入侵检测系统可以分为两种类型:网络入侵检测系统(Network IDS,NIDS)和主机入侵检测系统(Host IDS,HIDS)。NIDS监测网络流量,而HIDS监测主机上的系统活动。本文将分享在开源社区比较火热,以及各大安全公司都在使用的开源网络入侵检测系统,同时本人也曾在工作中使用和学习过suricata、snort、zeek/bro、OSSEC、security Onion这些软件工具,以及做过一些安全分析和源码阅读,下一篇将分享关于主机上的开源入侵检测系统。后面将详细介绍如何在实际的项目实战中使用这些工具,以及通过源码的分析来理解里面的原理。
入侵检测系统是什么
入侵检测系统(Intrusion Detection System,IDS)是一种安全工具,用于监测计算机网络和系统中的异常活动和攻击行为。IDS可以分为两种类型:网络入侵检测系统(Network IDS,NIDS)和主机入侵检测系统(Host IDS,HIDS)。NIDS监测网络流量,而HIDS监测主机上的系统活动。
入侵检测系统的作用
入侵检测系统的作用是帮助安全团队及时发现和响应网络和系统中的安全事件,包括恶意软件、攻击者入侵、数据泄露等。IDS可以检测网络和系统中的异常活动,例如端口扫描、恶意软件传播、暴力破解等,以便及时采取措施来保护组织的安全。
入侵检测系统的原理
入侵检测系统的原理是通过监测网络流量或主机上的系统活动,来检测是否存在异常活动和攻击行为。IDS使用一系列的规则和算法,来分析网络流量和系统活动,以便及时发现和响应安全事件。
以下即为比较有用的开源网络入侵检测系统:
1、Suricata
Suricata(NIDS)是开源信息安全基金会(Open Information Security Foundation)开发的一个开源,快速,高度稳定、高性能的网络入侵检测系统。Suricata引擎可以用于监测网络流量,检测恶意活动,能够实时入侵检测,内联入侵防御和网络安全监控。Suricata由几个模块组成,如捕捉,采集,解码,检测和输出。它捕获在解码之前在一个流中传递的流量,这是非常优化的。但是与Snort不同的是,它在捕获并指定流程将如何在处理器之间分离之后配置单独的流程。
Suricata基于规则和签名,可以检测各种网络攻击,包括端口扫描、漏洞利用、恶意软件传播等。Suricata还支持自定义规则和脚本,以满足特定的安全需求。
Suricata还支持IP黑名单和白名单,以便过滤不需要检测的流量。
Suricata的原理是通过监测网络流量,使用规则和签名来检测恶意活动。Suricata使用多线程和可扩展的架构,可以处理高速网络流量。
优点
-
在OSI模型的第七层进行网络流量处理,从而增强了检测恶意软件活动的能力。
-
自动检测和分析IP,TCP,UDP,ICMP,HTTP,TLS,FTP,SMB和FTP等协议,以便适用于所有协议。
-
高性能,高级功能包括多线程、GPU加速、和可扩展的架构。
-
支持自定义规则和脚本,灵活性高。
-
支持IP黑名单和白名单,过滤不需要检测的流量。
缺点
-
操作复杂(配置和使用),需要更多的系统资源才能完成功能,需要一定的技术水平;
-
对CPU和内存资源的消耗较大。
官方网站:https://suricata.io/
github地址:https://github.com/OISF/suricata
2、Snort
Snort(NIDS)是一个免费的开源网络入侵检测和预防工具(防火墙系统)。它是由Martin Roesch于1998年创建的,使用Snort的主要优点是能够在网络上执行实时流量分析和数据包记录,用于监测网络流量,检测恶意活动。凭借协议分析,内容搜索和各种预处理器的功能,Snort被广泛接受为检测各种蠕虫,攻击,隐形端口扫描、缓冲区溢出、CGI攻击、SMB探测、操作系统指纹尝试,以及其他恶意威胁检测的工具。它受到许多硬件平台和操作系统的支持,如Linux,OpenBSD,FreeBSD,Solaris,HP-UX ,MacOS,Windows等。
它可以配置三种主要模式 - 嗅探器,数据包记录器和网络入侵检测。在嗅探器模式下,程序将只读取数据包并在控制台上显示信息。在数据包记录器模式下,数据包将被记录在磁盘上。在入侵检测模式下,程序将监控实时流量并将其与用户定义的规则进行比较。
Snort基于规则和签名,可以检测各种网络攻击,包括端口扫描、漏洞利用、恶意软件传播等。Snort还支持自定义规则和脚本,以满足特定的安全需求。
Snort的原理是通过监测网络流量,使用规则和签名来检测恶意活动。Snort使用多线程和可扩展的架构,可以处理高速网络流量。Snort还支持IP黑名单和白名单,以便过滤不需要检测的流量。
优点
-
在部署方面具有高度灵活性和动态性。
-
良好的社区支持解决问题,正在快速发展。
-
成熟稳定,广泛应用。
-
支持自定义规则和脚本,灵活性高,易于编写入侵检测规则。
-
支持IP黑名单和白名单,过滤不需要检测的流量。
缺点
-
处理网络数据包有点慢。
-
无法检测到分割多个TCP数据包的签名,这是在以串联模式配置数据包时发生的。
-
对CPU和内存资源的消耗较大。
官方网站:www.snort.org
github地址:https://github.com/snort3/snort3
Snort 3是下一代Snort IPS(入侵防御系统)
3、Zeek/Bro
Zeek(原名Bro)是由Vern Paxson开发的一种被动的,开源的网络流量监测工具,可以用于监测网络流量,并生成详细的日志和报告。Zeek可以分析网络流量,检测恶意活动,例如网络扫描、漏洞利用等。Zeek包含一组日志文件,用于记录网络活动,如HTTP会话,包括URI,密钥标头,MIME类型,服务器响应,DNS请求,SSL证书,SMTP会话等。此外,它提供了复杂的功能,用于分析和检测威胁,从HTTP会话中提取文件,复杂的恶意软件检测,软件漏洞,SSH暴力攻击和验证SSL证书链。Zeek还支持自定义脚本,以满足特定的安全需求。
Zeek的原理是通过监测网络流量,分析网络活动,检测恶意行为。Zeek使用自定义脚本和插件,可以扩展其功能。Zeek还可以生成详细的日志和报告,以便安全团队及时发现和响应安全事件。
Zeek****分为两层
-
Bro事件引擎:当网络上发生异常时,它执行使用C ++分析实时或记录的网络流量包的事件。
-
Bro策略脚本:这些策略分析事件以创建操作策略,使用策略脚本处理事件,例如发送电子邮件,发出警报,执行系统命令,甚至调用紧急号码。
安全工具zeek和bro的区别
Zeek(原名Bro)和Bro是同一个工具,只是在2018年更名为Zeek。Zeek是一种网络安全监测工具,可以用于监测网络流量,并生成详细的日志和报告。Zeek可以分析网络流量,检测恶意活动,例如网络扫描、漏洞利用等。
Bro是一个开源的网络安全监测工具,可以用于监测网络流量,分析网络活动,检测恶意行为。Bro可以生成详细的日志和报告,以便安全团队及时发现和响应安全事件。
优点
-
支持自定义脚本和插件,灵活性高,使用脚本语言来允许用户为每个受保护的对象设置监视规则。
-
在拥有大量流量的网络中高效工作,并处理大型网络项目。
-
能够深入分析流量,并支持多种协议的分析仪。
-
可以生成详细的日志和报告,便于安全团队分析。
-
对CPU和内存资源的消耗较小。
缺点
-
对高速网络流量的处理能力较弱。
-
对于一些高级攻击行为的检测能力有限。
官方网站:www.zeek.org
github地址:https://github.com/zeek/zeek
4、Security Onion
Security Onion是入侵检测,一种基于Ubuntu Linux的网络安全监测平台,网络安全监控和日志管理的Linux发行版。开源发行版基于Ubuntu,集成了多种开源安全工具,包含许多IDS工具,如Snort,Suricata,Bro,Zeek,Sguil,Squert,Snorby,ELSA,Xplico,NetworkMiner等等。Security Onion为网络流量,警报和可疑活动提供了高可见性和环境。但是这需要系统管理员进行适当的管理来检查警报,监视网络活动并定期更新基于IDS的检测规则。
Security Onion可以用于监测网络流量、检测恶意活动、分析安全事件等。Security Onion还支持实时报警和警告通知,以便安全团队及时发现和响应安全事件。
Security Onion的原理是通过监测网络流量,使用多种开源安全工具来检测恶意活动。Security Onion使用客户端-服务器架构,可以监测多个主机,并将报警信息发送到中央服务器。Security Onion还支持自定义规则和脚本,以满足特定的安全需求。
核心功能
-
完整的数据包捕获。
-
基于网络和主机的入侵检测系统。
-
强大的分析工具。
-
完整的数据包捕获:这是通过使用netsnifff-ng完成的,捕获Security Onion可以看到的所有网络流量,并且可以像存储解决方案一样存储。它就像一个网络实时摄像机,提供了网络上发生的威胁和恶意活动的所有证据。
-
基于网络和基于主机的IDS:分析网络或主机系统,并为检测到的事件和活动提供日志和警报数据。Security Onion拥有多种IDS选项,如规则驱动的IDS,分析驱动的IDS,HIDS等。
-
分析工具:除了网络数据捕获外,Security Onion还包括Sguil,Squert,ELSA等各种工具,用于协助管理员进行分析。
优点
-
为用户提供一个高度灵活的环境,以根据需要调整网络安全。
-
集成了多种开源安全工具,功能强大,由预先安装的传感器管理工具,流量分析仪和数据包嗅探器组成,无需额外的IDS / IPS软件即可运行。
-
支持实时报警和警告通知,及时发现和响应安全事件;
-
支持自定义规则和脚本,灵活性高。
缺点
-
安装后不能作为IPS使用,而只能作为IDS使用。
-
管理员需要学习各种工具来有效使用Security Onion发行版。
-
配置文件除规则以外不能自动备份。
-
配置和使用较为复杂,需要一定的技术水平。
官方网站:https://securityonion.net/
github地址:https://github.com/Security-Onion-Solutions/securityonion
总之,Suricata、Snort和Zeek都是网络安全监测工具,可以用于监测网络流量,检测恶意活动。它们的原理都是通过监测网络流量,使用规则和签名来检测恶意活动。它们都支持自定义规则和脚本,以满足特定的安全需求。它们的优缺点也各有不同,需要根据具体的使用场景和需求来选择合适的工具。
网络信息安全专栏:
https://blog.csdn.net/zhouruifu2015/category_5828567
网络安全学习资源分享:
最后给大家分享我自己学习的一份全套的网络安全学习资料,希望对想学习 网络安全的小伙伴们有帮助!
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套200G学习资源包免费分享!
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取技术文档】
(都打包成一块的了,不能一一展开,总共300多集)
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取书籍】
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
扫一扫
982
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
