关于甲方入侵检测的事儿

  • A+
所属分类:安全闲碎

前几天在微信公众平台上说过

关于甲方入侵检测的事儿


但是后面调研发现做这套系统需要花大量的人力成本在里面,某同事说过在前公司也尝试过做这件事情,三个人做了几个月最终选择放弃不做。考虑到成本问题,大部分企业会采用ossec开源主机入侵检测系统。


有人早在13年的时候写过文章介绍了五款入侵检测系统的介绍,也有人写出了它们的一些优缺点,下面是参考资料

https://blog.csdn.net/cnbird2008/article/details/8730017

https://www.cnblogs.com/gaoyuechen/p/8594167.html


而我眼中的入侵检测系统是要把日志实时汇总到一个服务器,再由平台去读取这台服务器日志。


同时希望它具备的功能有以下几点:

1、识别系统登陆用户(包含创建用户行为)

2、文件操作日志(检查系统文件是否有新建或更改)

3、webshell检测(识别指纹,还可以判断文件内容是否包含eval、exec之类的参数)

4、识别接口是否被刷(是否有异常流量)

5、shell执行命令监控

6、区分攻击日志(识别攻击者指纹,记录ip、useragent、攻击路径等。有点类似于溯源平台)

7、待补充


当然我掌握的面比较少,目前仅能想到这些东西了。


关于入侵检测的介绍,百度百科是这么说的…

https://baike.baidu.com/item/%E5%85%A5%E4%BE%B5%E6%A3%80%E6%B5%8B/326615?fr=aladdin


https://baike.baidu.com/item/%E5%85%A5%E4%BE%B5%E6%A3%80%E6%B5%8B%E7%B3%BB%E7%BB%9F/404710


为什么我想做这样的事情,是因为目前大多数企业都是在发生安全风险之前才做这些事情,而那时候做会有点晚了,所以不得不需要提前把这件事情落实。


但是经过几周的调研发现做这套系统并没有想象中的那么简单,如果做成了还希望能开源为社区做一些贡献了。


之前也阅读过职业欠钱大佬写的“大型互联网企业入侵检测实战总结” https://xz.aliyun.com/t/1626 才想到还需要做webshell检测的这种功能。


当然在调研过程也可以了解其他家乙方厂商做了什么东西,优秀的我们去参考去实现放在这套系统上。


先不跟你说了,我要读文档去了:http://www.ossec.net/docs/


关于甲方入侵检测的事儿

以上临时工所述
我司一概不负责

本文始发于微信公众号(逢人斗智斗勇):关于甲方入侵检测的事儿

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: