http://blog.securitymonks.com/2010/08/26/three-little-idsips-engines-build-their-open-source-solutions/IDS, IPS에 관심이 있는 사람은 한번 쯤 읽어야 할 문서라고 본다.Three Open Source IDS/IPS Engines: The SetupAug 26th, 2010 by John GerberConfused over the different functionality and information IDS/IPS engines provide? Are you looking for an open source solution? There are options, each with different features and st..
https://www.bro.org/ Bro를 잠시 리뷰해 보았다. "Bro는 침입탑지 시스템중 하나이다."라고 단순하게 말하기에는 많은 변화가 있었다. 여러 가지 장점이 생겼는데, 개인적으로 높이 평가하고 싶은 사항은 클러스터링, 스크립트 언어, 로드밸런싱 메카니즘 등 이다. 본연의 기능 및 성능과 확장성을 고려한 발전이 두드러진다고 생각한다. Bro는 네트워크 패킷을 읽어 유해한 내용을 탐지하는 일종의 Network IDS(Intrusion detection system)라는 포인트 솔루션에서 출발하여, 발전에 발전을 거듭해서, 이제는(2014) 다양한 탐지를 수행하고 클러스터링과 스케일러빌리티를 갖추는 등 하나의 보안 프레임워크로써 자리잡게 되었다. 내가 Bro는 처음 보았을 때, 대략 10여년 전..
ELSA(Enterprise Log Search and Archive)는 중앙집중형 로그 관리를 위한 솔루션으로, Syslog-NG, MySQL, Sphinx full-text search 상에서 만들어진 도구이다. 이는 완전한 비동기 웹기반 쿼리 인터페이스를 제공하는데, 로그 정규화와 수십억의 로그로 부터 웹에서 검색하는 것 처럼 임의의 문자열 검색을 가능하게 한다. 또한, 로그를 보는 권한 할당 기능과 전자우편 기반의 경보, 스케쥴 쿼리, 그래프를 지원한다.특장점:High-volume receiving/indexing (a single node can receive > 30k logs/sec, sustained)Full Active Directory/LDAP integration for authent..
Snort®는 소스파이어에서 개발되고 있는 오픈 소스 네트워크 침입 방지/탐지 시스템(NIPS/NIDS)이다. 시그니처(signature), 프로토콜(protocol), 비정상탐지(anomaly-based inspection)을 조합한 스노트는 전세계적으로 가장 넓게 사용되고 있는 IDS/IPS 기술이다. 수백만 다운로드와 약 40만명의 등록된 사용자들과 함께, Snort는 IPS의 사실상 표준이다.각설하고,......Luca Deri의 페이퍼 "Improving Passive Packet Capture: Beyond Device Polling"에서 소개된 NAPI, PF_RING은 기존 libpcap의 성능을 1)NAPI를 사용(device polling)하고, 2) winpcap처럼 ring 버퍼를 ..