信息安全体系建设☞开源入侵检测系统HIDS_开源hids

在之前的博文中介绍了NIDS， IDS就像是我们在网络的关键节点上假设的一双双水汪汪的大眼睛。IDS能帮我们深度检测流过的数据包，针对数据包中的特征来触发告警，并记录日志。同时我们也可以根据资产的重要程度，来实施的捕捉流量包，在帮助我们分析网络流量的同时， 也可以配合合规部门来检查内部人员的网络行为。在NIDS博文里面， 我重点以Snort为例子来介绍NIDS如何在网络中玩耍。我们可以在对Snort的深度理解之后，使用好这个工具。
当我们在使用NIDS的时候还会面临几个解决不了的问题，在这些NIDS鞭长莫及的角落里面，会隐藏一些随时准备攻击我们的威胁。下面我们先来看看那些情况，会影响NIDS的效率：

• 目前网络流量基本都运行在https或者ssh下，网络层的安全工具不能处理实时解密实时分析实时加密的过程。即使有部分产品支持这个功能，但是整个处理过程效率低下。
• 有一些流量只存在于同一个vlan内部， 不穿过三层设备。这导致NIDS会遗漏掉部分流量，变成瞪眼瞎。
• 网络的边界被一次一次的突破，全拜移动设备的大功。无论公司网络设计的多么合理，安全架构的多么硬壳。用户的移动设备拿回了家，用户是可以随便的蹂躏公司的设备，威胁在一次一次的摩擦中入住公司设备。第二天设备一旦接入公司网络，那些小妖精就都跳出来吓唬人。
  以上是NIDS在日常的网络安全防护中面临的一些问题，这不能怪他， 他的职责是守好了大门和小门。针对终端的安全访问问题， 我们就要请出来HIDS。我们在选择终端安全防护产品的时候，有一个基本的原则就是要尽可能的少在PC端安装客户端。我们关注的是网络安全，但是用户关注的是可用性。如果我们用一层一层的安全软件把PC锁死成一块铁蛋，虽然安全了，用户也会跳起来骂祖宗了。
  开源的HIDS产品有很多， 比如OSSEC，Wazuh，还有国产开源的产品驭龙IDS，这里我着重分析一下OSSEC，这个HIDS的大佬， 当然也有人把它称作DER，因为OSSEC也包含一个模块叫做response action，可以根据定义的规则自动执行一些脚本，比如通过防火墙block流量，禁用账号 等等。

一， 优点和核心的功能 key features & benefits

上面这个图是从OSSEC网站上掳来的，从这个图中我们能了解这个产品的几个有点：