一.前言
入侵检测系统(IDS)是用于检测服务器安全的防护系统,通常可分为基于主机(host-based)和基于网络(network-based)两大类。基于主机的入侵检测系统,顾名思义,需要在被监控的服务器上安装agent客户端,agent通过分析本地的日志、端口、进程等信息发现安全漏洞,然后将分析结果通过到中央数据库,该类型的入侵检测系统比较适合大量的服务器监控。而基于网络的入侵检测系统,则主要通过旁路的方式,对流量进行采样分析,从而发现其中的异常,由于一般机房的流量很大,所以很难进行全镜像流量分析,一般都是进行采样分析,导致很难发现其中APT攻击。本系列文章主要介绍一个开源的基于主机的入侵检测系统OSSEC。
此文原出自【爱运维社区】: http://www.easysb.cn
二.OSSEC简介
OSSEC是一个开源的入侵检测系统,支持Linux, MacOS, Solaris, HP-UX, AIX, Windows等大部分的操作系统上,可用于日志分析,文件完整性检查,策略监控,rootkit检测,实时警报和响应。目前,该开源项目主要是由 趋势科技 来支撑,具体详细的说明请参考官方主页。
OSSEC官方主页:
入侵检测系统(IDS)是用于检测服务器安全的防护系统,通常可分为基于主机(host-based)和基于网络(network-based)两大类。基于主机的入侵检测系统,顾名思义,需要在被监控的服务器上安装agent客户端,agent通过分析本地的日志、端口、进程等信息发现安全漏洞,然后将分析结果通过到中央数据库,该类型的入侵检测系统比较适合大量的服务器监控。而基于网络的入侵检测系统,则主要通过旁路的方式,对流量进行采样分析,从而发现其中的异常,由于一般机房的流量很大,所以很难进行全镜像流量分析,一般都是进行采样分析,导致很难发现其中APT攻击。本系列文章主要介绍一个开源的基于主机的入侵检测系统OSSEC。
此文原出自【爱运维社区】: http://www.easysb.cn
二.OSSEC简介
OSSEC是一个开源的入侵检测系统,支持Linux, MacOS, Solaris, HP-UX, AIX, Windows等大部分的操作系统上,可用于日志分析,文件完整性检查,策略监控,rootkit检测,实时警报和响应。目前,该开源项目主要是由 趋势科技 来支撑,具体详细的说明请参考官方主页。
OSSEC官方主页: