入侵檢測(cè)系統(tǒng)(IDS)不可或缺，可用于監(jiān)視網(wǎng)絡(luò)、標(biāo)記可疑活動(dòng)或自動(dòng)阻止?jié)撛趷阂饬髁?。以?款I(lǐng)DS可稱之為開(kāi)源IDS首選。

[[248254]]

作為網(wǎng)絡(luò)安全專業(yè)人士，阻止攻擊者訪問(wèn)公司網(wǎng)絡(luò)是我們的職責(zé)，但隨著移動(dòng)設(shè)備、分布式團(tuán)隊(duì)和物聯(lián)網(wǎng)的興起，保護(hù)網(wǎng)絡(luò)邊界這個(gè)任務(wù)的困難度呈指數(shù)級(jí)增加。令人沮喪的現(xiàn)實(shí)是，攻擊者有時(shí)候確實(shí)能成功侵入公司網(wǎng)絡(luò)，而安全團(tuán)隊(duì)發(fā)現(xiàn)攻擊的用時(shí)越長(zhǎng)，數(shù)據(jù)泄露的損失就越大。

在健壯的事件響應(yīng)計(jì)劃支撐基礎(chǔ)上引入入侵檢測(cè)系統(tǒng)(IDS)，可以有效減少數(shù)據(jù)泄露的潛在危害。

IDS通常分為兩類：基于特征碼的IDS——掃描已知惡意流量模式并在發(fā)現(xiàn)時(shí)發(fā)出警報(bào);基于異常的IDS——監(jiān)測(cè)基線以暴露偏離基準(zhǔn)的異常情況。

若想全面防護(hù)公司數(shù)據(jù)和系統(tǒng)，IDS應(yīng)部署在網(wǎng)絡(luò)的各個(gè)角落，從內(nèi)部服務(wù)器到數(shù)據(jù)中心到公共云環(huán)境都應(yīng)有IDS的身影。值得指出的是，IDS還可揭示員工的逾矩行為，包括內(nèi)部人威脅和磨洋工情形，比如整天在工作電腦上看片或聊微信、QQ。

幸運(yùn)的是，市場(chǎng)上不僅有商業(yè)版的IDS，還有很多開(kāi)源IDS可供選擇，比如下面5款：

1. Snort

作為IDS事實(shí)上的業(yè)界標(biāo)準(zhǔn)，Snort是個(gè)非常有價(jià)值的工具。該Linux實(shí)用工具很便于部署，且可配置多種功能，比如監(jiān)視網(wǎng)絡(luò)流量找尋入侵嘗試，記錄入侵日志，以及在檢測(cè)到入侵嘗試時(shí)采取特定動(dòng)作。這是一款被廣泛部署的IDS工具，且可作為入侵防御系統(tǒng)(IPS)使用。

Snort的歷史可追溯至1998年，且歷久彌新，有活躍的社區(qū)在提供有力支持。雖然既沒(méi)有圖形用戶界面(GUI)，也缺乏管理控制面板，但你可以利用其他開(kāi)源工具來(lái)補(bǔ)足這個(gè)缺陷，比如Snorby或Base。Snort的高度定制性為各種類型的公司企業(yè)和組織提供了很多選擇。

如果出于某種原因你不想用Snort，那Suricata也是個(gè)不錯(cuò)的選項(xiàng)。

2. Bro

Bro擁有可將流量轉(zhuǎn)化為一系列事件的分析引擎，能夠檢測(cè)可疑特征碼和異常。用戶還可利用Bro-Script編寫(xiě)策略引擎任務(wù)，自動(dòng)化執(zhí)行更多工作。比如說(shuō)，該工具可以自動(dòng)化下載檢測(cè)到的可疑文件，將之發(fā)去分析，在發(fā)現(xiàn)異常情況時(shí)通知相關(guān)人員，并將可疑文件來(lái)源加入黑名單，關(guān)停下載了該文件的設(shè)備。

Bro的缺點(diǎn)在于其陡峭的學(xué)習(xí)曲線和復(fù)雜的設(shè)置，用戶想要發(fā)揮出它的最大價(jià)值需經(jīng)歷相對(duì)痛苦的摸索階段。不過(guò)，Bro社區(qū)還在發(fā)展壯大，日益提供更多的幫助，而且Bro能夠檢測(cè)到其他入侵檢測(cè)工具可能漏掉的異常和模式。

3. Kismet

Kismet可謂無(wú)線IDS的標(biāo)準(zhǔn)，是大多數(shù)公司的基本工具。該工具專注無(wú)線協(xié)議，包括WiFi和藍(lán)牙，能夠追蹤員工很容易意外創(chuàng)建的未授權(quán)接入點(diǎn)。Kismet能檢測(cè)默認(rèn)網(wǎng)絡(luò)或配置漏洞，還可以跳頻，但其搜索網(wǎng)絡(luò)的耗時(shí)有點(diǎn)長(zhǎng)，能獲得最佳結(jié)果的范圍也有限。

Kismet可應(yīng)用在安卓和iOS平臺(tái)上，但對(duì)Windows支持不足。它有多種API可供集成其他工具，且可為高工作負(fù)載提供多線程包解碼功能。最近還推出了全新的Web用戶界面，附帶擴(kuò)展插件支持。

4. OSSEC

在基于主機(jī)的IDS(HIDS)領(lǐng)域，OSSEC是目前功能最全的選擇。OSSEC擴(kuò)展性強(qiáng)，且支持絕大部分操作系統(tǒng)，包括Windows、Linux、Mac OS、Solaris等。其客戶端/服務(wù)器架構(gòu)會(huì)向中心服務(wù)器發(fā)送警報(bào)和日志以供分析。這意味著即便主機(jī)系統(tǒng)掉線或被黑客入侵，警報(bào)也能發(fā)出。該架構(gòu)還減輕了工具部署的工作量，因?yàn)榭梢约泄芾矶鄠€(gè)代理。

OSSEC安裝很小，運(yùn)行時(shí)對(duì)系統(tǒng)資源幾乎沒(méi)有影響。該工具定制化程度很高，可被配置成實(shí)時(shí)自動(dòng)化操作模式。OSSEC社區(qū)很強(qiáng)大，有很多資源可以利用。

如果對(duì)中心服務(wù)器有所顧慮，還可以考慮 Samhain Labs ，這款工具也是基于主機(jī)的，但提供多種輸出方式。

5. Open DLP

數(shù)據(jù)防泄漏(DLP)就是該款工具的主要目的。該攻擊可以全面掃描數(shù)據(jù)，無(wú)論數(shù)據(jù)是存在數(shù)據(jù)庫(kù)中還是存放在文件系統(tǒng)里。 Open DLP 會(huì)搜索與公司相關(guān)的敏感數(shù)據(jù)以發(fā)現(xiàn)數(shù)據(jù)的未授權(quán)復(fù)制和傳輸。這對(duì)防御惡意內(nèi)部人或粗心大意的員工往外部發(fā)送數(shù)據(jù)很有用。該工具在Windows系統(tǒng)上運(yùn)行良好，也支持Linux，且可通過(guò)代理部署，或作為無(wú)代理工具使用。

底線

如您所見(jiàn)，有很多很好的免費(fèi)開(kāi)源IDS可供選擇，上面列出的還只是其中很少的一部分，不過(guò)，這5款工具是個(gè)不錯(cuò)的開(kāi)端。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文