2021 年最佳免費入侵檢測軟件

安全是一個熱門話題，並且已經有一段時間了。許多年前，病毒是系統管理員唯一關心的問題。病毒是如此普遍，以至於它引領了一系列令人震驚的病毒預防工具的誕生。如今，幾乎沒有人會想到運行未受保護的計算機。但是，計算機入侵或惡意用戶未經授權訪問您的數據是“日常威脅”。網絡已成為眾多惡意黑客的目標，他們會不遺餘力地訪問您的數據。防禦這些類型威脅的最佳方法是入侵檢測或預防系統。今天，我們正在回顧十種最好的免費入侵檢測工具。

在開始之前，我們將首先討論正在使用的不同入侵檢測方法。就像入侵者可以通過多種方式進入您的網絡一樣，檢測他們的方式也有很多——也許甚至更多。然後，我們將討論入侵檢測系統的兩大類：網絡入侵檢測和主機入侵檢測。在我們繼續之前，我們將解釋入侵檢測和入侵預防之間的區別。最後，我們將簡要回顧我們能找到的十種最好的免費入侵檢測工具。

入侵檢測方法

基本上有兩種不同的方法用於檢測入侵企圖。它可以是基於簽名的或基於異常的。讓我們看看它們有何不同。基於簽名的入侵檢測通過分析與入侵嘗試相關的特定模式的數據來工作。它有點像依賴病毒定義的傳統防病毒系統。這些系統將數據與入侵簽名模式進行比較以識別嘗試。它們的主要缺點是在將正確的簽名上傳到軟件之前它們無法工作，這通常發生在一定數量的機器受到攻擊之後。

基於異常的入侵檢測可以更好地防止零日攻擊，這些攻擊發生在任何入侵檢測軟件有機會獲取正確的簽名文件之前。它們不會嘗試識別已知的入侵模式，而是會尋找異常情況。例如，他們會檢測到有人多次嘗試使用錯誤密碼訪問系統，這是暴力攻擊的常見跡象。您可能已經猜到了，每種檢測方法都有其優點。這就是為什麼最好的工具通常會結合使用兩者來獲得最佳保護。

兩種類型的入侵檢測系統

就像有不同的檢測方法一樣，入侵檢測系統也有兩種主要類型。它們的主要區別在於執行入侵檢測的位置，無論是在主機級別還是在網絡級別。同樣，每種方法都有其優點，最好的解決方案——或者最安全的——可能是同時使用兩者。

主機入侵檢測系統 (HIDS)

第一種入侵檢測系統在主機級別運行。例如，它可以檢查各種日誌文件是否有任何可疑活動的跡象。它也可以通過檢查重要的配置文件是否有未經授權的更改來工作。這就是基於異常的 HIDS 會做的事情。另一方面，基於簽名的系統會查看相同的日誌和配置文件，但會尋找特定的已知入侵模式。例如，通過將某個字符串添加到基於簽名的 IDS 將檢測到的特定配置文件，可以知道特定的入侵方法起作用。

正如您想像的那樣，HIDS 直接安裝在它們要保護的設備上，因此您需要在所有計算機上安裝它們。但是，大多數係統都有一個中央控制台，您可以在其中控制應用程序的每個實例。

網絡入侵檢測系統 (NIDS)

網絡入侵檢測系統或 NIDS，在您的網絡邊界工作以執行檢測。它們使用與主機入侵檢測系統類似的方法。當然，它們不是查看日誌和配置文件，而是查看網絡流量，例如連接請求。已知一些入侵方法通過向主機發送故意畸形的數據包來利用漏洞，使它們以特定方式做出反應。網絡入侵檢測系統可以輕鬆檢測到這些。

有些人會爭辯說 NIDS 比 HIDS 更好，因為它們甚至在攻擊到達您的計算機之前就檢測到它們。它們也更好，因為它們不需要在每台計算機上安裝任何東西來有效保護它們。另一方面，它們幾乎沒有提供針對內部攻擊的保護，不幸的是，這種攻擊並不少見。這是另一種情況，其中最好的保護來自使用兩種類型工具的組合。

入侵檢測與預防

入侵防護領域有兩種不同類型的工具：入侵檢測系統和入侵防禦系統。儘管它們用於不同的目的，但這兩種類型的工具之間通常存在一些重疊。顧名思義，入侵檢測一般會檢測入侵企圖和可疑活動。當它發生時，它通常會觸發某種警報或通知。然後由管理員採取必要的步驟來停止或阻止此嘗試。

另一方面，入侵防禦系統致力於完全阻止入侵的發生。大多數入侵防禦系統將包括一個檢測組件，只要檢測到入侵企圖，該組件就會觸發某些操作。但入侵防御也可以是被動的。該術語可用於指為防止入侵而採取的任何步驟。例如，我們可以考慮密碼強化等措施。

最好的免費入侵檢測工具

入侵檢測系統可能很昂貴，非常昂貴。幸運的是，有很多免費的替代品可供使用。我們在 Internet 上搜索了一些最好的入侵檢測軟件工具。我們找到了很多，我們將簡要回顧我們能找到的最好的十個。

1. OSSEC

OSSEC代表 Open Source Security，是迄今為止領先的開源主機入侵檢測系統。OSSEC 歸趨勢科技所有，趨勢科技是 IT 安全領域的領先品牌之一。該軟件安裝在類 Unix 操作系統上時，主要關注日誌和配置文件。它會創建重要文件的校驗和並定期驗證它們，並在發生異常情況時提醒您。它還將監視和捕獲任何奇怪的獲取 root 訪問權限的嘗試。在 Windows 上，系統還會留意未經授權的註冊表修改。

OSSEC，作為主機入侵檢測系統，需要安裝在您要保護的每台計算機上。然而，它會將來自每台受保護計算機的信息整合到一個控制台中，以便於管理。該軟件僅在類 Unix 系統上運行，但可以使用代理來保護 Windows 主機。當系統檢測到某事時，控制台上會顯示警報並通過電子郵件發送通知。

2.打鼾

就像 OSSEC 是頂級開源 HIDS 一樣，Snort是領先的開源 NIDS。Snort 實際上不僅僅是一個入侵檢測工具。它也是一個數據包嗅探器和一個數據包記錄器。但是我們現在感興趣的是 Snort 的入侵檢測功能。有點像防火牆，Snort 是使用規則配置的。基本規則可以從 Snort 網站下載並根據您的特定需求進行定制。您還可以訂閱 Snort 規則，以確保您始終獲得最新的規則，因為它們會隨著新威脅的識別而發展。

基本的 Snort 規則可以檢測各種事件，例如隱形端口掃描、緩衝區溢出攻擊、CGI 攻擊、SMB 探測和操作系統指紋。您的 Snort 安裝檢測到的內容完全取決於您安裝的規則。提供的一些基本規則是基於簽名的，而另一些則是基於異常的。使用 Snort 可以讓您兩全其美

3.蘇里卡塔

Suricata 將自己標榜為入侵檢測和預防系統以及完整的網絡安全監控生態系統。該工具相對於 Snort 的最大優勢之一是它可以一直工作到應用程序層。這讓該工具能夠檢測到通過拆分為多個數據包而在其他工具中可能未被注意到的威脅。

但 Suricata 不僅僅適用於應用層。它還將監視較低級別的協議，例如 TLS、ICMP、TCP 和 UDP。該工具還了解 HTTP、FTP 或 SMB 等協議，並可以檢測隱藏在其他正常請求中的入侵嘗試。還有一個文件提取功能，允許管理員自己檢查可疑文件。

在架構方面，Suricata 製作精良，它將工作負載分佈在多個處理器內核和線程上以獲得最佳性能。它甚至可以將部分處理任務卸載到顯卡上。這是服務器上的一個很棒的功能，因為它們的顯卡大多處於空閒狀態。

4. Bro網絡安全監視器

我們列表中的下一個產品是Bro Network Security Monitor，這是另一個免費的網絡入侵檢測系統。Bro 分兩個階段運行：流量記錄和分析。與 Suricata 一樣，Bro 在應用層運行，可以更好地檢測分裂入侵企圖。似乎所有東西都與 Bro 成對出現，它的分析模塊由兩個元素組成。第一個是事件引擎，它跟踪觸發事件，例如網絡 TCP 連接或 HTTP 請求。然後通過策略腳本進一步分析事件，這些腳本決定是否觸發警報並啟動操作，使 Bro 成為檢測系統之外的入侵防禦。

Bro 將讓您跟踪 HTTP、DNS 和 FTP 活動以及監控 SNMP 流量。這是一件好事，因為雖然 SNMP 經常用於網絡監控，但它並不是一個安全的協議。Bro 還允許您查看設備配置更改和 SNMP 陷阱。Bro 可以安裝在 Unix、Linux 和 OS X 上，但它不適用於 Windows，這可能是它的主要缺點。

5. 打開 WIPS NG

Open WIPS NG之所以出現在我們的列表中，主要是因為它是唯一一款專門針對無線網絡的產品。Open WIPS NG（WIPS 代表無線入侵防禦系統）是一種開源工具，它包含三個主要組件。首先，傳感器是一個啞設備，它只捕獲無線流量並將其發送到服務器進行分析。接下來是服務器。這個集合來自所有傳感器的數據，分析收集到的數據並響應攻擊。它是系統的核心。最後但並非最不重要的是界面組件，它是用於管理服務器和顯示有關無線網絡威脅信息的 GUI。

不過，並非所有人都喜歡 Open WIPS NG。該產品與 Aircrack NG 來自同一開發商，是無線數據包嗅探器和密碼破解器，是每個 WiFi 黑客工具包的一部分。另一方面，考慮到他的背景，我們可以假設開發人員對 Wi-Fi 安全性了解很多。

6. 薩溫

Samhain是一個免費的主機入侵檢測系統，提供文件完整性檢查和日誌文件監控/分析。此外，該產品還執行 rootkit 檢測、端口監控、流氓 SUID 可執行文件檢測和隱藏進程。該工具旨在通過集中日誌記錄和維護來監控具有各種操作系統的多個系統。但是，Samhain 也可以用作單台計算機上的獨立應用程序。Samhain 可以在 Unix Linux 或 OS X 等 POSIX 系統上運行。它也可以在 Cygwin 下的 Windows 上運行，儘管在該配置中只測試了監控代理而不是服務器。

Samhain 最獨特的功能之一是它的隱身模式，它允許它在不被最終攻擊者發現的情況下運行。入侵者經常殺死他們識別的檢測進程，使他們不被注意。Samhain 使用隱寫術來向他人隱藏其進程。它還使用 PGP 密鑰保護其中央日誌文件和配置備份，以防止篡改。

7. 的fail2ban

Fail2Ban是一個有趣的免費主機入侵檢測系統，它也有一些預防功能。該工具通過監控日誌文件中的可疑事件（例如登錄嘗試失敗、漏洞搜索等）來運行。當它檢測到可疑事件時，它會自動更新本地防火牆規則以阻止惡意行為的源 IP 地址。這是該工具的默認操作，但可以配置任何其他任意操作（例如發送電子郵件通知）。

該系統為一些最常見的服務（例如 Apache、Courrier、SSH、FTP、Postfix 等）提供了各種預構建的過濾器。通過修改主機的防火牆表來執行預防。該工具可以與 Netfilter、IPtables 或 TCP Wrapper 的 hosts.deny 表一起使用。每個過濾器都可以與一個或多個操作相關聯。過濾器和動作一起被稱為監獄。

8.助手

AIDE是高級入侵檢測環境的首字母縮寫詞。免費主機入侵檢測系統主要側重於rootkit檢測和文件簽名比較。當您最初安裝 AIDE 時，它會從系統的配置文件中編譯管理數據的數據庫。然後將其用作基線，任何更改都可以與該基線進行比較，並在需要時最終回滾。

AIDE 同時使用基於簽名和基於異常的分析，按需運行而不是計劃或連續運行，這實際上是該產品的主要缺點。但是，AIDE 是一個命令行工具，可以創建一個 CRON 作業來定期運行它。如果您非常頻繁地運行它——例如每分鐘左右——您將獲得準實時數據。從本質上講，AIDE 只不過是一個數據比較工具。必須創建外部腳本才能使其成為真正的 HIDS。

9. 安全洋蔥

Security Onion是一種有趣的野獸，可以為您節省大量時間。這不僅僅是一個入侵檢測或預防系統。Security Onion 是一個完整的 Linux 發行版，專注於入侵檢測、企業安全監控和日誌管理。它包括許多工具，我們剛剛回顧了其中的一些工具。例如，Security Onion 有 Elasticsearch、Logstash、Kibana、Snort、Suricata、Bro、OSSEC、Sguil、Squet、NetworkMiner 等。所有這些都與一個易於使用的設置嚮導捆綁在一起，讓您可以在幾分鐘內保護您的組織。您可以將 Security Onion 視為企業 IT 安全的瑞士軍刀。

該工具最有趣的地方在於，您只需一次安裝即可獲得所有內容。您可以獲得網絡和主機入侵檢測工具。有些工具使用基於簽名的方法，有些工具使用基於異常的方法。該發行版還具有基於文本和 GUI 工具的組合。一切都非常完美。當然，缺點是你得到的太多以至於配置它可能需要一段時間。但您不必使用所有工具。您只能選擇您喜歡的那些。

10.薩根

Sagan實際上更像是一個日誌分析系統，而不是一個真正的 IDS，但它有一些類似 IDS 的功能，我們認為這些功能值得列入我們的列表。該工具可以查看安裝它的系統的本地日誌，但它也可以與其他工具交互。例如，它可以分析 Snort 的日誌，有效地向本質上是 HIDS 的東西添加一些 NIDS 功能。它不僅僅與 Snort 交互。它也可以與 Suricata 交互，並且兼容多種規則構建工具，如 Oinkmaster 或 Pulled Pork。