11. IDS （Intrusion detection systems 入侵检测系统 6个）

Snort
该网络入侵检测和防御系统擅长于IP网络上的流量分析和数据包记录。 通过协议分析，内容研究和各种预处理器，Snort可以检测到数千个蠕虫，漏洞利用尝试，端口扫描和其他可疑行为。 Snort使用灵活的基于规则的语言来描述应该收集或通过的流量，以及模块化检测引擎。 还可以查看免费的基本分析和安全引擎（BASE）http://secureideas.sourceforge.net/ ，这是一个用于分析Snort警报的Web界面。
虽然Snort本身是免费和开放源代码，但母公司SourceFire http://www.sourcefire.com/ 提供其每年每个传感器499美元的VRT认证规则，以及具有更多企业级功能的软件和应用的补充产品线。 Sourcefire还提供30天的免费使用。

OSSEC HIDS执行日志分析，完整性检查，rootkit检测，基于时间的警报和主动响应。 除了其IDS功能，它通常用作SEM / SIM解决方案。 由于其强大的日志分析引擎，ISP，大学和数据中心正在运行OSSEC HIDS来监控和分析其防火墙，IDS，Web服务器和身份验证日志。

Alienvault OSSIM代表开源安全信息管理。 其目标是提供全面的工具汇集，当共同合作时，可以向网络/安全管理员提供网络、主机、物理访问设备和服务器的每个方面的详细视图。 OSSIM组合了其他几个工具，包括Nagios和OSSEC HIDS

Sguil（发音为sgweel）由网络安全分析师为网络安全分析师构建。 Sguil的主要组件是直观的GUI，提供对实时事件，会话数据和原始数据包捕获的访问方法。 Sguil促进了网络安全监控和事件驱动分析的实践。

ArcSight为SIEM安全信息和事件管理提供了一套工具。 最著名的似乎是ArcSight企业安全管理器（ESM），被称为SIEM平台的“大脑”。 它是一个日志分析器和相关引擎，用于筛选重要的网络事件。 ESM本身是独立的应用，管理程序在Linux，Windows，AIX和Solaris上运行。 对于开放源代码，请参阅OSSEC HIDS和OSSIM

Honeyd是在网络上创建虚拟主机的小型守护程序。 主机可以配置为运行任意服务，并且可以调整其TCP个性，使其似乎运行某些版本的操作系统。 Honeyd使单个主机能够在LAN上声明多个地址进行网络仿真。 可以ping虚拟机，或跟踪它们。 可以根据简单的配置文件对虚拟机上的任何类型的服务进行模拟。 也可以代理其他机器服务，而不是模拟它们。 它有很多库依赖，可能使Honeyd的编译/安装变得困难。