Quais são algumas ferramentas comuns para detecção de intrusão? [fechadas]

Por favor, forneça uma breve descrição para cada ferramenta.

Snort

Na página sobre :

Originalmente lançado em 1998 pelo fundador da Sourcefire e CTO Martin Roesch, o Snort é um sistema gratuito de detecção e prevenção de intrusões de rede de código aberto capaz de executar análises de tráfego em tempo real e registro de pacotes em redes IP. Inicialmente chamada de tecnologia de detecção de intrusão "leve", o Snort evoluiu para uma tecnologia IPS madura e rica em recursos que se tornou o padrão de fato na detecção e prevenção de intrusões. Com quase 4 milhões de downloads e aproximadamente 300.000 usuários registrados do Snort, é a tecnologia de prevenção contra intrusões mais amplamente implementada no mundo.

Por que você não confere http://sectools.org/

Tripwire

É um verificador de integridade de código aberto (embora exista uma versão de código fechado) que use hashes para detectar modificações de arquivos deixadas pelos invasores.

O OpenBSD possui o mtree (8): http://www.openbsd.org/cgi-bin/man.cgi?query=mtree Ele verifica se algum arquivo foi alterado em uma determinada hierarquia de diretórios.

O Logcheck é um utilitário simples, projetado para permitir que um administrador do sistema visualize os arquivos de log produzidos nos hosts sob seu controle.

Isso é feito enviando resumos dos arquivos de log para eles, depois de filtrar primeiro as entradas "normais". Entradas normais são entradas que correspondem a um dos muitos arquivos de expressão regular incluídos no banco de dados.

Você deve assistir seus logs como parte de uma rotina de segurança saudável. Também ajudará a capturar muitas outras anomalias (hardware, autenticação, carga ...).

DenyHosts para servidor SSH.

Para o NIDS, Suricata e Bro são duas alternativas gratuitas para bufar.

Aqui está um artigo interessante discutindo os três:
http://blog.securitymonks.com/2010/08/26/three-little-idsips-engines-build-their-open-source-solutions/

Tenho que mencionar o OSSEC , que é um HIDS.

Second Look é um produto comercial que é uma ferramenta poderosa para detecção de intrusões em sistemas Linux. Ele usa análise forense de memória para examinar o kernel e todos os processos em execução e os compara com dados de referência (do fornecedor de distribuição ou software personalizado / de terceiros). Usando essa abordagem de verificação de integridade, ele detecta rootkits e backdoors do kernel, threads e bibliotecas injetadas e outros malwares Linux em execução em seus sistemas, sem assinaturas ou outro conhecimento a priori do malware.

Essa é uma abordagem complementar às ferramentas / técnicas mencionadas em outras respostas (por exemplo, verificações de integridade de arquivos com o Tripwire; detecção de intrusões baseada em rede com Snort, Bro ou Suricata; análise de log etc.)

Disclaimer: Sou desenvolvedor do Second Look.