- Công cụ phát hiện xâm nhập dựa trên máy chủ (HIDS): OSSEC
OSSEC là một công cụ mã nguồn mở phát hiện xâm nhập trên host. Công cụ này cung cấp nền tảng phân tích log, kiểm tra tính toàn vẹn của tập tin, phát hiện rootkit, giám sát chính sách, thời gian thực và đưa ra cảnh báo.
- Công cụ phát hiện xâm nhập (NIDS): Suricata
Suricata là một công cụ IDS/IPS mã nguồn mở được tích hợp vào OSSIM nhằm phát hiện xâm nhập, theo dõi lưu lượng mạng. Suricata cũng hoạt động dựa trên luật được thay thế cho Snort ở phiên bản AlienVault OSSIM 5.2.
Công cụ này tính năng tương tự như Snort và hỗ trợ Snort (VRT) Rules tuy nhiên cách làm việc cuả chúng khác nhau. Snort sử dụng Single-threaded (đơn luồng) trong khi đó Suricata chạy Multi-threaded (đa luồng).
- Công cụ phát hiện xâm nhập không dây Wireless intrusion detection system (WIDS): Kismet
Kismet là công cụ phát hiện xâm nhập không dây, công cụ này làm việc chủ yếu với mạng Wi-fi (IEEE 802.11) nhưng có thể xử lý các loại mạng khác thông qua Plug-in.
- Công cụ giám sát các nút mạng (Monitoring of nodes of network): Nagios Nagios là công cụ giám sát mạng, các kết nối, theo dõi sự sẵn sàng, thời gian hoạt động và thời gian đáp ứng của tất cả các nút trên mạng.
- Công cụ phân tích bất thường trong mạng (Analysis of network anomalies): P0f, PADS, Arpwatch, etc.
ARP là một giao thức trong bộ giao thức TCP/IP, dùng để ánh xạ các địa chỉ IP thành địa chỉ vật lý (MAC) trong mạng cục bộ.
Arpwatch: là một công cụ giám sát hoạt động ethernet và lưu giữ một cơ sở dữ liệu của ethernet cùng với địa chỉ IP. Hoạt động của Arpwatch bao gồm hai bước chính. Trước hết, chương trình sẽ thu thập và lưu giữ những cặp ánh xạ địa chỉ vật lý – địa chỉ IP của các máy tình trong mạng. Ví dụ một máy tính trong mạng đang hoạt động với địa chỉ IP x.y.z.t có địa chỉ vật lý của giao diện mạng là aa:bb:cc:dd:ee:ff. Sau bước này, chương trình sẽ giám sát các luồng dữ liệu lưu thông trên mạng, nếu chương trình phát hiện thấy một gói tin nào đó mang thông tin địa chỉ IP là x.y.z.t và địa chỉ vật lý khác aa:bb:cc:dd:ee:ff thì hệ thống sẽ phát ra cảnh báo. Vì trường hợp này có thể xảy ra khả năng một máy tính khác đang giả mạo địa chỉ IP x.y.z.t.
PADs: là công cụ phát hiện thụ động tài sản. Công cụ này theo dõi lưu lượng mạng, các bản ghi log và dịch vụ. Dữ liệu này được theo dõi bởi OSSIM khi có sự bất thường trong dịch vụ mạng.
P0f: Công cụ P0f được sử dụng thu thập thông tin về hệ điều hành. Công cụ này theo dõi lưu lượng truy cập mạng và xác định hệ điều hành. Thông tin này rất hữu ích trong quá trình suy luận tương quan.
- Công cụ Quét lỗ hổng trong hệ thống (Vulnerability scanner): OpenVAS Đây là một công cụ mã nguồn mở quét lỗ hổng phổ biến. Được sử dụng để quản lý và quét các lỗ hổng trong hệ thống mạng.