¿Cuáles son algunas herramientas comunes para la detección de intrusos? [cerrado]

Proporcione una breve descripción de cada herramienta.

Bufido

De su página acerca de :

Originalmente lanzado en 1998 por el fundador de Sourcefire y CTO Martin Roesch, Snort es un sistema de prevención y detección de intrusiones de red de código abierto, capaz de realizar análisis de tráfico en tiempo real y registro de paquetes en redes IP. Inicialmente llamada tecnología de detección de intrusos "ligera", Snort se ha convertido en una tecnología IPS madura y rica en funciones que se ha convertido en el estándar de facto en detección y prevención de intrusos. Con casi 4 millones de descargas y aproximadamente 300,000 usuarios registrados, Snort es la tecnología de prevención de intrusiones más ampliamente implementada en el mundo.

¿Por qué no revisas http://sectools.org/

Tripwire

Es un verificador de integridad de código abierto (aunque hay una versión de código cerrado) que utiliza hashes para detectar modificaciones de archivos dejadas por intrusos.

OpenBSD tiene mtree (8): http://www.openbsd.org/cgi-bin/man.cgi?query=mtree Comprueba si algún archivo ha cambiado en una determinada jerarquía de directorios.

Logcheck es una sencilla utilidad diseñada para permitir que un administrador del sistema vea los archivos de registro que se producen en los hosts bajo su control.

Lo hace enviando por correo los resúmenes de los archivos de registro, después de filtrar primero las entradas "normales". Las entradas normales son entradas que coinciden con uno de los muchos archivos de expresión regular incluidos que contiene la base de datos.

Debe observar sus registros como parte de una rutina de seguridad saludable. También ayudará a atrapar muchas otras anomalías (hardware, autenticación, carga ...).

DenyHosts para el servidor SSH.

Para NIDS, Suricata y Bro son dos alternativas gratuitas para resoplar.

Aquí hay un artículo interesante sobre los tres:
http://blog.securitymonks.com/2010/08/26/three-little-idsips-engines-build-their-open-source-solutions/

Tengo que mencionar OSSEC , que es un HIDS.

Second Look es un producto comercial que es una herramienta poderosa para la detección de intrusos en sistemas Linux. Utiliza análisis forenses de memoria para examinar el kernel y todos los procesos en ejecución, y los compara con datos de referencia (del proveedor de distribución o software autorizado personalizado / de terceros). Mediante este enfoque de verificación de integridad, detecta rootkits y puertas traseras del núcleo, subprocesos y bibliotecas inyectados y otro malware de Linux que se ejecuta en sus sistemas, sin firmas u otro conocimiento a priori del malware.

Este es un enfoque complementario de las herramientas / técnicas mencionadas en otras respuestas (por ejemplo, verificaciones de integridad de archivos con Tripwire; detección de intrusiones basada en red con Snort, Bro o Suricata; análisis de registros; etc.)

Descargo de responsabilidad: soy desarrollador de Second Look.