UNIX上で動作するネットワーク侵入検知ツールについて調べてみた。どれを使おうかと思って調べてみたのだけど、どうやら必ずしも「比較して選択するもの」ではなく、互いに補完し合って使うものらしい。LinuxベースだとSecurity Onionという色々まとめてインストールするディストリビューションもあった。
ツール概要
Bro
- 公式サイト http://www.bro.org/
- ネットワークトラフィック解析
- Python、C++
- BSDライセンス
- portsあり (security/bro)
Snort
- 公式サイト http://www.snort.org/
- リアルタイムパケット解析&パケットログの機能を持つ侵入検知システム
- SuricataやSaganに比べて歴史が古く、ユーザ数も多い。
- GPL v2ライセンス
- portsあり (security/snort, security/snort-rep, security/snortreport, security/snortsam, security/snortsnarf)
Suricata
- 公式サイト http://suricata-ids.org/
- 侵入検知/防御システム。ネットワークのトラフィックを監視し、指定のルールセットに基づき不審なトラフィックを管理者に通知する。
- GPL v2ライセンス
- portsあり (security/suricata)
Sagan
- 公式サイト http://sagan.quadrantsec.com/
- 高性能なリアルタイムログ解析
- C言語
- GPL v2ライセンス
- portsなし
ELSA
- 公式サイト https://code.google.com/p/enterprise-log-search-and-archive/
- Webインタフェースを持ち、SQLデータベースに保存されたsyslogを検索できるシステム。
- Syslog-NG、Sphinx、MySQL
- GPL v2ライセンス
- portsなし
Snorby
- 公式サイト https://snorby.org/
- ネットワークセキュリティモニタリングのためのWebアプリケーションで、Snort/Suricata/Saganとのインタフェースをサポート。
- Ruby on Rails、ImageMagick、Git、Wkhtmltopdf
- GPL v3ライセンス
- portsなし
OSSEC
- 公式サイト http://www.ossec.net/
- ネットワーク侵入検知システムで、ログ解析、ファイル監査、ポリシー監視、rootkit検出、リアルタイム警報などの機能を持つ。
- GPL v2ライセンス
- portsあり (security/ossec-hids-server, security/ossec-hids-client, security/ossec-hids-local)
Sguil
- 公式サイト https://bammv.github.io/sguil/
- リアルタイムイベント、セッションデータ、生のパケットキャプチャなどを直観的なGUIで表示するシステムがメイン。
- tkl/tk
- GPL v3ライセンス
- portsあり (security/sguil-server, security/sguil-client, security/sguil-sensor)
Xplico
- 公式サイト http://www.xplico.org/
- ネットワークフォレンジック解析ツール
- Mozilla Public License、GPL v2、LGPL v2.1
- portsなし
NetworkMiner
- 公式サイト http://www.netresec.com/?page=NetworkMiner
- ネットワークフォレンジック解析ツール
- Netrensec社が開発。フリー版は無料で利用可。有料版は、PcapNGファイルの解析機能、CSV/Excelへのエクスポート機能、コマンドライン機能などが追加される。
- portsなし