Top1: Wazuh

Github: https://github.com/wazuh/wazuh

系統(tǒng)特點(diǎn):

• 集成文件完整性監(jiān)控(FIM)、日志分析、Rootkit檢測(cè)。
• 強(qiáng)大的規(guī)則引擎+主動(dòng)響應(yīng)。
• Web界面+ElasticStack支持。
• 具備Kubernetes感知能力并支持容器運(yùn)行時(shí)事件。
• 內(nèi)置PCI/GDPR/HIPAA策略檢查。

使用場(chǎng)景：需要具備審計(jì)準(zhǔn)備能力的合規(guī)工具和可擴(kuò)展的企業(yè)級(jí)部署方案。

Top2：Elkeid

Github:https://github.com/bytedance/Elkeid

系統(tǒng)特點(diǎn):

• 由字節(jié)跳動(dòng)構(gòu)建，用于大規(guī)模 eBPF 主機(jī)探測(cè)。
• 基于 Kafka 的檢測(cè)管道。
• 基于插件的規(guī)則引擎,使用Go/lua。
• 基于容器原生架構(gòu), 具備eBPF與netlink的可觀測(cè)能力。
• 在現(xiàn)代Linux內(nèi)核上具有極高性能。

使用場(chǎng)景：需要針對(duì)容器化工作負(fù)載和分布式基礎(chǔ)設(shè)施的云規(guī)模主機(jī)入侵檢測(cè)系統(tǒng)（HIDS）。

Top3：Falco

Github: https://github.com/falcosecurity/falco

系統(tǒng)特點(diǎn):

• CNCF沙箱項(xiàng)目。
• 通過 eBPF 實(shí)現(xiàn)實(shí)時(shí)系統(tǒng)調(diào)用監(jiān)控。
• 內(nèi)置針對(duì) Kubernetes 特有威脅的規(guī)則（例如：容器內(nèi)開啟 shell、二進(jìn)制被修改）。
• 輕量且高效，可導(dǎo)出數(shù)據(jù)至 Prometheus 或 SIEM 系統(tǒng)。
• 支持 CRI-O、containerd 插件及 Pod 安全策略。

使用場(chǎng)景:需要一個(gè)快速、原生支持容器環(huán)境的運(yùn)行時(shí)檢測(cè)引擎。

Top4：OSSEC

Github:https://github.com/ossec/ossec-hids

系統(tǒng)特點(diǎn):

• 基于日志的檢測(cè)，支持較完善的文件完整性監(jiān)控（FIM）。
• 支持 Syslog 集成，可自定義調(diào)整規(guī)則。
• 穩(wěn)定可靠，適用于傳統(tǒng)環(huán)境。
• 占用資源極低。

使用場(chǎng)景：需要在傳統(tǒng)、靜態(tài)或資源受限系統(tǒng)中部署一個(gè)輕量級(jí)的主機(jī)入侵檢測(cè)系統(tǒng)（HIDS）。

Top5: Audit + AIDE

• Github(Audit):https://github.com/linux-audit/audit-userspace
• Github(AIDE): https://github.com/aide/aide

系統(tǒng)特點(diǎn):

• 極其輕量級(jí)。
• 適用于加固系統(tǒng)和資源受限設(shè)備。
• 被廣泛應(yīng)用于高安全等級(jí)環(huán)境（如 NSA/CIS 基準(zhǔn)）

使用場(chǎng)景：希望對(duì)監(jiān)控內(nèi)容、日志記錄方式以及后續(xù)處理流程擁有完全控制權(quán)。