有哪些常见的入侵检测工具？[关闭]

请简要介绍每种工具。

鼻息

从他们的关于页面：

Snort最初由Sourcefire创始人和CTO Martin Roesch于1998年发布，是一个免费的开源网络入侵检测和防御系统，能够在IP网络上执行实时流量分析和数据包记录。Snort最初被称为“轻量级”入侵检测技术，现已发展成为一种成熟的，功能丰富的IPS技术，已成为事实上的入侵检测和预防标准。它拥有近400万的下载量和约30万的注册用户Snort，是世界上部署最广泛的入侵防御技术。

您为什么不检查http://sectools.org/

绊线

是一个开放源代码（尽管有封闭源代码版本）完整性检查器，它使用哈希检测入侵者遗留下来的文件修改。

OpenBSD具有mtree（8）：http : //www.openbsd.org/cgi-bin/man.cgi? query=mtree 它检查给定目录层次结构中是否有文件更改。

Logcheck是一个简单的实用程序，旨在允许系统管理员查看在其控制下的主机上生成的日志文件。

在首先滤出“正常”条目之后，它通过将日志文件的摘要邮寄给它们来完成此操作。普通条目是与数据库中包含的许多正则表达式文件之一匹配的条目。

您应该将日志视为健康安全例程的一部分。它还将帮助捕获许多其他异常（硬件，身份验证，加载...）。

SSH服务器的DenyHosts。

对于NIDS而言，Suricata和Bro是鼻息的两个免费替代品。

这是一篇有趣的文章，讨论了这三个问题：http :
//blog.securitymonks.com/2010/08/26/three-little-idsips-engines-build-their-open-source-solutions/

不得不提到OSSEC，它是一个HIDS。

Second Look是一种商业产品，是在Linux系统上进行入侵检测的强大工具。它使用内存取证技术检查内核和所有正在运行的进程，并将它们与参考数据（来自分发供应商或授权的自定义/第三方软件）进行比较。使用这种完整性验证方法，它可以检测系统上运行的内核rootkit和后门程序，注入的线程和库以及其他Linux恶意软件，而无需签名或其他先验知识。

这是对其他答案中提到的工具/技术的补充方法（例如，使用Tripwire进行文件完整性检查；使用Snort，Bro或Suricata进行基于网络的入侵检测；日志分析等）。

免责声明：我是Second Look的开发人员。