Warning: count(): Parameter must be an array or an object that implements Countable in /usr/local/www/admnote/wp-includes/post-template.php on line 284

ネットワーク侵入検知ツールまとめ

UNIX上で動作するネットワーク侵入検知ツールについて調べてみた。どれを使おうかと思って調べてみたのだけど、どうやら必ずしも「比較して選択するもの」ではなく、互いに補完し合って使うものらしい。LinuxベースだとSecurity Onionという色々まとめてインストールするディストリビューションもあった。

ツール概要

Bro

  • 公式サイト http://www.bro.org/
  • ネットワークトラフィック解析
  • Python、C++
  • BSDライセンス
  • portsあり (security/bro)

Snort

  • 公式サイト http://www.snort.org/
  • リアルタイムパケット解析&パケットログの機能を持つ侵入検知システム
  • SuricataやSaganに比べて歴史が古く、ユーザ数も多い。
  • GPL v2ライセンス
  • portsあり (security/snort, security/snort-rep, security/snortreport, security/snortsam, security/snortsnarf)

Suricata

  • 公式サイト http://suricata-ids.org/
  • 侵入検知/防御システム。ネットワークのトラフィックを監視し、指定のルールセットに基づき不審なトラフィックを管理者に通知する。
  • GPL v2ライセンス
  • portsあり (security/suricata)

Sagan

ELSA

Snorby

  • 公式サイト https://snorby.org/
  • ネットワークセキュリティモニタリングのためのWebアプリケーションで、Snort/Suricata/Saganとのインタフェースをサポート。
  • Ruby on Rails、ImageMagick、Git、Wkhtmltopdf
  • GPL v3ライセンス
  • portsなし

OSSEC

  • 公式サイト http://www.ossec.net/
  • ネットワーク侵入検知システムで、ログ解析、ファイル監査、ポリシー監視、rootkit検出、リアルタイム警報などの機能を持つ。
  • GPL v2ライセンス
  • portsあり (security/ossec-hids-server, security/ossec-hids-client, security/ossec-hids-local)

Sguil

  • 公式サイト https://bammv.github.io/sguil/
  • リアルタイムイベント、セッションデータ、生のパケットキャプチャなどを直観的なGUIで表示するシステムがメイン。
  • tkl/tk
  • GPL v3ライセンス
  • portsあり (security/sguil-server, security/sguil-client, security/sguil-sensor)

Xplico

  • 公式サイト http://www.xplico.org/
  • ネットワークフォレンジック解析ツール
  • Mozilla Public License、GPL v2、LGPL v2.1
  • portsなし

NetworkMiner

  • 公式サイト http://www.netresec.com/?page=NetworkMiner
  • ネットワークフォレンジック解析ツール
  • Netrensec社が開発。フリー版は無料で利用可。有料版は、PcapNGファイルの解析機能、CSV/Excelへのエクスポート機能、コマンドライン機能などが追加される。
  • portsなし