现代开源NIDS/HIDS和控制台？

Question

几年前，我们在外部防火墙前面设置了一个IDS解决方案，将DS1上的所有流量通过IDS框传输，然后将结果发送到运行ACiD的日志服务器。这是2005年左右的事。我被要求对解决方案进行改进和扩展，然后环顾四周，我发现ACiD的上一次发布是在2003年，而我似乎找不到任何其他看起来甚至是最新的东西。虽然这些功能可能已经完成，但我担心库冲突，等等。有人能给我一些建议，使用一些现代的工具来解决Linux/OpenBSD的问题吗？

首先，我知道Snort还在积极开发中。我想我在市场上更多的是一个现代的开源网络控制台来整合数据。当然，如果人们对IDS的使用有很好的经验，而不是Snort，我很高兴听到这样的消息。

Answer 1

我认为最好的开源组合是：

对于NIDS:带有基础的Snort用于web ui

用于HIDS: OSSEC

我还使用OSSEC将NIDS数据合并到一个地方(就像SIEM进行日志分析、文件完整性检查和rootkit检测一样)。

链接：http://www.snort.org http://www.ossec.net http://base.secureideas.net/

Answer 2

您可以使用基于http://www.prelude-ids.com/的开放源代码和免费的解决方案。

• IDS是一个SIM ()系统/ IDS框架。
• Snort可以用作NIDS。
• 为SSH，Cisco PIX，Netfilter IPFW，Postfix，Sendmail.
• Prewikka是官方的前置用户界面:基于Python => https://dev.prelude-ids.com/wiki/prelude/ManualPrewikka的Web