网络入侵检测开源项目 Security Onion-转载

源链接:https://www.iculture.cc/cybersecurity/pig=18998
源链接:https://zhuanlan.zhihu.com/p/34072611
要研究态势感知或安全运营中心,可以采用OSSIM
要研究入侵防御技术,可以采用Snort或Security Onion
要研究防火墙技术,可以采用pfSense或OPNsense
要研究Web应用防火墙(WAF ),可以采用ModSecurity
要研究威胁情报技术,可以采用MISP或OpenCTI
要研究漏洞扫描技术,可以采用OpenVAS或W3AF
要研究堡垒机技术,可以采用JumpServer
要研究蜜罐技术,可以采用T-Pot或Hfish

Security Onion是一款专为入侵检测和NSM(网络安全监控)设计的Linux发行版。其安装过程很简单,在短时间内就可以部署一套完整的NSM收集、检测和分析的套件。Security Onion可能是主动的,用于识别漏洞或过期的SSL证书。或者也可能是被动的,如事件响应和网络取证。其镜像可以作为传感器分布在网络中,以监控多个VLAN和子网。

核心组件

Security Onion里面的组件包括:snort(入侵检测引擎)、suricata(入侵检测引擎)、bro(入侵检测分析系统)、sguil(入侵检测分析系统)、squert(前端显示)、snorby(前端显示)、wireshark(抓包)、xplico(流量审计)。大致分类如下: