入侵檢測(cè)（Intrusion Detection），是對(duì)入侵行為的檢測(cè)。它通過(guò)收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。

1 Snort

Snort是一款輕量級(jí)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，能夠在IP網(wǎng)絡(luò)上進(jìn)行實(shí)時(shí)的流量分析和數(shù)據(jù)包記錄。它不僅能進(jìn)行協(xié)議分析、內(nèi)容檢索、內(nèi)容匹配，而且能用于偵測(cè)諸如緩沖溢出、隱秘端口掃描、CGI攻擊、SMB探測(cè)、操作系統(tǒng)指紋識(shí)別等大量的攻擊或非法探測(cè)。Snort使用靈活的規(guī)則去描述哪些流量應(yīng)該被收集或被忽略，并且提供一個(gè)模塊化的探測(cè)引擎。

2 OSSEC HIDS

這一個(gè)基于主機(jī)的開源入侵檢測(cè)系統(tǒng)，它可以執(zhí)行日志分析、完整性檢查、Windows注冊(cè)表監(jiān)視、rootkit檢測(cè)、實(shí)時(shí)警告以及動(dòng)態(tài)的適時(shí)響應(yīng)。除了其IDS的功能之外，它通常還可以被用作一個(gè)SEM/SIM解決方案。因?yàn)槠鋸?qiáng)大的日志分析引擎，互聯(lián)網(wǎng)供應(yīng)商、大學(xué)和數(shù)據(jù)中心都樂意運(yùn)行OSSEC HIDS，以監(jiān)視和分析其防火墻、IDS、Web服務(wù)器和身份驗(yàn)證日志。

3 Fragroute/Fragrouter

是一個(gè)能夠逃避網(wǎng)絡(luò)入侵檢測(cè)的工具箱，這是一個(gè)自分段的路由程序，它能夠截獲、修改并重寫發(fā)往一臺(tái)特定主機(jī)的通信，可以實(shí)施多種攻擊，如插入、逃避、拒絕服務(wù)攻擊等。它擁有一套簡(jiǎn)單的規(guī)則集，可以對(duì)發(fā)往某一臺(tái)特定主機(jī)的數(shù)據(jù)包延遲發(fā)送，或復(fù)制、丟棄、分段、重疊、打印、記錄、源路由跟蹤等。嚴(yán)格來(lái)講，這個(gè)工具是用于協(xié)助測(cè)試網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的，也可以協(xié)助測(cè)試防火墻，基本的TCP/IP堆棧行為。

4 BASE

BASE又稱基本的分析和安全引擎，BASE是一個(gè)基于PHP的分析引擎，它可以搜索、處理由各種各樣的IDS、防火墻、網(wǎng)絡(luò)監(jiān)視工具所生成的安全事件數(shù)據(jù)。其特性包括一個(gè)查詢生成器并查找接口，這種接口能夠發(fā)現(xiàn)不同匹配模式的警告，還包括一個(gè)數(shù)據(jù)包查看器/解碼器，基于時(shí)間、簽名、協(xié)議、IP地址的統(tǒng)計(jì)圖表等。

5 Sguil

是一款被稱為網(wǎng)絡(luò)安全專家監(jiān)視網(wǎng)絡(luò)活動(dòng)的控制臺(tái)工具，它可以用于網(wǎng)絡(luò)安全分析。其主要部件是一個(gè)直觀的GUI界面，可以從Snort/barnyard提供實(shí)時(shí)的事件活動(dòng)。還可借助于其它的部件，實(shí)現(xiàn)網(wǎng)絡(luò)安全監(jiān)視活動(dòng)和IDS警告的事件驅(qū)動(dòng)分析。

6 Namp

nmap被開發(fā)用于允許系統(tǒng)管理員察看一個(gè)大的網(wǎng)絡(luò)系統(tǒng)有哪些主機(jī)以及其上運(yùn)行何種 服務(wù)。它支持多種協(xié)議的掃描如UDP，TCP connect（），TCP SYN （half open）， ftp proxy （bounce attack），Reverse-ident， ICMP （ping sweep）， FIN， ACK sweep，Xmas Tree， SYN sweep， 和Null掃描。

7 Tripwire

Tripwire是一款入侵檢測(cè)和數(shù)據(jù)完整性產(chǎn)品，它允許用戶構(gòu)建一個(gè)表現(xiàn)最優(yōu)設(shè)置的基本服務(wù)器狀態(tài)。它并不能阻止損害事件的發(fā)生，但它能夠?qū)⒛壳暗臓顟B(tài)與理想的狀態(tài)相比較，以決定是否發(fā)生了任何意外的或故意的改變。如果檢測(cè)到了任何變化，就會(huì)被降到運(yùn)行障礙最少的狀態(tài)。

入侵檢測(cè)工具不僅僅就只有以上介紹的幾種，希望大家多多觀察，選擇適合自己的安全防衛(wèi)工具。

【編輯推薦】

1. 常用的入侵檢測(cè)方法
2. 如何正確使用網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)
3. 淺析幾個(gè)著名的入侵檢測(cè)系統(tǒng) 圖示
4. Windows2000服務(wù)器入侵檢測(cè)技巧 續(xù)