Herramienta Tipo Snort NIDS BRO NIDS Suricata NIDS/IPS Security Onion NIDS Openwips-NG WIPS (Wireless) Sagan NIDS Vortexids NIDS

Open source y freeware Herramienta Tipo

Snort NIDS

BRO NIDS

Suricata NIDS/IPS

Security Onion NIDS

OpenWIPS-NG WIPS (wireless)

Sagan NIDS

VortexIDS NIDS

OSSEC HIDS

Prelude SIEM Gestión

SnortReport Gestión OSSIM Gestión

SGUIL Gestión

SIDSC Gestión

IRDM-HTN IRS

OrBAC IRS Comerciales (ordenados por top sellings y cuadrante mágico de gartner) Herramienta Tipo

Sourcefire Cisco NGIPS

TippingPoint IPS IPS

Check Point IPS IPS

HP-UX HIDS

McAfee Network Security Platform IPS RealSecure Server Sensor HIDS

RealSecure Network Sensor NIDS

ISA Server HIDS

Cisco Secure Intrusion Detection System NIDS

Dragon NIDS

ArcSight SIEM platform Gestión

GFI Events Mananger Gestión

Cisco Security Information Event Gestión

McAfee Enterprise Log Manager Gestión

Management Gestión Open source y freeware URL

https://www.snort.org/

https://www.bro.org/

http://suricata-ids.org/

http://securityonion.net

http://openwips-ng.org/

http://sagan.quadrantsec.com/

https://github.com/jandre/vortex-ids

http://www.ossec.net/

https://www.prelude-ids.org/

http://freecode.com/projects/snortreport http://trac.osgeo.org/ossim/

sguil.sourceforge.net/

http://sourceforge.net/projects/sidsc/

Cita:Mu, C., & Li, Y. (2010). An intrusion response decision-making model based on hierarchical task network planning. Expert systems with applications, 37(3), 2465-2472.

http://orbac.org/ Comerciales (ordenados por top sellings y cuadrante mágico de gartner) URL

http://www.sourcefire.com/

www8.hp.com/

https://www.checkpoint.com/

https://h20392.www2.hp.com/

http://www.mcafee.com/ ibm.com/services/us/iss

http://www.iss.net

http://www.isaserver.org/

http://www.cisco.com

http://www.enterasys.com/ids

http://www.ndm.net/siem/arcsight/

http://www.gfi.com/

www.cisco.com/

http://www.mcafee.com

https://www.alienvault.com/ Open source y freeware Características principales

Análisis de tráfico en tiempo real, captura el tráfico que circula por la red aprovechando al máximo los recursos de procesamiento, (velocidad máxima de monitoreo 1Gbps) Basado en UNIX, monitorea pasivamente el tráfico de la red en busca de actividaees sospechosas, tiene la capacidad de realizar análisis multicapa.

Basado en un motor para el monitoreo de la Seguridad en la red.Es el NIDS mas joven pero con desarrollo rápido. Puede analizar más tráfico de red que Snort y de manera eficiente.

Es un IDS de red basado en distribución Linux, puede ser distribuido como sensores en la red permitiendo monitorerar multiples VLANs, compartible con ambientes viruales, compatible con BRO y OSSEC

Creado por Aircrack-NG, utiliza algunos servicios y funciones ya desarrollados como el de escaneo, dtección y prevención de intrusos y permite descargar plugins para mejorar la herramienta.

Está escrito en C y utiliza una arquitectura multi-hilo para ofrecer un alto registro de rendimiento y análisis de eventos . Compatible con Snort y " Snortsam "

A partir de un fichero .pcap , es capaz de reensamblar los flujos TCP para crear una serie de fichero con los datos de la captura para su posterior análisis.

Es un proyecto de gestión de Logs, que monitoriza una máquina, y detecta las anomalías que puedan producirse en ella. Utilizando herramientas para la detección de rootkits, y tiene la capacidad de analizar logs.

IDS distribuido que recolecta, correlaciona y analiza todos los eventos de sensores remotos IDS, sensores del sistema local

Es un módulo adicional para el sistema de detección de intrusiones Snort . Proporciona informes en tiempo real de la base de datos MySQL generado por Snort . OSSIM es sinónimo de código abierto de gestión de seguridad de la información. Su objetivo es proporcionar una recopilación completa de las herramientas que, al trabajar juntos, conceder a los administradores de red / seguridad con una visión detallada sobre cada aspecto de las redes , hosts , dispositivos de acceso físicos y servidores.

Presenta una interfaz gráfica de usuario intuitiva que proporciona acceso a los eventos en tiempo real, datos de la sesión , y capturas de paquetes. Sguil facilita la práctica de la supervisión de la seguridad de redes y análisis orientado a eventos .

Es una consola basada en navegador para la visualización y gestión de Snort IDS alertas .

Es un IRS presentado en el 2010 que basa su criterio de valoración de riesgos en metricas de ataque

Sistema de Respuesta a Intrusiones que define un framework conceptual e industrial que protege a la red de manera proactiva Comerciales (ordenados por top sellings y cuadrante mágico de gartner) Características principales Nueva generación de IPS, después de su alianza con cisco, lider en la detección de amenazas basado en red con una velocidad efectiva de hasta 60Gbps.

Opera en línea en la red, brindando una seguridad proactiva de la red optimizando el desempeño del tráfico deseado mediante una limpieza continua en la red El Sistema de prevención de intrusiones de Check Point Software ofrece alto rendimiento con la ventaja de implementación y administración de una solución de servidor de seguridad unificada y escalable .

Es un software de seguridad basado en host que permite a los administradores supervisar de forma proactiva , detectar y responder a los dos ataques conocidos y desconocidos que se originan en la red o en el host

IPS que escubre y bloquea amenazas sofisticadas en la red mediante el uso de múltiples técnicas de detección basadas en firmas , la emulación en tiempo real , y la integración de punto final . Herramienta de IBM que ofrece un IDS e IPS en tiempo real. Es un sensor que analiza los eventos y logs de cada host bloqueando actividad maliciosa. El sensor de la red busca miles de firmas de ataques conocidos para detectar intrusiones, debe ser instalado en una máquina dedicada.

Integrado en un hardware preconfigurado que incluye un servidor con una versión reducida de Windows Server preinstalado

Anteriormente llamado NetRanger, El sistema de detección de intrusiones de Cisco Secure ( PEIDC ) es un IDS en tiempo real , basado en la red diseñados para detectar , informar y poner fin a la actividad no autorizada a través de una red

La arquitectura del Dragón se compone de uno o más sensores controlados desde un servidor central el cual administra la configuración de cada sensor. Ofrece un conjunto de herramientas para obtener información SIEM - seguridad y gestión de eventos. Es un dispositivo autónomo , y los programas de gestión se ejecutan en Linux , Windows , AIX y Solaris .

Administrador de log de eventos que para garantizar la fiabilidad, seguridad, disponibilidad e integridad del sistema, monitorea y administra una plataforma completa TI. Es un infraestructura CISCO que integra firewalls, routers, IDS, IPS y otros sistemas que son fuentes de eventos de seguridad de información. Proporciona reportes necesarios para identificar las amenazas críticas , responder rápidamente y con facilidad frente a los requisitos de cumplimiento .

Conjunto de herramientas bajo la licencias GPL, diseñadas para facilitar la administración de la seguridad de una red mediante la detección y prevenciónde intrusos. Análisis Comparativo IDS Open Source Herramientas Bro Snort Suricata

Procesamiento Multihilo No No Yes

Soporte completo de IPv6 Yes Some Complete reputación IP Somewhat No Yes (soon)

Detección automatizada Protocolo Yes No Yes

Aceleración GPU No No Yes (soon)

Variables globales / Flowbits Yes No Yes (soon)

Soporte en línea de Windows No No Yes

GeoIP búsquedas Yes No Yes (soon)

Avanzada de análisis HTTP Yes No Yes HTTP Registro de acceso Yes No Yes

SMB Acceso Registro Planned No Yes (soon)

HTTP ListaBloqueados búsquedas Yes No Yes (soon) libre Yes Some Yes En desarrollo…. IPS

SIEM