[ 网络安全开源项目 ] 市面上常见的开源 HIDS 有哪些 ？

🍬 博主介绍

👨‍🎓 博主介绍：大家好，我是 _PowerShell ，很高兴认识大家~
✨主攻领域：【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯（一键三连）😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限，欢迎各位大佬指点，相互学习进步！

0.前言

搜集了大量网络安全领域的开源项目，每个项目都致力于解决特定的安全问题。这些项目主要分为两大类：
1.互联网企业/团队的安全实践：这部分项目经过企业内部的实际应用验证，其最佳实践方法具有很高的参考价值。
2.企业安全能力建设需求：根据不同的安全需求进行分类，如Web应用防火墙（WAF）、主机入侵检测系统（HIDS）以及Git仓库监控等。
本系列将介绍一些优秀的甲方安全项目案例，市面上还有许多其他高质量的免费开源资源可供选择，本系列可能仅展示了其中一小部分。
本文主要讲域开源 HIDS 相关的一些内容。

常用的开源HIDS

1.suricata-rules

检测规则，支持CobaltStrike/MSF/Empire/DNS隧道/Weevely/菜刀/冰蝎/挖矿/反弹shell/ICMP隧道等。

https://github.com/wandec/suricata-rules

2.Elkeid

Elkeid是一个云原生的基于主机的安全(入侵检测与风险识别)解决方案，作者详细的描述了项目架构。

https://github.com/bytedance/Elkeid

3.OSSEC

一款开源的IDS检测系统，包括了日志分析、完整性检查、rook-kit检测，基于时间的警报和主动响应。

https://www.ossec.net/

4.Wazuh

一个免费的，开源的企业级安全监控解决方案，用于威胁检测，完整性监控，事件响应和合规性。

http://wazuh.com/

5.Suricata

一个免费的开源，成熟，快速和强大的网络威胁检测引擎。

https://suricata-ids.org/

6.Snort

网络入侵检测和预防系统。

https://www.snort.org/

7.Osquery

一个SQL驱动操作系统检测和分析工具。

https://osquery.io/

8.Samhain Labs

用于集中式主机完整性监控的全面开源解决方案。

https://www.la-samhna.de/

9.Firestorm

一种极高性能的网络入侵检测系统（NIDS）。

http://www.scaramanga.co.uk/firestorm/

10.MozDef

Mozilla防御平台,一套实时集成化平台，能够实现监控、反应、协作并改进相关保护功能。

https://github.com/mozilla/MozDef

11.驭龙HIDS

开源的主机入侵检测系统。

https://github.com/ysrc/yulong-hids

12.whids

带有检测驱动的工件收集的EDR。

https://github.com/0xrawsec/whids

13.AgentSmith-HIDS

轻量级的HIDS系统，低性能损失，使用LKM技术的HIDS工具。

https://github.com/DianrongSecurity/AgentSmith-HIDS

14.Sobek-Hids

一个基于python的HostIDS系统。

http://www.codeforge.cn/article/331327

15.Security Onion

免费开源网络安全监控系统。

https://securityonion.net/

16.OpenWIPS-ng

一款开源的模块化无线IPS（Intrusion Prevention System，入侵防御系统）。

http://openwips-ng.org/

17.Moloch

网络流量收集与分析。

https://www.dictionary.com/browse/moloch

其他的具有开源HIDS类似功能的项目

1. Brot：轻量级的日志管理和监控系统，适用于容器化环境。
2. AIDE (Advanced Intrusion Detection Environment)：专注于文件完整性检查。
3. Tripwire：另一个流行的文件完整性监控工具。
4. Logwatch：通过解析系统日志来生成易于阅读的报告。
5. Samhain：一种实时的文件完整性检查器。
6. rk Hunter：用于查找rootkit和其他恶意软件的工具。
7. chkrootkit：专门用于检测Linux系统的rootkit。
8. Lynis：一个安全审计工具，可以帮助发现潜在的安全问题。
9. Wireshark：网络协议分析器，可以用来捕获和分析网络流量。（虽然主要用于网络流量监控，但也可用于检测异常活动）
10. Zeek (以前称为Bro)：一种强大的网络分析框架，也可用于HIDS。
11. Sysdig：提供系统级的容器监控和故障排除能力。
12. Falco：专为Kubernetes设计的运行时安全监控工具。
13. Filebeat：轻量级的数据收集器，常与Elasticsearch和Logstash配合使用。
14. AuditD：Linux内核自带的审计框架。
15. Rsyslog：高性能的日志处理系统。
16. Graylog：集中式日志管理解决方案。
17. Splunk：商业产品，但其免费版本也很受欢迎。
18. ELSA (Elastic Logstash and Kibana)：一套完整的日志管理和可视化工具链。
19. Prometheus：监控系统，可以用于跟踪各种指标。
20. Grafana：开源的数据可视化平台，通常与Prometheus搭配使用。
21. Cacti：网络流量监测图形分析工具。
22. Zabbix：企业级监控解决方案。
23. Nagios：另一款流行的IT基础设施监控工具。
24. Squert：针对Web应用的安全监控工具。
25. ModSecurity：Apache、NGINX等Web服务器的模块，用于增强HTTP请求的安全性。
26. Fail2Ban：阻止暴力破解攻击的工具。
27. Yara：用于识别和分类文件的工具，特别适合恶意软件分析。
28. Cuckoo Sandbox：自动化恶意软件分析沙盒。
29. TheHive：开源的安全事件响应平台。
30. Cortex：TheHive的一个组件，提供了更高级的分析功能。
31. MISP (Malware Information Sharing Platform)：威胁共享平台，促进信息共享以对抗网络威胁。
32. AlienVault USM (Unified Security Management)：提供全面的网络安全管理解决方案。
33. Prewly：用于快速创建自定义报告的工具。
34. Phantom Cyber：集成多个安全产品的自动化响应平台。
35. CyberChef：在线工具，用于解析和转换数据格式。