Snort
该网络入侵检测和防御系统擅长于IP网络上的流量分析和数据包记录。 通过协议分析,内容研究和各种预处理器,Snort可以检测到数千个蠕虫,漏洞利用尝试,端口扫描和其他可疑行为。 Snort使用灵活的基于规则的语言来描述应该收集或通过的流量,以及模块化检测引擎。 还可以查看免费的基本分析和安全引擎(BASE)http://secureideas.sourceforge.net/ ,这是一个用于分析Snort警报的Web界面。
虽然Snort本身是免费和开放源代码,但母公司SourceFire http://www.sourcefire.com/ 提供其每年每个传感器499美元的VRT认证规则,以及具有更多企业级功能的软件和应用的补充产品线。 Sourcefire还提供30天的免费使用。
OSSEC HIDS执行日志分析,完整性检查,rootkit检测,基于时间的警报和主动响应。 除了其IDS功能,它通常用作SEM / SIM解决方案。 由于其强大的日志分析引擎,ISP,大学和数据中心正在运行OSSEC HIDS来监控和分析其防火墙,IDS,Web服务器和身份验证日志。
Alienvault OSSIM代表开源安全信息管理。 其目标是提供全面的工具汇集,当共同合作时,可以向网络/安全管理员提供网络、主机、物理访问设备和服务器的每个方面的详细视图。 OSSIM组合了其他几个工具,包括Nagios和OSSEC HIDS
Sguil(发音为sgweel)由网络安全分析师为网络安全分析师构建。 Sguil的主要组件是直观的GUI,提供对实时事件,会话数据和原始数据包捕获的访问方法。 Sguil促进了网络安全监控和事件驱动分析的实践。
ArcSight为SIEM安全信息和事件管理提供了一套工具。 最著名的似乎是ArcSight企业安全管理器(ESM),被称为SIEM平台的“大脑”。 它是一个日志分析器和相关引擎,用于筛选重要的网络事件。 ESM本身是独立的应用,管理程序在Linux,Windows,AIX和Solaris上运行。 对于开放源代码,请参阅OSSEC HIDS和OSSIM
Honeyd是在网络上创建虚拟主机的小型守护程序。 主机可以配置为运行任意服务,并且可以调整其TCP个性,使其似乎运行某些版本的操作系统。 Honeyd使单个主机能够在LAN上声明多个地址进行网络仿真。 可以ping虚拟机,或跟踪它们。 可以根据简单的配置文件对虚拟机上的任何类型的服务进行模拟。 也可以代理其他机器服务,而不是模拟它们。 它有很多库依赖,可能使Honeyd的编译/安装变得困难。