一.前言
入侵檢測系統(ids)是用於檢測伺服器安全的防護系統,通常可分為基於主機(host-based)和基於網路(network-based)兩大類。基於主機的入侵檢測系統,顧名思義,需要在被監控的伺服器上安裝agent客戶端,agent通過分析本地的日誌、埠、程序等資訊發現安全漏洞,然後將分析結果通過到**資料庫,該型別的入侵檢測系統比較適合大量的伺服器監控。而基於網路的入侵檢測系統,則主要通過旁路的方式,對流量進行取樣分析,從而發現其中的異常,由於一般機房的流量很大,所以很難進行全映象流量分析,一般都是進行取樣分析,導致很難發現其中apt攻擊。本系列文章主要介紹乙個開源的基於主機的入侵檢測系統ossec。
此文原出自【愛運維社群】:
二.ossec簡介
ossec是乙個開源的入侵檢測系統,支援linux, macos, solaris, hp-ux, aix, windows等大部分的作業系統上,可用於日誌分析,檔案完整性檢查,策略監控,rootkit檢測,實時警報和響應。目前,該開源專案主要是由 趨勢科技 來支撐,具體詳細的說明請參考官方主頁。
ossec官方主頁:
2.1 ossec特性
ossec是乙個集合了基於主機型入侵檢測,日誌監控和sim/siem等功能的平台,可有效監控系統,它主要有下面幾個特性。
使用者可用來實現檢測出未授權的檔案修改,並及時發出警報;監控日誌檔案,發現可疑的日誌記錄;實現檔案完整性監控;策略檢測和加強等。
支援大部分的系統平台,比如linux, solaris, aix, hpux, bsd, winodws, mac 和 vmware esx。
使用者可以根據實際需要,自定義配置規則和響應措施。對於檢測出的警報可以通過郵件,簡訊和syslog的方式推送,及時通知管理員,同時還可以自動執行相應響應(response)。
ossec可以和其他的sim/sem安全產品相相容。
ossec提供了一種集中式的伺服器管理方法,可以管理不同平台的系統,使用者可以通過控制中心的server端直接分發配置檔案。
ossec有兩種部署方式:有**(agent)和無**(agentless)兩種。一般來說,推薦使用有**的部署方式,即server/agent的部署方式。
ossec主要有以下四個方面的功能特性:
1. 檔案完整性檢查
入侵者在入侵計算機之後,通常會修改或者上傳一些檔案作為伺服器的後門,比如上傳webshell等。而檔案完整性檢查的目的就是用來發現這些變化,然後再通知管理員。當然,這些變化,不一定是修改檔案,也有可能是目錄,登錄檔等。
2. 日誌監控
為有效監控系統和應用程式的運**況,ossec還支援對日誌檔案的監控,包括自己寫的應用程式所產生的日誌(這時可能需要自己來編寫日誌的編碼器),監控伺服器上正在發生什麼,可通過配置具體的規則和響應來決定發生意外時該採取哪些響應。
3. rootkit檢測
檢測入侵者在伺服器上安裝的惡意rootkit,消除安裝在伺服器上的後門。
4. 規則及響應
ossec採用靈活的rule/active response機制,允許使用者對系統發生的特定情況採取何種響應措施。
><
>
此文原出自【愛運維社群】:
開源入侵檢測系統 Snort
snort是乙個基於 libpcap的輕量級網路入侵檢測系統,它執行在乙個 感測器 sensor 主機上,監聽網路資料。snort能夠把網路資料和規則集進行模式匹配,從而檢測可能的入侵企圖 或者使用spade statistical packet anomaly detection engine 外...
入侵檢測系統
網路入侵概念 入侵檢測 通過計算機網路或計算機系統的關鍵點收集資訊並進行分析,從中發現網路或系統中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測系統 ids 入侵檢測是軟體與硬體的組合,是防火牆的合理補充,是防火牆之後的第二道安全閘門。檢測的內容 試圖闖入,成功闖入,冒充其他使用者,違反安全策略,...
入侵檢測之基於主機入侵檢測系統
一般主要使用 作業系統的審計 跟蹤日誌 作為資料來源,某些也會主動與主機系統進行互動以 獲得不存在於系統日誌中的資訊 以檢測入侵。這種型別的檢測系統不需要額外的硬體 對網路流量不敏感,效率高,能準確定位入侵並及時進行反應,但是占用主機資源,依賴於主機的可靠性,所能檢測的攻擊型別受限。不能檢測網路攻擊...