チェックしてみませんか http://sectools.org/
オープンソース(クローズドソースバージョンがあります)の整合性チェッカーで、ハッシュを使用して侵入者が残したファイルの変更を検出します。
OpenBSDにはmtree(8)があります: http://www.openbsd.org/cgi-bin/man.cgi?query=mtree これは、指定されたディレクトリ階層でファイルが変更されました。
Logcheck は、システム管理者が制御下のホストで生成されたログファイルを表示できるように設計されたシンプルなユーティリティです。
これは、最初に「通常の」エントリを除外した後、ログファイルの要約をメールで送信することによって行われます。通常のエントリは、データベースに含まれている多くの正規表現ファイルの1つに一致するエントリです。
正常なセキュリティルーチンの一部としてログを監視する必要があります。また、他の多くの(ハードウェア、認証、ロード...)異常をトラップするのにも役立ちます。
DenyHosts SSHサーバー用。
NIDSの場合、SuricataとBroはsnortの2つの無料の代替手段です。
3つすべてについて説明する興味深い記事を次に示します。
http://blog.securitymonks.com/2010/08/26/three-little-idsips-engines-build-their-open-source-solutions/
言及する必要があります [〜#〜] ossec [〜#〜] 、これはHIDSです。
Second Look は、Linuxシステムでの侵入検知のための強力なツールである商用製品です。メモリフォレンジックを使用してカーネルと実行中のすべてのプロセスを調べ、それらを参照データ(配布ベンダーまたは承認されたカスタム/サードパーティソフトウェアから)と比較します。この整合性検証アプローチを使用して、システムで実行されているカーネルルートキットとバックドア、挿入されたスレッドとライブラリ、その他のLinuxマルウェアを検出します。署名やその他の事前知識はありません。
これは、他の回答で言及されているツール/テクニックへの補完的なアプローチです(たとえば、Tripwireによるファイル整合性チェック、Snort、Bro、またはSuricataによるネットワークベースの侵入検知、ログ分析など)。
免責事項:私はSecond Lookの開発者です。