您喜欢使用什么 FOSS 软件来构建入侵检测堆栈?

信息安全 身份证
2021-09-06 04:05:05

通常鼓励具有安全意识且预算有限的初创企业和组织部署入侵检测堆栈。鉴于预防总是会失败,入侵检测堆栈通常对于了解防御失败的原因至关重要。

我是以下覆盖应用层、系统层和网络层的入侵堆栈的粉丝:

系统: OSSEC
应用程序: ModSecurity
网络: FlowMatrix (我被骗了,这个不是 FOSS,但它是免费的!)

您最喜欢的入侵(FOSS 或免费)堆栈是什么?

3个回答

Snort 是一款优秀的 IDS,有着悠久的历史。我在我的组织中部署了十几个传感器,并且不断添加更多传感器。Snort 最大的缺点是当前版本是单线程的,尽管这将随着即将发布的版本 3 的发布而改变。结合新兴威胁规则,我对该产品印象深刻。

完整的平台包括:

所有日志记录都使用 RSA enVision 进行聚合,尽管 Splunk 应该可以很好地处理它。

Bro IDS http://www.bro-ids.org/由美国国家科学基金会的 Internet 战略技术计划、DOE、DEC 和其他研究小组资助。它有自己的事件驱动系统,还可以导入 Snort 规则以添加基于签名的检测。

其它你可能感兴趣的问题
上一篇这是如何围绕仅实现 CBC、CFB、CTS、ECB 和 OFB 的系统实现 CTR 的? 下一篇每个基于 Web 的 CMS 中应具备哪些安全功能?