【译】13款入侵检测系统介绍

　　本篇译自： Intrusion Detection Systems Explained: 13 Best IDS Software Tools Reviewed

1 什么是入侵检测系统（IDS）？

　　入侵检测系统（IDS）监视网络流量中是否存在异常或可疑活动，并将警报发送给管理员。 主要功能是检测异常活动并将其报告给网络管理员。 但是，某些IDS软件可以在检测到恶意活动（例如阻止某些传入流量）时根据规则采取措施。

工具列表

　　这是我们最佳入侵检测系统软件和工具的列表：

• SolarWinds Security Event Manager：分析来自Windows，Unix，Linux和Mac OS系统的日志。它管理Snort收集的数据，包括实时数据。 SEM还是一种入侵防御系统，附带700多个规则以关闭恶意活动。改善安全性，响应事件并实现合规性的重要工具。
• CrowdStrike Falcon（免费试用）：一种基于云的端点保护平台，其中包括威胁搜寻。
• ManageEngine EventLog Analyzer（免费试用）：一种日志文件分析器，用于搜索入侵的证据。
• Snort：由Cisco Systems提供，可免费使用，领先的基于网络的入侵检测系统软件。
• OSSEC：优秀的基于主机的入侵检测系统，可免费使用。
• Suricata：基于Network的入侵检测系统软件，在应用程序层运行，以提高可视性。
• Zeek：网络监控器和基于网络的入侵防御系统。
• Sagan：日志分析工具可以集成在snort数据上生成的报告，因此它是具有少量NIDS的HIDS。
• Security Onion：网络监视和安全工具由从其他免费工具中提取的元素组成。
• AIDE：高级入侵检测环境是适用于Unix，Linux和Mac OS的HIDS
• OpenWIPS-NG：来自Aircrack-NG制造商的无线NIDS和入侵防御系统。
• Samhain：直接基于主机的入侵检测系统，适用于Unix，Linux和Mac OS。
• Fail2Ban：用于Unix，Linux和Mac OS的轻型基于主机的入侵检测软件系统。

2 入侵检测系统的类型

　　入侵检测系统有两种主要类型（本指南后面将对这两种类型进行详细说明）：

• 基于主机的入侵检测系统（HIDS）–该系统将检查网络中计算机上的事件，而不是系统中通过的流量。
• 基于网络的入侵检测系统（NIDS）–该系统将检查您网络上的流量。

　　网络入侵检测软件和系统现在对于网络安全至关重要。 幸运的是，这些系统非常易于使用，并且市场上大多数最佳的IDS都可以免费使用。 在这篇评论中，您将了解现在可以安装的十种最佳入侵检测系统软件，以开始保护网络免受攻击。 我们介绍适用于Windows，Linux和Mac的工具。

3 基于主机的入侵检测系统（HIDS）

　　基于主机的入侵检测系统（也称为主机入侵检测系统或基于主机的IDS）检查网络上计算机上的事件，而不是检查系统周围通过的流量。这种类型的入侵检测系统缩写为HIDS，主要通过在受保护的计算机上查看管理文件中的数据来进行操作。这些文件包括日志文件和配置文件。

　　HIDS将备份您的配置文件，以便在恶意病毒通过更改计算机的设置而失去系统安全性时，您可以还原设置。您要防止的另一个关键因素是类Unix平台上的root用户访问权限或Windows系统上的注册表更改。 HIDS将无法阻止这些更改，但是它应该能够在发生任何此类访问时提醒您。

　　HIDS监视器的每个主机上都必须安装一些软件。您只需让HIDS监视一台计算机即可。但是，更常见的是在网络上的每台设备上安装HIDS。这是因为您不想忽略任何设备上的配置更改。自然，如果您的网络上有多个HIDS主机，则无需登录到每个HIDS主机即可获得反馈。因此，分布式HIDS系统需要包括一个集中控制模块。寻找一个对主机代理和中央监视器之间的通信进行加密的系统。

4 基于网络的入侵检测系统（NIDS）

　　基于网络的入侵检测，也称为网络入侵检测系统或网络IDS，可检查网络上的流量。因此，典型的NIDS必须包括一个数据包嗅探器，以收集网络流量进行分析。

　　NIDS的分析引擎通常基于规则，可以通过添加自己的规则进行修改。对于许多NIDS，系统的提供者或用户社区将向您提供规则，您只需将规则导入到您的实现中即可。熟悉所选NIDS的规则语法后，便可以创建自己的规则。

链接回流量收集，您不想将所有流量转储到文件中或通过仪表板运行全部操作，因为您将无法分析所有这些数据。因此，在NIDS中推动分析的规则也会创建选择性的数据捕获。例如，如果您有关于令人担忧的HTTP流量类型的规则，则NIDS仅应选择并存储显示这些特征的HTTP数据包。

　　通常，NIDS安装在专用硬件上。高端付费企业解决方案是作为网络套件提供的，其中预先装有软件。但是，您不必花大钱就可以买到专业的硬件。 NIDS确实需要传感器模块来接收流量，因此您可以将其加载到LAN分析器上，或者可以选择分配计算机来运行任务。但是，请确保为任务选择的设备具有足够的时钟速度，以免降低网络速度。

5 HIDS or NIDS?

　

　　简短的答案是两者。 与HIDS相比，NIDS将为您提供更多的监视功能。 您可以拦截NIDS发生的攻击。 相反，仅当文件或设备上的设置已更改时，HIDS才会发现任何错误。 但是，仅仅因为HIDS的活动性不如NIDSs高，所以这并不意味着它们不那么重要。

　　NIDS通常安装在独立的设备上，这意味着它不会拖拽服务器的处理器。 但是，HIDS的活性不如NIDS积极。 HIDS功能可以通过计算机上的轻量级守护程序来实现，并且不应消耗过多的CPU。 这两个系统都不会产生额外的网络流量。

6 检测方法：基于签名或基于异常的IDS

　　无论您要寻找主机入侵检测系统还是网络入侵检测系统，所有IDS都使用两种操作模式-有些可能只使用一种或另一种，但大多数都使用。

基于签名的IDS
基于异常的IDS

基于签名的IDS

　　基于签名的方法查看校验和和消息身份验证。 基于签名的检测方法可以像NIDS一样适用于NIDS。 HIDS将查看日志和配置文件以进行任何意外的重写，而NIDS将查看捕获的数据包中的校验和以及诸如SHA1之类的系统的消息身份验证的完整性。

　　NIDS可以包括签名的数据库，这些签名是已知为恶意活动来源的数据包所携带。 幸运的是，黑客不会坐在电脑旁冒着怒气来破解密码或访问root用户。 相反，他们使用著名的黑客工具提供的自动化程序。 这些工具往往每次都会生成相同的流量签名，因为计算机程序会一遍又一遍地重复相同的指令，而不是引入随机变量。

基于异常的IDS

　　基于异常的检测将查找意外或异常的活动模式。 该类别也可以通过基于主机和基于网络的入侵检测系统来实现。 对于HIDS，可能会在登录端口失败或设备端口上异常活动重复出现异常，这表示端口扫描。

　　对于NIDS，异常方法需要建立行为基准，以创建标准情况，并与之进行比较。 一定范围的流量模式被认为是可以接受的，并且当当前的实时流量移出该范围时，就会引发异常警报。

选择IDS方法

　　先进的NIDS可以建立标准行为记录，并随着使用寿命的延长而调整其边界。 总体而言，与NIDS相比，HIDS软件更易于操作且签名和异常分析都更易于操作。

　　于签名的方法比基于异常的检测要快得多。 全面的异常引擎涉及到AI的方法论，并可能花费大量资金进行开发。 但是，基于签名的方法归结为值的比较。 实际上，在HIDS的情况下，与文件版本进行模式匹配可能是一项非常简单的任务，任何人都可以使用带有正则表达式的命令行实用程序来执行自己的任务。 因此，它们的开发成本不高，而且更可能在免费入侵检测系统中实现。

　　一个全面的入侵检测系统需要基于签名的方法和基于异常的过程。

7 使用IPS防御网络

　　现在，我们需要考虑入侵防御系统（IPS）。 IPS软件和IDS是同一技术的分支，因为如果没有检测，就无法预防。表达入侵工具这两个分支之间差异的另一种方法是将它们称为被动或主动。一个简单的入侵监控和警报系统有时被称为“被动” IDS。一个不仅发现入侵而且采取行动纠正任何损害并阻止来自检测到的源的进一步入侵尝试的系统，也被称为“反应式” IDS。

　　反应型IDS或IPS通常不会直接实施解决方案。相反，它们通过调整设置与防火墙和软件应用程序进行交互。反应型HIDS可以与许多网络助手交互以恢复设备（例如SNMP或已安装的配置管理器）上的设置。通常不会自动处理针对root用户或Windows中的admin用户的攻击，因为阻止admin用户或更改系统密码会导致系统管理员无法进入网络和服务器。

　　IDS的许多用户在首次安装防御系统时都会报告大量误报，就像IPS在检测到警报条件时自动实施防御策略一样。标定不正确的IPS可能会造成破坏，并使您的合法网络活动陷入僵局。

　　为了最大程度地减少由错误警报引起的网络中断，您应该分阶段介绍入侵检测和防御系统。触发器可以定制，您可以组合警告条件以创建自定义警报。在检测到潜在威胁时需要执行的操作声明称为策略。入侵检测和防御程序与防火墙之间的相互作用应进行特别微调，以防止您的企业的真正用户被过于严格的政策所锁定。

8 入侵检测系统的类型和操作系统

　　IDS软件的生产者专注于类Unix操作系统。 有些人根据POSIX标准产生他们的代码。 在所有这些情况下，这意味着Windows被排除在外。 由于Mac OS X和macOS的Mac OS操作系统是基于Unix的，因此与其他软件类别相比，这些操作系统在IDS世界中要好得多。 下表说明了哪些IDS是基于主机的，哪些IDS是基于网络的，以及每个可以安装的操作系统。

　　您可能会读到一些声称Security Onion可以在Windows上运行的评论。 如果您首先安装虚拟机并通过该虚拟机运行它，则可以。 但是，对于此表中的定义，我们仅将可以直接安装的软件视为与操作系统兼容。

9 Top入侵检测软件和工具

IDS	HIDS/NIDS	Unix	Linux	Windows	Mac OS
SolarWinds Security Event Manager EDITOR'S CHOICE	Both	No	No	Yes	No
CrowdStrike Falcon (FREE TRIAL)	HIDS	Yes	Yes	Yes	Yes
Snort	NIDS	Yes	Yes	Yes	No
OSSEC	HIDS	Yes	Yes	Yes	Yes
ManageEngine EventLog Analyzer	HIDS	Yes	Yes	Yes	Yes
Suricata	NIDS	Yes	Yes	Yes	Yes
Zeek	NIDS	Yes	Yes	No	Yes
Sagan	Both	Yes	Yes	No	Yes
Security Onion	Both	No	Yes	No	No
AIDE	HIDS	Yes	Yes	No	Yes
Open WIPS-NG	NIDS	No	Yes	No	No
Samhain	HIDS	Yes	Yes	No	Yes
Fail2Ban	HIDS	Yes	Yes	No	Yes

 

10 Linux入侵检测系统

　　以下是可以在Unix/Linux平台上运行的主机入侵检测系统和网络入侵系统的列表。

　　基于主机的入侵检测系统：

CrowdStrike Falcon
EventLog Analyzer
OSSEC
Sagan
Security Onion（Linux）
AIDE
Samhain
Fail2Ban

　　基于网络的入侵检测系统：

Snort
Zeek
Suricata
Sagan
Security Onion（Linux）
Open WIPS-NG（Linux）

11 Windows入侵检测系统

　　尽管Windows Server受到欢迎，但入侵检测系统的开发人员似乎对生产Windows操作系统的软件并不十分感兴趣。 这是在Windows上运行的少数IDS。

　　基于主机的入侵检测系统：

SolarWinds Security Event Manager
EventLog Analyzer
OSSEC

　　基于网络的入侵检测系统：

SolarWinds Security Event Manager
Snort
Suricata

12 Mac OS入侵检测系统

　　Mac用户受益于Mac OS X和macOS都基于Unix的事实，因此Mac用户拥有的入侵检测系统选项要比拥有运行Windows操作系统的计算机的用户多得多。

　　基于主机的入侵检测系统：

CrowdStrike Falcon
EventLog Analyzer
OSSEC
Sagan
AIDE
Samhain
Fail2Ban

　　基于网络的入侵检测系统：

Zeek
Suricata
Sagan

13 最好的入侵检测系统软件和工具

　　现在，您已经看到按操作系统快速了解基于主机的入侵检测系统和基于网络的入侵检测系统，在此列表中，我们将更深入地介绍每个最佳IDS的细节。

1. SolarWinds Security Event Manager (FREE TRIAL) 

　　The SolarWinds Security Event Manager (SEM) :运行在Windows Server上，但可以记录Unix，Linux和Mac OS计算机以及Windows PC生成的消息。

　　作为日志管理器，这是基于主机的入侵检测系统，因为它与管理系统上的文件有关。但是，它也管理Snort收集的数据，这使其成为基于网络的入侵检测系统的一部分。

　　Snort是Cisco Systems创建的一种广泛使用的数据包嗅探器（请参阅下文）。它具有特定的数据格式，其他IDS工具生产商已将其集成到其产品中。 SolarWinds安全事件管理器就是这种情况。网络入侵检测系统会检查流量数据在网络上传播的情况。要部署Security Event Manager的NIDS功能，您需要使用Snort作为数据包捕获工具，并将捕获的数据漏斗到Security Event Manager中进行分析。尽管LEM在处理日志文件创建和完整性时可充当HIDS工具，但它能够通过Snort接收实时网络数据，而Snort是NIDS的一项活动。

　　SolarWinds产品还可以充当入侵防御系统，因为它可以触发检测入侵的措施。该软件包附带700多个事件关联规则，使它能够发现可疑活动并自动实施补救活动。这些动作称为主动响应。

　　这些积极回应包括：

通过SNMP，屏幕消息或电子邮件发出事件警报
USB设备隔离
用户帐户被暂停或用户被驱逐
IP地址封锁
进程杀死
系统关机或重启
服务关闭
服务触发

　　Security Event Manager的Snort消息处理功能使其成为非常全面的网络安全监视器。 由于该工具能够将Snort数据与系统上的其他事件结合在一起，因此几乎可以立即关闭恶意活动。 经过微调的事件相关规则，大大降低了通过检测误报而中断服务的风险。

　　主要特点：

分析日志文件
可以处理实时数据
与Snort兼容
自动修复　　

　　您可以在30天的免费试用期内访问此网络安全系统。

2. CrowdStrike Falcon (FREE TRIAL)

　　CrowdStrike Falcon系统是一个端点保护平台（EPP）。这是一个HIDS，因为它监视各个端点上的活动而不是网络活动。但是，与典型的HIDS不同，该系统不关注受监控设备上的日志文件，而是查看每台计算机上运行的进程，这通常是NIDS策略。

　　Falcon平台是一组模块。 HIDS功能由Falcon Insight部门提供。这是一个端点检测和响应（EDR）系统。 EPP的核心模块称为Falcon Prevent，它是下一代AV系统。这也使用HIDS方法来检测恶意行为。这两种模块的方法之间的差异很小，因为这两种方法都监视异常行为。但是，Falcon Prevent的识别特征是它正在搜索恶意软件，而Falcon Insight专门在寻找入侵。

　　Falcon Insight将事件记录在受保护的计算机上，需要将其存储在日志文件中，因此一旦编写了这些事件，该工具的研究和检测元素就会使用纯HIDS策略。 EPP的事件收集元素是代理，必须将其安装在受保护的设备上。该代理与EPP的中央处理系统进行通信，该中央处理系统驻留在云中。受保护端点的人工管理员可以通过任何标准浏览器访问Falcon仪表板。

　　CrowdStrike Falcon软件的本地/云混合体系结构的优点是该系统在您的设备上非常轻便。 CrowdStrike服务器上的分析软件提供了用于威胁分析的所有处理能力。这意味着安装此安全服务不会降低计算机的速度，让计算机自由执行为其提供的任务。但是，该代理还充当威胁补救实施者，因此即使Internet连接不可用，该代理也可以继续工作。

　　主要特点：

端点保护平台
检查日志文件
在云端处理数据
基于云的控制台

　　CrowdStrike Falcon有四个版本：Pro，Enterprise，Premium和Complete。 Falcon Insight包含在Premium和Enterprise版本中。 完整版是一项托管服务，可通过协商进行定制。 CrowdStrike提供了Falcon EPP的15天免费试用。

3. ManageEngine EventLog Analyzer (FREE TRIAL)

　　ManageEngine是IT网络基础架构监视和管理解决方案的领先生产商。 EventLog Analyzer是公司安全产品的一部分。这是一个HIDS，其重点是管理和分析由标准应用程序和操作系统生成的日志文件。该工具安装在Windows Server或Linux上。它从那些操作系统以及Mac OS，IBM AIX，HP UX和Solaris系统收集数据。 Windows系统的日志包括Windows Server Windows Vista及更高版本和Windows DHCP Server的源。

　　除操作系统外，该服务还收集和合并来自Microsoft SQL Server和Oracle数据库的日志。它还能够从许多防病毒系统引导警报，包括Microsoft防恶意软件，ESET，Sophos，Norton，Kaspersky，FireEye，Malwarebytes，McAfee和Symantec。它将从Web服务器，防火墙，管理程序，路由器，交换机和网络漏洞扫描程序中收集日志。

　　EventLog Analyzer收集日志消息并充当日志文件服务器，根据消息源和日期将消息组织到文件和目录中。紧急警告也将转发到EventLog Analyzer仪表板，并且可以作为票证直接发送到Help Desk系统，以引起技术人员的即时关注。包中内置的威胁情报模块决定了哪些事件构成潜在的安全漏洞。

　　该服务包括自动日志搜索和事件关联，以编译定期的安全报告。这些报告中包括特权用户监视和审核（PUMA）的格式，以及证明符合PCI DSS，FISMA，ISO 27001，GLBA，HIPAA，SOX和GDPR所需的各种格式。

　　主要特点：

管理和分析日志文件
审核数据保护标准合规性

　　ManageEngine EventLog Analyzer具有三个版本。 其中第一个是免费的。 但是，免费版仅限于监视来自五个来源的日志消息，这对于除超小型企业之外的任何现代企业来说还远远不够。 两种付费版本分别是Premium和Distributed。 分布式计划比高级计划贵得多。 对于大多数单站点企业来说，Premium系统应该足够了，而分布式版本将覆盖多个站点和无限数量的日志记录源。 您可以通过30天的免费试用期来试用该系统，该试用期的上限为2,000条日志消息源。

4. Snort

　　Snort是NIDS的行业领导者，但仍然可以免费使用。这是可以在Windows上安装的少数几个IDS之一。它是由思科创建的。该系统可以在三种不同的模式下运行并可以实施防御策略，因此它既是入侵防御系统又是入侵检测系统。

　　Snort的三种模式是：

嗅探器模式
封包记录器
入侵检测

　　可以将snort用作数据包嗅探器，而无需打开其入侵检测功能。在这种模式下，您可以实时读取通过网络传递的数据包。在数据包记录模式下，那些数据包详细信息将写入文件。

　　当您访问Snort的入侵检测功能时，您将调用一个分析模块，该模块将一组规则应用于通过的流量。这些规则称为“基本策略”，如果您不知道需要哪些规则，则可以从Snort网站下载它们。但是，一旦您对Snort的方法学充满信心，就可以编写自己的方法了。该IDS有大量的社区基础，它们在Snort网站的社区页面上非常活跃。您可以从其他用户那里获得提示和帮助，还可以下载有经验的Snort用户已经制定的规则。

　　该规则将检测诸如隐形端口扫描，缓冲区溢出攻击，CGI攻击，SMB探针和操作系统指纹之类的事件。检测方法取决于所使用的特定规则，并且包括基于签名的方法和基于异常的系统。

　　主要特点：

行业领先的NIDS
思科系统支持

　　Snort的声名吸引了软件开发人员行业的追随者。 其他软件公司创建的几个应用程序可以对Snort收集的数据进行更深入的分析。 这些包括Snorby，BASE，Squil和Anaval。 这些配套应用程序可以帮助您弥补Snort的界面不是非常友好的事实。

5. OSSEC

 

 

 　　

　　OSSEC代表开源HIDS安全性。它是领先的HIDS，并且完全免费使用。作为基于主机的入侵检测系统，该程序专注于安装它的计算机上的日志文件。它监视所有日志文件的校验和签名，以检测可能的干扰。在Windows上，它将保留对注册表所做的任何更改的选项卡。在类似Unix的系统上，它将监视任何访问root帐户的尝试。尽管OSSEC是一个开源项目，但它实际上是由趋势科技（一家著名的安全软件生产商）拥有的。

　　主监视应用程序可以覆盖一台计算机或多台主机，将数据整合到一个控制台中。尽管有一个Windows代理可以监视Windows计算机，但是主应用程序只能安装在类Unix系统上，这意味着Unix，Linux或Mac OS。主程序有OSSEC的接口，但是该接口是单独安装的，不再受支持。 OSSEC的常规用户已经发现其他可以很好地用作数据收集工具前端的应用程序：Splunk，Kibana和Graylog。

　　OSSEC涵盖的日志文件包括FTP，邮件和Web服务器数据。它还监视操作系统事件日志，防火墙和防病毒日志和表以及流量日志。 OSSEC的行为由您在其上安装的策略控制。可以从该产品活跃的大型用户社区中获取这些附件。策略定义警报条件。这些警报可以显示在控制台上，也可以作为通知通过电子邮件发送。

　　主要特点：

日志文件分析器
免费政策
警报系统

6. Suricata

 

 

 

　　

　　Suricata可能是Snort的主要替代产品。 Suricata与Snort相比，具有一个关键优势，那就是它在应用程序层收集数据。这克服了Snort对签名分割成多个TCP数据包的盲目性。 Suricata等待将数据包中的所有数据组装起来，然后再将信息移入分析。

　　尽管系统在应用程序层工作，但它可以监视较低级别的协议活动，例如IP，TLS，ICMP，TCP和UDP。它检查不同网络应用程序（包括FTP，HTTP和SMB）的实时流量。监视器不仅查看数据包的结构。它可以检查TLS证书，并专注于HTTP请求和DNS调用。文件提取工具使您可以检查和隔离具有病毒感染特征的可疑文件。

　　Suricata与Snort兼容，您可以使用为该NIDS负责人编写的相同VRT规则。与Snort集成的那些第三方工具（例如Snorby，BASE，Squil和Anaval）也可以连接到Suricata。因此，访问Snort社区以获取提示和免费规则对于Suricata用户可能是一个很大的好处。内置脚本模块使您可以组合规则并获得比Snort所能提供的更精确的检测配置文件。 Suricata同时使用签名和异常检测方法。

Suricata具有巧妙的处理架构，可通过使用许多不同的处理器同时进行多线程活动来实现硬件加速。它甚至可以部分在您的图形卡上运行。任务的这种分布可避免负载仅承受一台主机。很好，因为此NIDS的一个问题是它的处理量很大。

　　主要特点：

应用层操作
根据实时数据进行操作

　　Suricata的仪表板外观非常时尚，集成了图形，使分析和问题识别更加轻松。尽管外观如此昂贵，但Suricata是免费的。

7. Zeek

　　

 

 

 

　　Zeek（以前的Bro）是一个免费的NIDS，它不仅可以进行入侵检测，还可以为您提供其他网络监视功能。 Zeek的用户社区包括许多学术和科研机构。

　　Zeek入侵检测功能分两个阶段完成：流量记录和分析。与Suricata一样，Zeek与Snort相比具有一个主要优势，因为它的分析在应用程序层进行。这样，您就可以跨数据包查看数据，以更广泛地分析网络协议活动。

　　Zeek的分析模块具有两个元素，可同时用于签名检测和异常分析。这些分析工具中的第一个是Zeek事件引擎。这跟踪触发事件，例如新的TCP连接或HTTP请求。每个事件都被记录下来，因此系统的这一部分与策略无关-它仅提供事件列表，在这些事件中，分析可能会揭示同一用户帐户所产生的重复动作或可疑活动。

　　该事件数据的挖掘由策略脚本执行。警报条件将引起行动，因此Zeek是入侵防御系统以及网络流量分析器。可以自定义策略脚本，但是它们通常沿标准框架运行，该框架涉及签名匹配，异常检测和连接分析。

　　您可以使用Zeek跟踪HTTP，DNS和FTP活动，还可以监视SNMP流量，使您可以检查设备配置更改和SNMP陷阱条件。每个策略都是一组规则，您不限于活动策略的数量或可以检查的协议堆栈其他层。在较低级别，您可以当心DDoS Syn Flood攻击并检测端口扫描。

　　主要特点：

签名检测
异常分析

　　Zeek可以安装在Unix，Linux和Mac OS上。

8. Sagan

　　Sagan是基于主机的入侵检测系统，因此它是OSSEC的替代产品，并且可以免费使用。尽管是HIDS，但该程序与NIDS系统Snort收集的数据兼容。这种兼容性还扩展到了可以与Snort结合使用的其他工具，例如Snorby，BASE，Squil和Anaval。来自Zeek和Suricata的数据源也可以输入Sagan。该工具可以安装在Unix，Linux和Mac OS上。尽管您无法在Windows上运行Sagan，但可以将Windows事件日志输入其中。

　　严格来说，Sagan是一个日志分析工具。使其成为独立NIDS所缺少的元素是数据包嗅探器模块。但是，从好的方面来说，这意味着Sagan不需要专用的硬件，并且可以灵活地分析主机日志和网络流量数据。该工具必须与其他数据收集系统配合使用，以创建完整的入侵检测系统。

　　Sagan的一些不错的功能包括IP定位器，它使您能够查看被检测为具有可疑活动的IP地址的地理位置。这将使您能够汇总似乎协同工作的IP地址的动作，从而构成攻击。 Sagan可以将其处理分布在多个设备上，从而减轻了密钥服务器CPU的负担。

　　该系统包括脚本执行，这意味着它将生成警报并在检测到入侵场景时执行操作。如果来自特定来源的可疑活动，它可以与防火墙表进行交互以实施IP禁令。因此，这是一个入侵防御系统。分析模块可用于签名和异常检测方法。

　　主要特点：

日志分析
网络流量分析

　　Sagan并未进入所有人的最佳IDS列表，因为它并没有真正成为IDS（即日志文件分析器）的资格。但是，其具有NIDS概念的HIDS使其成为混合IDS分析工具组件的一个有趣的主张。

9. Security Onion

 

 

 　　

　　对于IDS解决方案，您可以尝试使用免费的Security Onion系统。此列表中的大多数IDS工具都是开源项目。这意味着任何人都可以下载源代码并进行更改。这正是Security Onion的开发人员所做的。他从Snort，Suricata，OSSEC和Zeek的源代码中提取了元素，并将它们缝合在一起，以创建基于Linux的免费NIDS / HIDS混合体。 Security Onion编写为可在Ubuntu上运行，并且还集成了来自前端系统和分析工具的元素，包括Snorby，Sguil，Squit，Kibana，ELSA，Xplico和NetworkMiner。

　　尽管Security Onion被归类为NIDS，但它确实也包含HIDS功能。它将监视您的日志和配置文件中是否存在可疑活动，并检查这些文件的校验和中是否有任何意外更改。 Security Onion全面的网络基础结构监视方法的缺点之一是其复杂性。它具有几种不同的操作结构，实际上并没有足够的在线学习资料或捆绑在一起的学习材料来帮助网络管理员掌握该工具的全部功能。

　　网络分析是由数据包嗅探器进行的，它可以在屏幕上显示通过的数据，也可以写入文件。 Security Onion的分析引擎使事情变得复杂，因为有许多具有不同操作过程的不同工具，您最终可能会忽略其中的大多数。 Kibana的界面提供了Security Onion的仪表板，并且确实包含一些漂亮的图形和图表以简化状态识别。

　　主要特点：

HIDS / NIDS混合
日志文件篡改警报

　　基于签名的警报规则和基于异常的警报规则都包含在此系统中。您可以获得有关设备状态和流量模式的信息。所有这些实际上都可以通过一些动作自动化来完成，而Security Onion则缺乏。

10. AIDE

 

 　　

　　“ Advanced Intrusion Detection Environment”要写很多东西，因此此IDS软件的开发人员决定将其名称缩写为AIDE。这是一个免费的HIDS，专注于针对Unix和类Unix操作系统的rootkit检测和文件签名比较，因此它也可以在Mac OS和Linux上运行。

　　如果您已考虑过Tripwire，则最好改用AIDE，因为这是该便捷工具的免费替代品。 Tripwire有一个免费版本，但是大多数人需要IDS才能提供的许多关键功能只有付费的Tripwire才能使用，因此AIDE免费提供了更多功能。

　　首次安装时，系统会从配置文件中编译管理数据数据库。这将创建基准，然后只要检测到系统设置更改，就可以回滚对配置的任何更改。该工具包括签名和异常监视方法。系统检查是按需签发的，不能连续运行，这与该HIDS有点不足。但是，由于这是一个命令行功能，因此可以将其安排为使用cron等操作方法定期运行。如果您想要近乎实时的数据，则可以安排它非常频繁地运行。

　　主要特点：

创建配置基准
回滚未经授权的更改

　　AIDE实际上只是一种数据比较工具，它不包含任何脚本语言，您将不得不依靠Shell脚本技能来将数据搜索和规则实现功能纳入此HIDS。也许应该将AIDE视为配置管理工具，而不是入侵检测系统。　　

11. Open WIPS-NG

 

 

　　如果您听说过Aircrack-NG，那么您可能会对这种基于网络的IDS有点谨慎，因为它是由同一位企业家开发的。 Aircrack-NG是一种无线网络数据包嗅探器和密码破解，已经成为每个wifi网络黑客工具包中的一部分。

　　在WIPS-NG中，我们看到了一个由偷猎者转为游戏管理员的案例。该免费软件旨在防御无线网络。尽管Aircrack-NG可以在多种操作系统上运行，但是Open WIPS-NG仅在Linux上运行。 “ WIPS”这个名称代表“无线入侵防御系统”，因此该NIDS可以检测并阻止入侵。

　　该系统包括三个要素：

传感器模块
服务器
接口

　　有计划允许WIPS-NG安装监视多个传感器。但是，目前，每个安装只能包含一个传感器。这不应该是太大的问题，因为您只需一个传感器即可完成多项任务。传感器是一个数据包嗅探器，它还具有在中间流中操纵无线传输的能力。因此，传感器充当系统的收发器。

　　传感器收集的信息被转发到服务器，这就是发生魔术的地方。服务器程序套件包含将检测入侵模式的分析引擎。服务器还会生成阻止检测到的入侵的干预策略。保护网络所需的操作将作为指令发送给传感器。

　　系统的界面模块是一个仪表板，可向系统管理员显示事件和警报。这也是可以调整设置，可以调整或覆盖防御措施的地方。

12. Samhain

　　由德国Samhain Design Labs生产的Samhain是免费使用的基于主机的入侵检测系统软件。它可以在单台计算机或多台主机上运行，​​从而提供有关每台计算机上运行的代理检测到的事件的集中数据。

　　每个代理执行的任务包括文件完整性检查，日志文件监视和端口监视。进程查找rootkit病毒，流氓SUID（用户访问权限）和隐藏进程。在多主机实现中，系统将加密应用于代理和中央控制器之间的通信。传送日志文件数据的连接包括身份验证要求，可以防止入侵者劫持或替换监视过程。

　　Samhain收集的数据可以分析网络上的活动，并突出显示入侵的警告信号。但是，它不会阻止入侵或清除恶意进程。您将需要保留配置文件和用户身份的备份，以解决Samhain监视器显示的问题。

　　黑客和病毒入侵的一个问题是，入侵者将采取措施将其隐藏。这包括终止监视过程。 Samhain部署了一种隐身技术来隐藏其进程，从而防止入侵者操纵或杀死IDS。这种隐形方法称为“隐写术”。

　　中央日志文件和配置备份使用PGP密钥签名，以防止入侵者篡改。

　　Samhain是一个开源网络入侵检测系统，可以免费下载。它是根据POSIX准则设计的，以使其与Unix，Linux和Mac OS兼容。中央监视器将汇总来自不同操作系统的数据。

13. Fail2Ban

 

 　　Fail2Ban是一个免费的基于主机的入侵检测系统，专注于检测日志文件中记录的令人担忧的事件，例如过多的失败登录尝试。系统在显示可疑行为的IP地址上设置了阻止。这些禁令通常仅持续几分钟，但这足以破坏标准的自动暴力破解密码的情况。此安全策略也可以有效地抵抗DoS攻击。 IP地址禁止的实际长度可以由管理员调整。

　　Fail2Ban实际上是一种入侵防御系统，因为它可以在检测到可疑活动时采取措施，而不仅会记录并突出显示可能的可疑入侵。

　　因此，系统管理员在设置软件时必须注意访问策略，因为过于严格的预防策略很容易将善意的用户拒之门外。 Fail2Ban的问题在于，它专注于从一个地址重复执行操作。这使其无法应对分布式密码破解活动或DDoS攻击。

　　Fail2Ban用Python编写，并且能够写入系统表以阻止可疑地址。这些自动锁定发生在Netfilter，iptables，PF防火墙规则和TCP Wrapper的hosts.deny表中。

　　系统的攻击监视范围由一系列过滤器定义，这些过滤器指示IPS监视哪些服务。其中包括Postfix，Apache，Courier Mail Server，Lighttpd，sshd，vsftpd和qmail。每个过滤器都与一个动作结合在一起，以在检测到警报情况时执行。过滤器和操作的组合称为“监狱”。

　　该系统采用POSIX标准编写，因此可以安装在Unix，Linux和Mac OS操作系统上。

14 如何为您的网络选择IDS软件

　　基于网络的IDS解决方案的硬件要求可能会让您望而却步，而是将您推向基于主机的系统，该系统更容易启动和运行。但是，请不要忽略您不需要专用于这些系统的专用硬件的事实，只需专用主机即可。

　　实际上，您应该在为网络获取HIDS和NIDS。这是因为您需要注意计算机上的配置更改和root用户访问权限，以及查看网络流量中的异常活动。

　　好消息是，我们列出的所有系统都是免费的或免费试用的，因此您可以尝试其中的一些。这些系统的用户社区方面可能会特别吸引您，如果您已经有一位具有丰富经验的同事。从其他网络管理员那里获得提示的能力绝对是这些系统的吸引力。与专业服务台支持的付费解决方案相比，它甚至更具吸引力。

　　如果您的公司所在的行业需要标准的安全合规性，例如PCI，那么您确实需要适当的IDS解决方案。另外，如果您将个人信息保存在公众面前，则您的数据保护程序必须严格执行，以防止因数据泄露而起诉您的公司。

　　尽管可能只需要花费整天的时间来保持网络管理员的地位，但不要推迟安装入侵检测系统的决定。希望本指南为您提供了正确的方向。如果您对自己喜欢的IDS有任何建议，并且有使用本指南中提到的任何软件的经验，请在下面的评论部分中留下注释，并与社区分享您的想法。

15 入侵检测系统FAQ

什么是IDS和IPS？

　　IDS是入侵检测系统，IPS是入侵防御系统。 尽管IDS可以检测对网络和主机资源的未授权访问，但是IPS可以完成所有这些工作，并实施自动响应以将入侵者拒之门外，并保护系统免遭劫持或数据被盗。 IPS是具有内置工作流程的IDS，该工作流程由检测到的入侵事件触发。

Snort vs OSSEC

　　Snort和OSSEC都是开源IDS。 Snort是基于网络的入侵检测系统（NIDS），而OSSEC是基于主机的入侵检测系统（HIDS）。 Snort和OSSEC方法之间的主要区别在于Snort的NIDS方法在数据通过网络传输时对其进行处理。 OSSEC的HIDS系统检查网络中计算机上的日志文件以查找意外事件。 Snort和OSSEC都是领先的IDS。

基于主机的入侵检测系统如何工作？

　　基于主机的入侵检测系统（HIDS）检查日志文件，以识别未经授权的访问或对系统资源和数据的不当使用。 基于主机的入侵检测系统的主要来源是Syslog和Windows Events生成的日志。 尽管某些基于主机的入侵检测系统希望日志文件由单独的日志服务器收集和管理，但其他系统却内置了自己的日志文件合并器，并且还收集其他信息，例如网络流量数据包捕获。

什么是主动和被动IDS？

　　入侵检测系统（IDS）仅需要识别对网络或数据的未授权访问即可获得标题。 被动IDS将记录入侵事件并生成警报以引起操作员的注意。 被动IDS还可以存储有关每个检测到的入侵和支持分析的信息。 主动IDS也被称为入侵防御系统（IPS）或入侵检测与防御系统（IDPS），因为它不仅可以发现入侵，还可以实施自动操作来阻止入侵者并保护资源。

IDS如何定义正常使用？

　　IDS可以使用两种方法来定义正常使用-一些IDS工具会同时使用这两种方法。 一种是将事件与攻击策略数据库进行比较，因此正常使用的定义是不会触发对攻击的识别的任何活动。 另一种方法是使用基于AI的机器学习来记录常规活动。 AI方法可能需要一些时间来建立其正常使用的定义。

最好的入侵检测和防御系统是什么？

　　我们的研究对最佳入侵检测和防御系统进行了排名，因为SolarWinds Security Event Manager，Snort，OSSEC和ManageEngine EventLog Analyzer是本文概述的领先系统。

16 Further Reading

Comparitech networking guides

• Top 10 LAN monitoring tools for 2018
• The definitive guide to DHCP
• The definitive guide to SNMP
• The ultimate guide to mobile device management (MDM) in 2018
• The ultimate guide to BYOD in 2018
• Top 10 server management & monitoring tools for 2018
• The best free NetFlow analyzers and collectors for Windows
• Best free network vulnerability scanners and how to use them
• 8 best packet sniffers and network analyzers for 2018
• Best free bandwidth monitoring software and tools to analyze network traffic usage

Other information on network monitoring

• Wikipedia: Intrusion detection system
• Tech Target: Intrusion detection system (IDS)
• CSO: What is an intrusion detection system?
• Lifewire: Introduction to intrusion detection systems
• YouTube: Intrusion Detection Systems