Відповіді:
Спочатку був випущений у 1998 році засновником Sourcefire та CTO Мартіном Рошем, Snort - це безкоштовна система виявлення та запобігання вторгнень з відкритим кодом, здатна виконувати аналіз трафіку в режимі реального часу та ведення журналів пакетів в мережах IP. Спочатку називали «легкою» технологією виявлення вторгнень, Snort перетворився на зрілу, багатофункціональну технологію IPS, яка стала фактичним стандартом у виявленні та запобіганні вторгнень. Маючи майже 4 мільйони завантажень і приблизно 300 000 зареєстрованих користувачів Snort, це найпоширеніша технологія запобігання вторгнень у світі.
Чому б не перевірити http://sectools.org/
OpenBSD має mtree (8): http://www.openbsd.org/cgi-bin/man.cgi?query=mtree Він перевіряє, чи змінилися файли у визначеній ієрархії каталогів.
Logcheck - це проста утиліта, розроблена для того, щоб дозволити системному адміністратору переглядати журнали, які створюються на хостах під їх контролем.
Це робиться, надсилаючи до них підсумки журналів, після того як спочатку відфільтрувати "звичайні" записи. Звичайні записи - це записи, які відповідають одному з безлічі включених файлів регулярних виразів, що містяться в базі даних.
Ви повинні дивитися ваші журнали як частину здорової програми безпеки. Це також допоможе захопити безліч інших (апаратних, автентичних, завантажувальних ...) аномалій.
Для СНІДу, Суріката та Бро є двома безкоштовними альтернативами фронт.
Ось цікава стаття, яка обговорює всі три з них:
http://blog.securitymonks.com/2010/08/26/three-little-idsips-engines-build-their-open-source-solutions/
Second Look - комерційний продукт, який є потужним інструментом виявлення вторгнень в системах Linux. Він використовує криміналістику пам'яті для вивчення ядра та всіх запущених процесів і порівнює їх з довідковими даними (від постачальника дистрибутиву або дозволеного користувальницького / стороннього програмного забезпечення). Використовуючи цей підхід до перевірки цілісності, він виявляє руткіти ядра та заднім числом, вводить потоки та бібліотеки та інше зловмисне програмне забезпечення Linux, що працює на ваших системах, без підписів та інших апріорних знань про шкідливе програмне забезпечення.
Це додатковий підхід до інструментів / методів, згаданих в інших відповідях (наприклад, перевірка цілісності файлів за допомогою Tripwire; мережеве виявлення вторгнень за допомогою Snort, Bro або Suricata; аналіз журналу тощо)
Відмова: Я розробник Second Look.