Ответы:
Из их о странице :
Изначально выпущенная в 1998 году основателем Sourcefire и техническим директором Мартином Рошем, Snort - это бесплатная система обнаружения и предотвращения вторжений в сеть с открытым исходным кодом, способная выполнять анализ трафика в реальном времени и протоколирование пакетов в IP-сетях. Изначально называемая «облегченной» технологией обнаружения вторжений, Snort превратилась в зрелую, многофункциональную технологию IPS, которая фактически стала стандартом в обнаружении и предотвращении вторжений. С почти 4 миллионами загрузок и приблизительно 300 000 зарегистрированных пользователей Snort, это самая широко распространенная технология предотвращения вторжений в мире.
Почему бы вам не проверить http://sectools.org/
OpenBSD имеет mtree (8): http://www.openbsd.org/cgi-bin/man.cgi?query=mtree. Он проверяет, были ли какие-либо файлы изменены в данной иерархии каталогов.
Logcheck - это простая утилита, которая предназначена для того, чтобы системный администратор мог просматривать файлы журналов, созданные на хостах, находящихся под их контролем.
Он делает это, отправляя им сводки лог-файлов, предварительно отфильтровав «нормальные» записи. Обычные записи - это записи, которые соответствуют одному из множества включенных файлов регулярных выражений, содержащихся в базе данных.
Вы должны смотреть свои журналы как часть здоровой рутины безопасности. Это также поможет отловить множество других (аппаратное обеспечение, аутентификация, загрузка ...) аномалий.
Для NIDS Suricata и Bro - две бесплатные альтернативы для фырканья.
Вот интересная статья, в которой обсуждаются все три из них:
http://blog.securitymonks.com/2010/08/26/three-little-idsips-engines-build-their-open-source-solutions/
Должен упомянуть OSSEC , который является HIDS.
Second Look - это коммерческий продукт, который является мощным инструментом для обнаружения вторжений в системах Linux. Он использует криминалистику памяти для проверки ядра и всех запущенных процессов и сравнивает их со справочными данными (от поставщика дистрибутива или авторизованного программного обеспечения сторонних производителей). Используя этот подход проверки целостности, он обнаруживает руткиты и бэкдоры ядра, внедренные потоки и библиотеки и другие вредоносные программы Linux, работающие в ваших системах, без сигнатур или других априорных знаний о вредоносном ПО.
Это дополнительный подход к инструментам / методам, упомянутым в других ответах (например, проверка целостности файлов с помощью Tripwire; сетевое обнаружение вторжений с помощью Snort, Bro или Suricata; анализ журналов и т. Д.)
Отказ от ответственности: я разработчик Second Look.