Was sind einige gebräuchliche Tools zur Erkennung von Eindringlingen? [geschlossen]


18

Bitte geben Sie eine kurze Beschreibung für jedes Werkzeug.

Antworten:


12

Schnauben

Von ihrer About-Seite :

Snort wurde ursprünglich 1998 vom Gründer und CTO von Sourcefire, Martin Roesch, veröffentlicht und ist ein kostenloses Open-Source-System zur Erkennung und Verhinderung von Netzwerkeinbrüchen, das Echtzeit-Verkehrsanalysen und Paketprotokollierung in IP-Netzwerken durchführen kann. Ursprünglich als "leichte" Intrusion Detection-Technologie bezeichnet, hat sich Snort zu einer ausgereiften, funktionsreichen IPS-Technologie entwickelt, die zum De-facto-Standard für Intrusion Detection und -Vermeidung geworden ist. Mit fast 4 Millionen Downloads und ungefähr 300.000 registrierten Benutzern ist Snort die weltweit am weitesten verbreitete Intrusion Prevention-Technologie.


2
Ist das eine Anzeige?
gvkv


7

Tripwire

Ist ein Open-Source-Integritätsprüfer (obwohl es eine Closed-Source-Version gibt), der Hashes verwendet, um Dateiänderungen zu erkennen, die von Eindringlingen zurückgelassen wurden.



4

Logcheck ist ein einfaches Dienstprogramm, mit dem ein Systemadministrator die Protokolldateien anzeigen kann, die auf Hosts erstellt werden, die unter ihrer Kontrolle stehen.

Dies geschieht, indem Zusammenfassungen der Protokolldateien an diese gesendet werden, nachdem zuerst "normale" Einträge herausgefiltert wurden. Normale Einträge sind Einträge, die mit einer der vielen enthaltenen Dateien für reguläre Ausdrücke in der Datenbank übereinstimmen.

Sie sollten Ihre Protokolle als Teil einer ordnungsgemäßen Sicherheitsroutine überwachen. Es hilft auch dabei, viele andere (Hardware-, Authentifizierungs-, Lade- ...) Anomalien einzufangen.




1

Second Look ist ein kommerzielles Produkt, das ein leistungsstarkes Tool zur Erkennung von Eindringlingen auf Linux-Systemen darstellt. Mithilfe der Speicherforensik werden der Kernel und alle ausgeführten Prozesse untersucht und mit Referenzdaten verglichen (vom Distributionsanbieter oder einer autorisierten benutzerdefinierten Software / Software von Drittanbietern). Mit diesem Integritätsprüfungsansatz werden Kernel-Rootkits und Backdoors, injizierte Threads und Bibliotheken sowie andere Linux-Malware auf Ihren Systemen ohne Signaturen oder vorherige Kenntnis der Malware erkannt.

Dies ist ein komplementärer Ansatz zu den in anderen Antworten genannten Tools / Techniken (z. B. Dateiintegritätsprüfungen mit Tripwire; netzwerkbasierte Angriffserkennung mit Snort, Bro oder Suricata; Protokollanalyse usw.).

Haftungsausschluss: Ich bin Entwickler von Second Look.

Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.