关于甲方入侵检测的事儿

前几天在微信公众平台上说过

但是后面调研发现做这套系统需要花大量的人力成本在里面，某同事说过在前公司也尝试过做这件事情，三个人做了几个月最终选择放弃不做。考虑到成本问题，大部分企业会采用ossec开源主机入侵检测系统。

有人早在13年的时候写过文章介绍了五款入侵检测系统的介绍，也有人写出了它们的一些优缺点，下面是参考资料

https://blog.csdn.net/cnbird2008/article/details/8730017

https://www.cnblogs.com/gaoyuechen/p/8594167.html

而我眼中的入侵检测系统是要把日志实时汇总到一个服务器，再由平台去读取这台服务器日志。

同时希望它具备的功能有以下几点：

1、识别系统登陆用户(包含创建用户行为)

2、文件操作日志(检查系统文件是否有新建或更改)

3、webshell检测(识别指纹，还可以判断文件内容是否包含eval、exec之类的参数)

4、识别接口是否被刷(是否有异常流量)

5、shell执行命令监控

6、区分攻击日志(识别攻击者指纹，记录ip、useragent、攻击路径等。有点类似于溯源平台)

7、待补充

当然我掌握的面比较少，目前仅能想到这些东西了。

关于入侵检测的介绍，百度百科是这么说的…

https://baike.baidu.com/item/%E5%85%A5%E4%BE%B5%E6%A3%80%E6%B5%8B/326615?fr=aladdin

https://baike.baidu.com/item/%E5%85%A5%E4%BE%B5%E6%A3%80%E6%B5%8B%E7%B3%BB%E7%BB%9F/404710

为什么我想做这样的事情，是因为目前大多数企业都是在发生安全风险之前才做这些事情，而那时候做会有点晚了，所以不得不需要提前把这件事情落实。

但是经过几周的调研发现做这套系统并没有想象中的那么简单，如果做成了还希望能开源为社区做一些贡献了。

之前也阅读过职业欠钱大佬写的“大型互联网企业入侵检测实战总结” https://xz.aliyun.com/t/1626 才想到还需要做webshell检测的这种功能。

当然在调研过程也可以了解其他家乙方厂商做了什么东西，优秀的我们去参考去实现放在这套系统上。

先不跟你说了，我要读文档去了：http://www.ossec.net/docs/

以上临时工所述
我司一概不负责

本文始发于微信公众号（逢人斗智斗勇）：关于甲方入侵检测的事儿