và CTO Martin Roesch, Snort là một hệ thống phát hiện và ngăn chặn xâm nhập mạng nguồn mở, miễn phí có khả năng thực hiện phân tích lưu lượng thời gian thực và ghi nhật ký gói trên mạng IP. Ban đầu được gọi là công nghệ phát hiện xâm nhập có trọng lượng nhẹ, Snort đã phát triển thành một công nghệ IPS giàu tính năng, trưởng thành và trở thành tiêu chuẩn thực tế trong phát hiện và ngăn chặn xâm nhập. Với gần 4 triệu lượt tải xuống và khoảng 300.000 người dùng đã đăng ký Snort, đây là công nghệ ngăn chặn xâm nhập được triển khai rộng rãi nhất trên thế giới.
Tại sao bạn không kiểm tra http://sectools.org/
Là một trình kiểm tra tính toàn vẹn của mã nguồn mở (mặc dù có phiên bản nguồn đóng) sử dụng các giá trị băm để phát hiện các sửa đổi tệp do những kẻ xâm nhập để lại.
OpenBSD có mtree (8): http://www.openbsd.org/cgi-bin/man.cgi?query=mtree Nó kiểm tra xem có tập tin nào thay đổi trong hệ thống phân cấp thư mục nhất định không.
Logcheck là một tiện ích đơn giản được thiết kế để cho phép quản trị viên hệ thống xem các logfiles được tạo ra trên các máy chủ dưới sự kiểm soát của họ.
Nó thực hiện điều này bằng cách gửi các bản tóm tắt của các logfiles cho chúng, sau lần đầu tiên lọc ra các mục "bình thường". Các mục thông thường là các mục khớp với một trong nhiều tệp biểu thức chính quy có trong cơ sở dữ liệu.
Bạn nên xem nhật ký của mình như một phần của thói quen bảo mật lành mạnh. Nó cũng sẽ giúp bẫy rất nhiều dị thường khác (phần cứng, xác thực, tải ...).
Đối với NIDS, Suricata và Bro là hai lựa chọn thay thế miễn phí để khịt mũi.
Đây là một bài viết thú vị thảo luận về cả ba người trong số họ:
http://blog.securitymonks.com/2010/08/26/three-little-idsips-engines-build-their-open-source-solutions/
Phải đề cập đến OSSEC , đó là HIDS.
Thứ hai là một sản phẩm thương mại là một công cụ mạnh mẽ để phát hiện xâm nhập trên các hệ thống Linux. Nó sử dụng pháp y bộ nhớ để kiểm tra kernel và tất cả các tiến trình đang chạy và so sánh chúng với dữ liệu tham chiếu (từ nhà cung cấp phân phối hoặc phần mềm tùy chỉnh / bên thứ ba được ủy quyền). Sử dụng phương pháp xác minh tính toàn vẹn này, nó phát hiện các rootkit và backtime kernel, các luồng và thư viện được tiêm và phần mềm độc hại Linux khác đang chạy trên hệ thống của bạn, không có chữ ký hoặc kiến thức khác về phần mềm độc hại.
Đây là cách tiếp cận bổ sung cho các công cụ / kỹ thuật được đề cập trong các câu trả lời khác (ví dụ: kiểm tra tính toàn vẹn của tệp với Tripwire; phát hiện xâm nhập dựa trên mạng với Snort, Bro hoặc Suricata; phân tích nhật ký, v.v.)
Tuyên bố miễn trừ trách nhiệm: Tôi là nhà phát triển của Cái nhìn thứ hai.