n  NSTAT – расширение USTAT для работы с несколькими узлами, позволяет учитывать атаки на узлы, использующие NFS.

n  WinSTAT – также относится к IDS контролирующим отдельный узел и предназначен для анализа системных логов Windows NT для обнаружения следов возможных атак.

n  LinSTAT – представляет собой демон контроля происходящих событий в Linux-системах, для этих целей используется пакет SNARE, разработанный InterSect Alliance (http://www.intersectalliance.com).

n  NetSTAT – относится к сетевым системам обнаружения атак, анализирует сетевой трафик на предмет наличия пакетов, содержащих угрозу.

n  WebSTAT – application-based IDS, а по сути синтаксический анализатор лог-файлов, сгенерированых веб-сервером Apache, позволяющий обнаружить атаки и злонамеренные запросы.

n  LogSTAT – сенсор, анализирующий журналы формата UNIX syslog, но имеет библиотеку расширения, позволяющую отслеживать критические записи и в журналах Apache.

n  AlertSTAT – хотя и назван в некоторых документах датчиком, но относится к инструменту анализа выводов других датчиков и позволяет обнаруживать атаки более высокого уровня, в том числе и распределенные и многоступенчатые атаки.

Установка и работа

Домашняя страница проекта в Интернете находится по адресу http://www.cs.ucsb.edu/~kemm/netstat.html/projects.html, здесь вы найдете документацию и собственно сам софт. Страница для закачки разбита по приложениям, причем если вы хотите установить только LinSTAT (http://www.cs.ucsb.edu/~kemm/netstat.html/software/linstat.html), то на этой странице найдете все необходимые компоненты для удовлетворения зависимостей. Доступны как прекомпилированные rpm-пакеты (для RedHat 7.3), так и исходные тексты. Надо сказать, что в rpm-пакетах можно найти только базовые приложения, да и то, например, модули ядра будут работать только с тем ядром, для которого они компилированы, при использовании в другой системе получите примерно такое сообщение:

Starting linuxstat services: insmod: error inserting

'/usr/local/stat/sensors/linuxstat_sensor_1.0/auditmodule.o': -1 Invalid module format 

Поэтому наиболее общим вариантом будет установка из исходников. Как сказано в документации, для установки достаточно ввести стандартные ./configure, make, make install и все. Но при установке MetaSTAT (с остальными приложениями проблем практически не было) на RedHat 7.3 и 9, SuSE 9.1, Linux XP, Slackware 9.1, проблемы возникали в каждом случае (в RedHat 7.3 и Slackware меньше) поэтому, скорее всего, придется немного повозиться в каждом конкретном случае. Например, такая ошибка преследовала во всех системах.

checking for libxml/parser.h... no

The STAT Core needs libxml2 headers installed before it can be compiled (note that a link called