Anche se le violazioni della sicurezza ben pubblicizzati di server di Google in Cina è un pubblico , esempio di alto profilo del calcolo delle intrusioni di sistema, amministratori di sistema che controllano le scansioni delle porte e dei tentativi di intrusione a volte vedere decine o centinaia di scansioni al giorno . Scansioni delle porte e tentativi di intrusione sono molto più comuni di quanto si pensi . Sebbene la maggior parte dei ponti di Internet a casa neutralizzano la maggior parte di queste scansioni e tentativi , le aziende che hanno bisogno di porte Internet esposti possono avere bisogno di un più robusto sistema di rilevamento delle intrusioni . Portsentry

La forma più elementare di rilevamento delle intrusioni su Linux è Portsentry . Quando un hacker si rivolge a un sistema , un primo passo comune è quello di eseguire la scansione del sistema per le porte aperte . Una porta consente all'hacker di connettersi a un sistema per tentare di violare la sicurezza di quel porto . Portsentry rileverà una scansione delle porte e rilasciare tutti gli indirizzi IP da future ( IP) di Internet Protocol indirizzo da cui ha avuto origine la scansione . Portsentry è completamente configurabile e può inviare i tentativi di port scan ei PI, originarie di un amministratore per ulteriori indagini .
COPERCHI

Linux Intrusion Detection System ( coperchi) è un kernel a livello di modulo che aiuta le intrusioni di senso e limiti di funzionalità utente root , come porta di accesso diretto o di memoria e disco grezzo scrive . Protegge anche alcuni file di log per fermare un intruso dal coprire le sue tracce o cambiando le regole del firewall . COPERCHI è installato come modulo del kernel per rendere il processo unkillable a chiunque , inclusi gli utenti root . La premessa di base dei coperchi è quello di effettuare una chiamata kernel con ogni operazione di file per verificare se il file è protetto da coperchi e se l'utente è autorizzato ad accedere al file . Se non c'è una corrispondenza , una intrusione viene rilevato sulla base di un modo in cui il sistema è configurato .
Snort

Snort è uno dei più - capace dei sistemi di rilevamento delle intrusioni di Linux . Esso combina un sistema altamente configurabile della firma , il protocollo e le ispezioni anomalia -based. Snort utilizza regole linguaggio flessibile per determinare quali dati devono essere bloccate come un'intrusione e quali dati dovrebbero essere autorizzati a passare. Offre i plug-in per creare un sistema espandibile per rilevare nuovi o emergenti tipi di intrusioni . Può essere configurato come uno sniffer di base , un logger di pacchetto o di un sistema di rilevamento delle intrusioni di rete completa . Snort offre comunità sviluppato regole scaricabili di rilevamento delle intrusioni per aiutare a mantenere la sicurezza in tutto 300.000 utenti registrati di Snort .

• Strumenti di monitoraggio di sicurezza di rete 
• Come aggirare i filtri web