(转载:www.idcew.com) OSSEC是一个流行的基于主机的入侵检测系统(HIDS)。推动OSSEC受欢迎的因素之一是它是一个开源项目,这意味着它是免费的。奥赛克能够在Windows、Linux、MacOS、Solaris、惠普-UX和AIX上运行,是一个几乎每个人都可以利用的HIDS。
该程序本身监控主机和连接到主机的网络之间的流量。OSSEC执行日志分析,监控策略,检查文件完整性,提供rootkit检测,并提供实时警报。拥有唯一开源的真正全功能的HIDS工具的声誉,OSSEC是系统管理员中非常受欢迎的选择。
理解特征检测与异常检测 谈到网络监控,有两种类型的网络入侵检测系统(IDS)。这些是签名检测和异常检测。
基于签名的入侵检测系统监控流量中任何反映已知恶意流量的模式。这里想想DDoS,恶意软件和扫描活动。一旦识别出这些潜在的威胁性交通模式,ISD就会发出警报。问题是,基于签名的入侵检测系统是使用已知的信息构建的,因此它们无法检测到实际上可能是恶意流量的新活动。
基于异常的入侵检测系统关注的不是流量模式,而是基于预先建立的配置文件的流量活动。在这种情况下,ISD工具在基线中寻找指标,而不是签名。这些工具认为什么是“正常活动”是由以前活动的统计平均值决定的,因此当类似HTTP活动上升的情况发生时,就会触发基于异常的ISD。
结合特征和异常检测的能力 OSSEC提供基于签名和配置文件的行为检测。它适用于多种环境,包括多种类型的服务器。这些环境中的每一个都必须配置为针对不同的情况创建适当的警报。例如,在VMWare服务器上出现的问题可能与邮件服务器遇到的问题完全不同。让OSSEC在这些环境中正确设置可能是一项艰巨的任务,但其中提供的检测服务绝对值得最初的麻烦。 (转载:www.idcew.com) |