关于入侵检测的一些思考

  • A+
所属分类:安全文章

最近看了一篇文章https://xz.aliyun.com/t/1626,及在早期使用了ysrc开源的驭龙hids入侵检测系统。发现了公司还有很多不足,需要做的事情实在是太多了,从那篇文章中发现了webshell检测目前我们没有做而且也是未来希望能把驭龙二次开发后增加的点。


驭龙当中也有一些引擎规则,是专门用来发现系统是否存在上述特征从而进行警报的

关于入侵检测的一些思考


但是个人总感觉这些规则较少,需要自己再研究下增加什么规则好让系统更快速的判断系统是否存在异常行为。这个我目前还在探索当中,如果你有好的思路可以找我一起探讨这些问题。


当然这套系统目前自带的告警方式只在WEB端显示,你不可能总盯着一个web页面不动吧…那么这里可以做一个邮件告警,只要发现有新的告警信息就用邮件推送,当然了,或者基于公司的IM软件进行api调用从而推送,IM推送仅在工作时间推送,邮件在非工作时间运行,这样未免不是一种方法。


这里稍微讲下webshell的检测吧,可以通过监控指定目录下的所有文件的创建、修改、重命名等操作,再比如说    <?php eval($_POST[1])?>,当代码中出现eval与$_POST时,判断为webshell,但如果只出现eval的函数,就判断为敏感函数。也可以通过webshell hash、文件名等进行检测,在GitHub上就有这么一个项目:https://github.com/Neo23x0/signature-base/blob/e264d66a8ea3be93db8482ab3d639a2ed3e9c949/yara/thor-webshells.yar


还有就是基于关键字的特征:https://github.com/chiruom/Webshell_finder/blob/master/reservoir.php


老东家的一个大神之前写过通过机器学习的方法去检测webshell:https://paper.seebug.org/526/


还有很多方法,听说D盾的也不错,只不过没有找到关于它的一些思路文章。


但目前了解过很多公司都开始使用java去开发一些项目,所以我也要去了解下java的webshell检测,似乎目前网上较多的文章都是关于php的。希望我们也能进行一次创新,对社区做一些贡献吧!


安全的路其实很长,从0到1需要很久,也需要投入很多人力物力,但有些团队虽然麻雀虽小,但五脏俱全(这里我绝对不是夸我们团队)!


期待自己更快研究出新成果与你们分享!

关于入侵检测的一些思考

以上小姐姐所述
我司一概不负责

本文始发于微信公众号(逢人斗智斗勇):关于入侵检测的一些思考

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: