入侵检测的设备:IDS
特点:硬件的形式 通过网络的方式为主 通过旁路流量来分析异常的网络行为来判断入侵
相关产品:snort
今天的内容:基于主机的入侵检测 OSSEC
如何判断被入侵:1)异常的文件落地 主要是二进制的webshell
2)异常登录行为
3)异常的网络请求(DNS HTTP 反弹shell)
4)contab等敏感文件被修改 异常命令执行
webshell检测:正则或者关键字匹配
入侵检测的设备:IDS
特点:硬件的形式 通过网络的方式为主 通过旁路流量来分析异常的网络行为来判断入侵
相关产品:snort
今天的内容:基于主机的入侵检测 OSSEC
如何判断被入侵:1)异常的文件落地 主要是二进制的webshell
2)异常登录行为
3)异常的网络请求(DNS HTTP 反弹shell)
4)contab等敏感文件被修改 异常命令执行
webshell检测:正则或者关键字匹配