入侵檢測系統(tǒng)(IDS)不可或缺，可用于監(jiān)視網(wǎng)絡(luò)、標(biāo)記可疑活動或自動阻止?jié)撛趷阂饬髁?。以?款I(lǐng)DS可稱之為開源IDS首選。

[[248254]]

作為網(wǎng)絡(luò)安全專業(yè)人士，阻止攻擊者訪問公司網(wǎng)絡(luò)是我們的職責(zé)，但隨著移動設(shè)備、分布式團隊和物聯(lián)網(wǎng)的興起，保護網(wǎng)絡(luò)邊界這個任務(wù)的困難度呈指數(shù)級增加。令人沮喪的現(xiàn)實是，攻擊者有時候確實能成功侵入公司網(wǎng)絡(luò)，而安全團隊發(fā)現(xiàn)攻擊的用時越長，數(shù)據(jù)泄露的損失就越大。

在健壯的事件響應(yīng)計劃支撐基礎(chǔ)上引入入侵檢測系統(tǒng)(IDS)，可以有效減少數(shù)據(jù)泄露的潛在危害。

IDS通常分為兩類：基于特征碼的IDS——掃描已知惡意流量模式并在發(fā)現(xiàn)時發(fā)出警報;基于異常的IDS——監(jiān)測基線以暴露偏離基準(zhǔn)的異常情況。

若想全面防護公司數(shù)據(jù)和系統(tǒng)，IDS應(yīng)部署在網(wǎng)絡(luò)的各個角落，從內(nèi)部服務(wù)器到數(shù)據(jù)中心到公共云環(huán)境都應(yīng)有IDS的身影。值得指出的是，IDS還可揭示員工的逾矩行為，包括內(nèi)部人威脅和磨洋工情形，比如整天在工作電腦上看片或聊微信、QQ。

幸運的是，市場上不僅有商業(yè)版的IDS，還有很多開源IDS可供選擇，比如下面5款：

1. Snort

作為IDS事實上的業(yè)界標(biāo)準(zhǔn)，Snort是個非常有價值的工具。該Linux實用工具很便于部署，且可配置多種功能，比如監(jiān)視網(wǎng)絡(luò)流量找尋入侵嘗試，記錄入侵日志，以及在檢測到入侵嘗試時采取特定動作。這是一款被廣泛部署的IDS工具，且可作為入侵防御系統(tǒng)(IPS)使用。

Snort的歷史可追溯至1998年，且歷久彌新，有活躍的社區(qū)在提供有力支持。雖然既沒有圖形用戶界面(GUI)，也缺乏管理控制面板，但你可以利用其他開源工具來補足這個缺陷，比如Snorby或Base。Snort的高度定制性為各種類型的公司企業(yè)和組織提供了很多選擇。

如果出于某種原因你不想用Snort，那Suricata也是個不錯的選項。

2. Bro

Bro擁有可將流量轉(zhuǎn)化為一系列事件的分析引擎，能夠檢測可疑特征碼和異常。用戶還可利用Bro-Script編寫策略引擎任務(wù)，自動化執(zhí)行更多工作。比如說，該工具可以自動化下載檢測到的可疑文件，將之發(fā)去分析，在發(fā)現(xiàn)異常情況時通知相關(guān)人員，并將可疑文件來源加入黑名單，關(guān)停下載了該文件的設(shè)備。

Bro的缺點在于其陡峭的學(xué)習(xí)曲線和復(fù)雜的設(shè)置，用戶想要發(fā)揮出它的最大價值需經(jīng)歷相對痛苦的摸索階段。不過，Bro社區(qū)還在發(fā)展壯大，日益提供更多的幫助，而且Bro能夠檢測到其他入侵檢測工具可能漏掉的異常和模式。

3. Kismet

Kismet可謂無線IDS的標(biāo)準(zhǔn)，是大多數(shù)公司的基本工具。該工具專注無線協(xié)議，包括WiFi和藍(lán)牙，能夠追蹤員工很容易意外創(chuàng)建的未授權(quán)接入點。Kismet能檢測默認(rèn)網(wǎng)絡(luò)或配置漏洞，還可以跳頻，但其搜索網(wǎng)絡(luò)的耗時有點長，能獲得最佳結(jié)果的范圍也有限。

Kismet可應(yīng)用在安卓和iOS平臺上，但對Windows支持不足。它有多種API可供集成其他工具，且可為高工作負(fù)載提供多線程包解碼功能。最近還推出了全新的Web用戶界面，附帶擴展插件支持。

4. OSSEC

在基于主機的IDS(HIDS)領(lǐng)域，OSSEC是目前功能最全的選擇。OSSEC擴展性強，且支持絕大部分操作系統(tǒng)，包括Windows、Linux、Mac OS、Solaris等。其客戶端/服務(wù)器架構(gòu)會向中心服務(wù)器發(fā)送警報和日志以供分析。這意味著即便主機系統(tǒng)掉線或被黑客入侵，警報也能發(fā)出。該架構(gòu)還減輕了工具部署的工作量，因為可以集中管理多個代理。

OSSEC安裝很小，運行時對系統(tǒng)資源幾乎沒有影響。該工具定制化程度很高，可被配置成實時自動化操作模式。OSSEC社區(qū)很強大，有很多資源可以利用。

如果對中心服務(wù)器有所顧慮，還可以考慮 Samhain Labs ，這款工具也是基于主機的，但提供多種輸出方式。

5. Open DLP

數(shù)據(jù)防泄漏(DLP)就是該款工具的主要目的。該攻擊可以全面掃描數(shù)據(jù)，無論數(shù)據(jù)是存在數(shù)據(jù)庫中還是存放在文件系統(tǒng)里。 Open DLP 會搜索與公司相關(guān)的敏感數(shù)據(jù)以發(fā)現(xiàn)數(shù)據(jù)的未授權(quán)復(fù)制和傳輸。這對防御惡意內(nèi)部人或粗心大意的員工往外部發(fā)送數(shù)據(jù)很有用。該工具在Windows系統(tǒng)上運行良好，也支持Linux，且可通過代理部署，或作為無代理工具使用。

底線

如您所見，有很多很好的免費開源IDS可供選擇，上面列出的還只是其中很少的一部分，不過，這5款工具是個不錯的開端。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文