9 bedste netværksbaserede NIDS-værktøjer (Intrusion Detection Systems)

9 bedste NIDS-værktøjer


Hvad er NIDS / Network Intrustion Detection Systems?

NIDS er forkortelsen til netværksindtrædelsesdetekteringssystem. NIDS opdager afskrækkende opførsel på et netværk som hacking, port scanning og benægtelse af service.

Her er vores liste over 9 bedste NIDS-værktøjer (Network Intrustion Detection Systems):

  1. SolarWinds Security Event Manager (GRATIS PRØVEVERSION)
  2. Snøfte
  3. brormand
  4. Suricata
  5. IBM QRadar
  6. Sikkerhedsløg
  7. Åbn WIPS-NG
  8. Sagan
  9. splunk

Formålet med NIDS

Intrusionsdetekteringssystemer søger efter mønstre i netværksaktivitet for at identificere ondsindet aktivitet. Behovet for denne kategori af sikkerhedssystem opstod på grund af ændringer i hackermetoder som reaktion på tidligere vellykkede strategier til at blokere ondsindede aktiviteter.

Firewalls er blevet meget effektive til at blokere forsøg på indgående forbindelse. Antivirus-software er identificeret med succes infektioner, der bæres via USB-sticks, datadiske og vedhæftede filer til e-mail. Når traditionelle ondsindede metoder blev blokeret, vendte hackere sig til angrebsstrategier som DDoS-angreb (Distribution Denial of Service). Edge-tjenester gør nu disse angrebsvektorer mindre truende.

I dag, den avancerede vedvarende trussel (APT) er den største udfordring for netværksledere. Disse angrebstrategier bruges endda nu af de nationale regeringer som en del af hybrid krigføring. I et APT-scenarie får en gruppe af hackere adgang til et virksomhedsnetværk og bruger virksomhedens ressourcer til deres egne formål såvel som at få adgang til firmadata til salg.

Indsamlingen af ​​personlige data, der er indeholdt i virksomhedsdatabaser, er blevet en rentabel forretning takket være datagenturer. Disse oplysninger kan også bruges til ondsindede formål og kan også fodre tilbage i adgangsstrategier gennem doxing. De tilgængelige oplysninger om firmakunder, leverandører og medarbejderdatabaser er nyttige ressourcer til hvalfangst- og spearphishing-kampagner. Disse metoder er blevet brugt effektivt af con-kunstnere til at narre virksomhedens ansatte til at overføre penge eller afsløre hemmeligheder personligt. Disse metoder kan være bruges til at afprese virksomhedsarbejdere til at handle imod deres arbejdsgiveres interesser.

Misfornøjede medarbejdere udgør også problemer for virksomhedens datasikkerhed. En ensom arbejdstager med netværks- og databaseadgang kan forstyrre ved at bruge autoriserede konti til at forårsage skade eller stjæle data.

Så, netværkssikkerhed skal nu omfatte metoder, der går langt ud over at blokere uautoriseret adgang og forhindre installation af ondsindet software. Netværksbaserede indtrængende detektionssystemer tilbyder meget effektiv beskyttelse mod al skjult indtrængende aktivitet, ondsindet medarbejderaktivitet og maskering af con artister.

Forskel mellem NIDS og SIEM

Når du søger efter nye sikkerhedssystemer til dit netværk, vil du støde på betegnelsen SIEM. Du kan undre dig over, om dette betyder det samme som NIDS.

Der er en stor overlapning mellem definitionerne af SIEM og NIDS. SIEM står for Sikkerhedsinformation og begivenhedsstyring. Området SIEM er en kombination af to allerede eksisterende kategorier af beskyttelsessoftware. Der er Security Information Management (SIM) og Security Event Management (SEM).

Området med SEM ligner meget NIDS-området. Security Event Management er en kategori af SIEM, der fokuserer på at undersøge live netværkstrafik. Dette er nøjagtigt det samme som specialiseringen af ​​netværksbaserede intrusionsdetekteringssystemer.

NIDS eller HIDS

Netværksbaserede intrusionsdetekteringssystemer er en del af en bredere kategori, som er intrusionsdetekteringssystemer. Den anden type IDS er et værtsbaseret intrusionsdetekteringssystem eller HIDS. Værtsbaserede intrusionsdetekteringssystemer svarer stort set til SIEM-elementet Security Information Management.

Mens netværksbaserede intrusionsdetekteringssystemer ser på live data, host-baserede indtrængende detekteringssystemer undersøger logfilerne på systemet. Fordelen ved NIDS er, at disse systemer er øjeblikkelige. Ved at se på netværkstrafik, som det sker, kan de hurtigt gribe ind. Imidlertid kan mange indtrængende aktiviteter kun ses over en række handlinger. Det er endda muligt for hackere at dele ondsindede kommandoer mellem datapakker. Da NIDS fungerer på pakkeniveau, er det mindre i stand til at opdage indtrængningsstrategier, der spreder sig over pakker.

HIDS undersøger begivenhedsdata, når de er blevet gemt i logfiler. Skrivning af poster til logfiler skaber forsinkelser i svarene. Imidlertid tillader denne strategi analytiske værktøjer til at registrere handlinger, der finder sted på flere punkter på et netværk samtidig. For eksempel, hvis den samme brugerkonto bruges til at logge på netværket fra spredte geografiske placeringer, og den medarbejder, der har tildelt denne konto, er stationeret på ingen af ​​disse steder, er kontoen helt klart kompromitteret.

Indtrængende ved, at logfiler kan udsætte deres aktiviteter, og at fjerne logposter er en defensiv strategi, der bruges af hackere. Beskyttelsen af ​​logfiler er derfor et vigtigt element i et HIDS-system.

Både NIDS og HIDS har fordele. NIDS giver hurtige resultater. Disse systemer skal dog lære af et netværks normale trafik for at forhindre dem i at rapportere "falske positive.”Særligt i de første uger med drift på et netværk har NIDS-værktøjer en tendens til at overopdage indtrængen og skabe en oversvømmelse af advarsler, der viser sig at fremhæve regelmæssig aktivitet. På den ene side ønsker du ikke at filtrere advarsler ud og risikere at gå glip af indtrængende aktivitet. På den anden side kan en alt for følsom NIDS prøve tålmodigheden hos et netværksadministrationsteam.

HIDS giver et langsommere respons, men kan give et mere præcist billede af indtrængende aktivitet fordi det kan analysere begivenhedsregistre fra en lang række logningskilder. Du er nødt til at tage SIEM-tilgangen og implementere både en NIDS og en HIDS for at beskytte dit netværk.

NIDS-detektionsmetoder

NIDS bruger to grundlæggende detektionsmetoder:

  • Anomali-baseret detektion
  • Signaturbaseret detektion

Signaturbaserede strategier opstod fra de detektionsmetoder, der bruges af antivirus-software. Scanningsprogrammet ser efter mønstre i netværkstrafik inklusive bytesekvenser og typiske pakketyper der regelmæssigt bruges til angreb.

En anomali-baseret tilgang sammenligner den aktuelle netværkstrafik med typisk aktivitet. Så denne strategi kræver en indlæringsfase, der skaber et mønster for normal aktivitet. Et eksempel på denne type detektion er antallet af mislykkede loginforsøg. En menneskelig bruger forventes muligvis at få et kodeord forkert et par gange, men et brute-force-programmeret indbrudsforsøg ville bruge mange kodeordkombinationer, der cykler gennem en hurtig sekvens. Det er et meget simpelt eksempel. I felt kan de aktivitetsmønstre, som en anomali-baseret tilgang ser efter, være meget komplicerede kombinationer af aktiviteter.

Intrusionsdetektion og forebyggelse af indtrængen

Opdagelse af indtrængen er trin et for at holde dit netværk sikkert. Det næste trin er at gøre noget for at blokere den indtrængende. På et lille netværk kan du muligvis vedtage manuel indgriben, opdatere firewall-tabeller for at blokere indtrængende IP-adresser og suspendere kompromitterede brugerkonti. Men på et stort netværk og på systemer, der skal være aktive døgnet rundt, skal du virkelig gennemgå trusseludbedring med automatiserede arbejdsgange. Automatisk indgriben til at tackle indtrængende aktivitet er den definerende forskel mellem indtrængende detektionssystemer og systemer til forebyggelse af indtrængen (IPS).

Finjustering af detekteringsregler og saneringspolitikker er vigtig i IPS-strategier, fordi en overfølsom detekteringsregel kan blokere ægte brugere og lukke dit system ned.

Anbefalet NIDS

Denne vejledning fokuserer på NIDS snarere end HIDS-værktøjer eller IPS-software. Overraskende nok er mange af de førende NIDS gratis at bruge, og andre topværktøjer tilbyder gratis prøveperioder.

1. SolarWinds Security Event Manager (GRATIS PRØVEVERSION)

Solarwinds Log og Event Manager

Det SolarWinds Security Event Manager er hovedsageligt en HIDS-pakke, men Du kan også bruge NIDS-funktioner med dette værktøj. Værktøjet kan bruges som et analytisk værktøj til at behandle data indsamlet af Snort. Du kan læse mere om Snort nedenfor. Snort er i stand til at fange trafikdata, som du kan se gennem 1. Event Manager.

Kombinationen af ​​NIDS og HIDS gør dette til et virkelig kraftfuldt sikkerhedsværktøj. NIDS-sektionen i Security Event Manager inkluderer en regelbase, kaldet regler for hændelseskorrelation, der vil opdage aktivitetsforstyrrelser, der indikerer en indtrængen. Værktøjet kan indstilles til automatisk at implementere arbejdsgange til detektering af en indbrudsadvarsel. Disse handlinger kaldes Aktive svar. De handlinger, som du automatisk kan starte med påvisning af en anomali, inkluderer: stop eller lancering af processer og tjenester, suspension af brugerkonti, blokering af IP-adresser og meddelelse afsendelse af e-mail, SNMP-meddelelse, eller skærmoptagelse. Aktive svar gør SolarWinds Security Event Manager til en system til forebyggelse af indtrængen.

Dette er toppen af ​​linjen IDS tilgængelig på markedet i dag, og det er ikke gratis. Softwaren kører kun på Windows Server operativsystem, men det kan indsamle data fra Linux, Unix, og Mac OS såvel som vinduer. Du kan få SolarWinds Security Event Manager på en 30-dages gratis prøveperiode.

SolarWinds Security Event ManagerDownload 30-dages GRATIS prøveversion

2. Snort

Snort-skærmbillede

Snort, der ejes af Cisco Systems, er et open source-projekt og er gratis at bruge. Dette er de førende NIDS i dag og mange andre netværksanalyseværktøjer er blevet skrevet til at bruge dens output. Softwaren kan installeres på vinduer, Linux, og Unix.

Dette er faktisk et pakkesniffersystem, der vil samle kopier af netværkstrafik til analyse. Værktøjet har imidlertid andre tilstande, og en af ​​dem er indtrængende detektion. I indtrængningsdetekteringstilstand anvender Snort “basepolitikker,”Som er værktøjets detekteringsregelbase.

Basispolitikker gør Snort fleksibelt, udvideligt og tilpasningsdygtigt. Du skal finjustere politikkerne, så de passer til dit netværks typiske aktiviteter og reducere forekomsten af ​​"falske positive.”Du kan skrive dine egne basispolitikker, men det behøver du ikke, fordi du kan downloade en pakke fra Snort-webstedet. Der er et meget stort brugerfællesskab til Snort og disse brugere kommunikerer gennem et forum. Ekspertbrugere stiller deres egne tip og forbedringer til rådighed for andre gratis. Du kan også hente flere basepolitikker fra samfundet gratis. Da der er så mange mennesker, der bruger Snort, er der altid nye ideer og nye basepolitikker, som du kan finde på fora.

3. Bro

Bro skærmbillede

Bro er en NIDS, ligesom Snort, men det har en stor fordel i forhold til Snort-systemet - dette værktøj fungerer på Applikationslag. Dette gratis NIDS er vidt foretrukket af de videnskabelige og akademiske samfund.

Dette er begge to signaturbaseret system og det bruger også anomali-baserede detektionsmetoder. Det er i stand til at få øje på bit-niveau mønstre der angiver ondsindet aktivitet på tværs af pakker.

Registreringsprocessen håndteres i to faser. Den første af disse administreres af Bro Event Engine. Da data vurderes på højere end pakkeniveau, kan analyse ikke udføres med det samme. Der skal være et bufferingniveau, så tilstrækkelige pakker kan vurderes samlet. Så Bro er lidt langsommere end en typisk pakke-niveau NIDS, men identificerer stadig ondsindet aktivitet hurtigere end et HIDS. Indsamlede data vurderes af politikmanuskripter, som er den anden fase af detektionsprocessen.

Det er muligt at opsæt saneringshandlinger der udløses automatisk af et politisk script. Dette gør Bro til et system til forebyggelse af indtrængen. Softwaren kan installeres på Unix, Linux, og Mac OS.

4. Suricata

Suricata-skærmbilledeså et NIDS det fungerer i applikationslaget, giver det multi-pakke synlighed. Dette er en gratis værktøj der har meget lignende kapaciteter som Bro. Selvom disse signaturbaserede detektionssystemer arbejde på applikationsniveau, de har stadig adgang til pakkedetaljer, som gør det muligt for behandlingsprogrammet at få information på protokolniveau ud af pakkeoverskrifter. Dette inkluderer datakryptering, Transportlag og Internetlag data.

Denne IDS beskæftiger også anomali-baserede detektionsmetoder. Bortset fra pakkedata er Suricata i stand til at undersøge TLS-certifikater, HTTP-anmodninger og DNS-transaktioner. Værktøjet er også i stand til at udtrække segmenter fra filer på bitniveau til virusdetektion.

Suricata er et af de mange værktøjer, der er kompatible med Snort datastruktur. Det er i stand til at implementere Snort-basispolitikker. En stor ekstra fordel ved denne kompatibilitet er, at Snort-samfundet også kan give dig tip til tricks, du kan bruge sammen med Suricata. Andre Snort-kompatible værktøjer kan også integreres med Suricata. Disse inkluderer Snorby, Anaval, BASE, og Squil.

5. IBM QRadar

IBM QRadar

Dette IBM SIEM-værktøj er ikke gratis, men du kan få en 14-dages gratis prøveversion. Dette er en skybaseret service, så det er tilgængeligt overalt. Systemet dækker alle aspekter af intrusionsdetektion inklusive log-centrerede aktiviteter i en HIDS såvel som undersøgelsen af ​​live trafikdata, som også gør dette til NIDS. Den netværksinfrastruktur, som QRadar kan overvåge, udvider til Cloud-tjenester. Detekteringspolitikkerne, der fremhæver mulig indtrængen, er indbygget i pakken.

En meget flot funktion ved dette værktøj er en angreb modelleringsværktøj der hjælper dig med at teste dit system for sårbarheder. IBM QRadar anvender AI for at lette anomali-baseret indtrængningsdetektion og har et meget omfattende dashboard, der integrerer data og begivenhedsvisualiseringer. Hvis du ikke ønsker at bruge tjenesten i skyen, kan du vælge en lokal version, der kører vinduer.

6. Sikkerhedsløg

Skærmbillede af sikkerhedsløg

Hvis du vil have et IDS til at køre på Linux, det gratis NIDS / HIDS-pakken med Security Onion er en meget god mulighed. Dette er et open source-projekt og er samfundsstøttet. Softwaren til dette værktøj kører Ubuntu og blev hentet fra andre netværksanalyseværktøjer. Et antal af de andre værktøjer, der er anført i denne vejledning, er integreret i pakken Security Onion: Snøfte, brormand, og Suricata. HIDS-funktionalitet leveres af OSSEC og forenden er Kibana system. Andre velkendte netværksovervågningsværktøjer, der er inkluderet i Security Onion inkluderer ELSA, NetworkMiner, Snorby, Squert, Squil, og Xplico.

Værktøjet inkluderer en bred vifte af analyseværktøjer og bruger både signatur- og anomalibaserede teknikker. Selvom genbrug af eksisterende værktøjer betyder, at Security Onion drager fordel af det etablerede omdømme af dets komponenter, kan opdateringer til elementer i pakken være kompliceret.

7. Åbn WIPS-NG

OpenWIPS-NG skærmbillede

Åben WIPS-NG er en open source projekt, der hjælper dig med at overvåge trådløse netværk. Værktøjet kan bruges som en ligetil wifi-pakke sniffer eller som et intrusionsdetekteringssystem. Værktøjet blev udviklet af det samme team, der oprettede Aircrack-NG - et meget berømt netværksintrusionsværktøj, der bruges af hackere. Så mens du bruger Open WIPS-NG til at forsvare dit netværk, høster hackerne, du ser, dine trådløse signaler med sin søsterpakke.

Dette er et gratis værktøj der installeres på Linux. Softwarepakken indeholder tre komponenter. Dette er en sensor, en server og en grænseflade. Open WIPS-NG tilbyder et antal saneringsværktøjer, så sensoren fungerer som din grænseflade til den trådløse transceiver både til at indsamle data og til at sende kommandoer.

8. Sagan

Sagan-skærmbillede

Sagan er et HIDS. Dog tilføjes et datafeed fra Snøfte, det kan også fungere som et NIDS. Alternativt kan du bruge brormand eller Suricata at indsamle live data for Sagan. Dette gratis værktøj kan installeres på Unix og Unix-lignende operativsystemer, hvilket betyder, at det kører Linux og Mac OS, men ikke på Windows. Det kan dog behandle Windows-hændelseslog-meddelelser. Værktøjet er også kompatibelt med Anaval, BASE, Snorby, og Squil.

Nyttige ekstraudstyr indbygget i Sagan inkluderer distribueret behandling og en IP-adresse geolocator. Dette er en god ide, fordi hackere ofte bruger en række IP-adresser til indtrængende angreb, men overser det faktum, at den fælles placering af disse adresser fortæller en historie. Sagan kan udføre scripts for at automatisere angrebsrensning, som inkluderer muligheden for at interagere med andre værktøjer, såsom firewallborde og katalogtjenester. Disse evner gør det til system til forebyggelse af indtrængen.

9. Splunk

Splunk-skærmbillede

Splunk er en populær netværkstrafikanalysator, der også har NIDS- og HIDS-kapaciteter. Værktøjet kan installeres på vinduer og på Linux. Hjælpeprogrammet er tilgængeligt i tre udgaver. Disse er Splunk Free, Splunk Light, Splunk Enterprise og Splunk Cloud. Du kan få en 15-dages prøve til den skybaserede version af værktøjet og en 60-dages gratis prøveperiode af Splunk Enterprise. Splunk Light er tilgængelig på en 30-dages gratis prøveperiode. Alle disse versioner inkluderer evne til dataindsamling og afvigelse af anomali.

Sikkerhedsfunktioner i Splunk kan forbedres med en tilføjelse, kaldet Splunk Enterprise Security. Dette er tilgængeligt i en 7-dages gratis prøveperiode. Dette værktøj forbedrer nøjagtigheden af ​​anomali-detektion og reducerer forekomsten af ​​falske positive sider ved hjælp af AI. Omfanget af alarmering kan justeres ved at advare om alvorlighedsniveau for at forhindre, at dit systemadministrationsteam bliver oversvømmet af et overdrevent rapporteringsmodul.

Splunk integrerer referencer til logfil for at give dig mulighed for at få et historisk perspektiv på begivenheder. Du kan opdage mønstre i angreb og indtrængende aktivitet ved at se på hyppigheden af ​​ondsindet aktivitet over tid.

Implementering af NIDS

Risikoen, der truer din netværkssikkerhed er nu så omfattende, at du har virkelig ikke et valg om, hvorvidt det skal implementeres netværksbaserede indtrængningsdetektionssystemer eller ej. De er vigtige. Heldigvis har du et valg over hvilket NIDS-værktøj du installerer.

Der er mange NIDS-værktøjer på markedet i øjeblikket, og de fleste af dem er meget effektive. Imidlertid, har du sandsynligvis ikke tid nok til at undersøge dem alle. Derfor sammensætter vi denne vejledning. Du kan indsnævre din søgning til bare de bedste NIDS-værktøjer, som vi inkluderede på vores liste.

Alle værktøjer på listen er enten gratis at bruge eller er tilgængelige som gratis prøveperiode-tilbud. Du vil være i stand til at tage et par af dem gennem deres tempo. Blot indsnævre listen yderligere i henhold til operativsystemet, og vurder derefter, hvilke af kortlistefunktionerne der matcher størrelsen på dit netværk og dine sikkerhedsbehov.

Bruger du et NIDS-værktøj? Hvilket valgte du at installere? Har du også prøvet et HIDS-værktøj? Hvordan vil du sammenligne de to alternative strategier? Efterlad en besked i Kommentarer afsnit nedenfor og del din oplevelse med samfundet.

Billede: Hacker Cyber ​​Crime fra Pixabay. Public Domain.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

+ 45 = 48

map