Top1: Wazuh

Github: https://github.com/wazuh/wazuh

系統(tǒng)特點:

• 集成文件完整性監(jiān)控(FIM)、日志分析、Rootkit檢測。
• 強大的規(guī)則引擎+主動響應(yīng)。
• Web界面+ElasticStack支持。
• 具備Kubernetes感知能力并支持容器運行時事件。
• 內(nèi)置PCI/GDPR/HIPAA策略檢查。

使用場景：需要具備審計準備能力的合規(guī)工具和可擴展的企業(yè)級部署方案。

Top2：Elkeid

Github:https://github.com/bytedance/Elkeid

系統(tǒng)特點:

• 由字節(jié)跳動構(gòu)建，用于大規(guī)模 eBPF 主機探測。
• 基于 Kafka 的檢測管道。
• 基于插件的規(guī)則引擎,使用Go/lua。
• 基于容器原生架構(gòu), 具備eBPF與netlink的可觀測能力。
• 在現(xiàn)代Linux內(nèi)核上具有極高性能。

使用場景：需要針對容器化工作負載和分布式基礎(chǔ)設(shè)施的云規(guī)模主機入侵檢測系統(tǒng)（HIDS）。

Top3：Falco

Github: https://github.com/falcosecurity/falco

系統(tǒng)特點:

• CNCF沙箱項目。
• 通過 eBPF 實現(xiàn)實時系統(tǒng)調(diào)用監(jiān)控。
• 內(nèi)置針對 Kubernetes 特有威脅的規(guī)則（例如：容器內(nèi)開啟 shell、二進制被修改）。
• 輕量且高效，可導(dǎo)出數(shù)據(jù)至 Prometheus 或 SIEM 系統(tǒng)。
• 支持 CRI-O、containerd 插件及 Pod 安全策略。

使用場景:需要一個快速、原生支持容器環(huán)境的運行時檢測引擎。

Top4：OSSEC

Github:https://github.com/ossec/ossec-hids

系統(tǒng)特點:

• 基于日志的檢測，支持較完善的文件完整性監(jiān)控（FIM）。
• 支持 Syslog 集成，可自定義調(diào)整規(guī)則。
• 穩(wěn)定可靠，適用于傳統(tǒng)環(huán)境。
• 占用資源極低。

使用場景：需要在傳統(tǒng)、靜態(tài)或資源受限系統(tǒng)中部署一個輕量級的主機入侵檢測系統(tǒng)（HIDS）。

Top5: Audit + AIDE

• Github(Audit):https://github.com/linux-audit/audit-userspace
• Github(AIDE): https://github.com/aide/aide

系統(tǒng)特點:

• 極其輕量級。
• 適用于加固系統(tǒng)和資源受限設(shè)備。
• 被廣泛應(yīng)用于高安全等級環(huán)境（如 NSA/CIS 基準）

使用場景：希望對監(jiān)控內(nèi)容、日志記錄方式以及后續(xù)處理流程擁有完全控制權(quán)。