免費企業(yè)網絡入侵檢測（IDS）工具介紹

當前企業(yè)對于網絡安全越來越重視，更多的IT從業(yè)者關注一些安全工具的使用于檢測，今天Infocode藍暢來和大家聊一聊幾款免費企業(yè)網絡入侵檢測（IDS）工具

Snort

Snort是最好的入侵檢測系統（IDS）工具。它所需要的是一些在上面運行的硬件以及安裝、配置和維護的時間。Snort可以在任何操作系統上運行，包括Windows和Linux。

Snort 一直都是網絡入侵檢測（IDS）和入侵防御工具（IPS）的領導者，并且，隨著開源社區(qū)的持續(xù)發(fā)展，為其母公司Sourcefire（多年 來，Sourcefire提供有供應商支持和即時更新的功能齊全的商業(yè)版本Snort，同時仍然免費提供功能有限的免費版本Snort）持續(xù)不斷的支 持，Snort很可能會繼續(xù)保持其領導地位。

雖然Snort“稱霸”這個市場，但也有其他供應商提供類似的免費工具。很多這些入侵檢測系統（IDS）供應商（即使不是大多數）結合Snort或其他開源軟件的引擎來創(chuàng)建強大的免費入侵檢測服務。

Security Onion

Security Onion是用于網絡監(jiān)控和入侵檢測的基于Ubuntu的Linux發(fā)行版。該鏡像可以作為傳感器分布在網絡中，以監(jiān)控多個VLAN和子網，這很適用于 VMware和虛擬環(huán)境。該配置只能用作IDS，目前不能當作IPS運行。然而，你可以選擇把它作為網絡和主機入侵檢測部署，以及利用Squil、Bro IDS和OSSEC等服務來執(zhí)行該服務的IDS功能。該工具的wiki信息和文檔信息很豐富，漏洞和錯誤也有記錄和審查。雖然Security Onion很強大，但它仍然需要不斷發(fā)展，當然這需要時間。

OSSEC

OSSEC是一個開源主機入侵檢測系統（HIDS），它的功能不只是入侵檢測。與大多數開源IDS產品一樣，有多種附加模塊可以結合該 IDS的核心功能。除了網絡入侵檢測外，OSSEC客戶端能夠執(zhí)行文件完整性監(jiān)控和rootkit檢測，并有實時報警，這些功能都是集中管理，并能根據企 業(yè)的需求創(chuàng)建不同政策。OSSEC客戶端在大多數操作系統上本地運行，包括Linux各版本、Mac OSX和Windows。它還通過趨勢科技的全球支持團隊提供商業(yè)支持，這是一個非常成熟的產品。

OpenWIPS-NG

OpenWIPS-NG是一個免費的無線IDS / IPS，它依賴于服務器、傳感器和接口。它可以在普通硬件上運行。其創(chuàng)建者是Aircrack-NG的開發(fā)者，該系統使用Aircrack-NG內置的很 多功能和服務來進行掃描、檢測和入侵防御。OpenWIPS-NG是模塊化的，允許管理員下載插件來增加功能。其文件并不像某些系統一樣詳細，但它允許公司在預算緊張的情況下執(zhí)行WIPS。

Suricata

在所有目前可用的IDS/IPS系統中，Suricata最能夠與Snort相抗衡。該系統有一個類似Snort的架構，依賴于像 Snort等的簽名，甚至可以使用VRT Snort規(guī)則和Snort本身使用的相同的Emerging Threat規(guī)則集。Suricata比Snort更新，它將有機會趕超Snort。如果Snort不是你企業(yè)的選擇，這個免費的工具最適合運行在你的企 業(yè)網絡中。

Bro IDS

Bro IDS類似于Security Onion，它使用更多IDS規(guī)則來確定攻擊來源。Bro IDS使用工具組合，曾經它使用基于Snort的簽名轉換成Bro簽名，不過現在不再是如此，現在用戶能夠為Bro IDS編寫自定義簽名。該系統有很多詳細文檔信息，并已有超過15年的歷史。

在大部分IDS/IPS市場（包括免費軟件和開源IDS/IPS），Snort無疑是最具影響力的工具。本文中介紹的系統執(zhí)行IDS/IPS都有些不同，但都是實用的免費的具，節(jié)省開支的企業(yè)可以使用這些工具來更好地保護其網絡。