OSSEC 是一个开源的基于主机的入侵检测系统。

     

      OSSEC 的功能主要有：

            1.日志分析 Log analysis

            2.文件完整性检查 File Integrity checking (For Unix and Windows)

            3.注册表完整性检查 Registry Integrity checking(For Windows)

            4.异常检测 Host-Based anomaly dection(For Unix - RootKit dection)

            5.主动响应 Active response

 

      OSSEC 最基本的功能是日志分析，因此他又是一个基于日志的入侵检测系统(LID）。

     

      OSSEC主要分为以下几个模块：

            1.Analysisd - 做全部的分析（主模块）

            2.Remoted - 从代理接受远程的日志

            3.Logcollector - 读取日志文件（只读不分析）

            4.Agentd - 把日志传送到服务器

            5.Maild - 通过邮件发送告警

     

      以下是OSSEC的一些其他特点：   

            1.OSSEC采用C语言编写，因此有着良好的性能与可移植性。

            2.OSSEC有着自己的规则库（Rules），规则采用XML格式储存，用户还可以方便的添加自己的规则。

            3.OSSEC有着自己的解码器（Decoder），告诉系统如何按照OSSEC的方式，正确的识别日志信息，解码规则同样用XML格式储存，用户同样可以方便的扩充解码规则。

            4.OSSEC用正则表达式匹配（Regular Expression），进一步保证了速度与可移植性。                                      

      

      我的OSSEC系列的其他文章列表：

      OSSEC an open source HIDS --- Log Analysised(1)

      OSSEC an open source HIDS --- Log Analysised(2)

 

 

 

      References：《Log Analysis using OSSEC》  Daniel B. Cid