ossec的新功能--预编译规则之三:评价

最新推荐文章于 2024-05-16 10:47:05 发布
最新推荐文章于 2024-05-16 10:47:05 发布
阅读量788 收藏
点赞数
分类专栏: security 文章标签: 扩展 语言 apache 正则表达式 脚本 xml
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/daosecurity/article/details/3964361
版权

对预处理规则的评价

插件化是很多开源软件采取的,非常流行的扩展方式,例如:

  • apache:采用动态共享对象的方式,提供扩展;利用Apache扩展工具(apxs),可以无需重新编译apache,即可加入apache插件;
  • nessus:nessus自创了一种叫做nasl的脚本语言来实现差价的扩展,由于其功能的局限,这种语言较受争议;
  • nmap:通过NSE(Nmap Script Engine,nmap脚本引擎)实现插件的扩展,使用目前非常流行的lua作为其寄生语言;
  • snort:在snort3的代码中,也引入了lua作为扩展语言;
  • bro-ids:采用了一种自定义的脚本语言,来扩展对网络流量的处理功能。

与上述开源产品相比,ossec的预处理规则显得非常粗糙,从技术上看,甚至有些画蛇添足,因为:

  • ossec的xml规则编写的难度比c语言编写的预处理规则更容易掌握;
  • 预处理规则只局限于检测规则,其提供的扩展能力,不见得比在xml规则中定义正则表达式更强大;
  • ossec的预处理规则不具备动态编译部署的能力,加入新的预处理规则,必须重新编译ossec的源代码;
  • 由于预处理规则c程序的引入,有可能会给ossec加入新的bug,反而造成ossec的不稳定;

而与上述问题相比,预处理规则只能满足对c语言的偏好,所以前景不会太乐观,除非效法nmap做改进。另外,预处理规则出现的真正原因或许是出于商业的考 虑,因为利用预处理规则,Third Brigade公司可以对某些检测功能封闭源代码,直接编译到其商业版中,不用担心技术的泄露。

daosecurity
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ossec的功能--预编译规则之一:ossec的规则
daosecurity的专栏
03-05 2340
OSSEC的预编译规则(CompiledRules)为了方便不喜欢编写xml格式规则的用户。利用这项功能,用户可以直接使用c语言来编写日志处理规则,在编译的时候,连接到analysisd程序。并非一种动态的规则扩展机制。为了了解预编译规则,我们先看一下ossec的规则定义。1. ossec的规则 ossec的规则XML格式的,主要有两种:解码规则:用于判断日志的种类和格式,所有的
OSSEC HIDS 功能有日志分析
01-02
OSSEC HIDS的主要功能有日志分析、完整性检查、rootkit检测、基于时间的警报和主动响应。除了具有入侵检测系统功能外,它还一般被用在SEM/SIM(安全事件管理(SEM: Security Event Management)/安全信息管理(SIM:Security Information Management))解决方案中。因其强大的日志分析引擎,ISP(Internet service provider)(网络服务提供商)、大学和数据中心用其监控和分析他们的防火墙、入侵检测系统、网页服务和验证等产生的日志。
OSSEC文档——规则和解码器
c1052981766的专栏
02-28 674
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/rules-decoders/index.html规则和解码器 测试OSSEC规则/解码器 使用ossec-logtest测试 CDB从内部规则中查找查询 用例 语法列表 创建自定义解码器和规则 添加要监视的文件 创建一个定制的解码器 规则和解码器的目录路径加载 用例 细节 规则...
没人讲清楚!我来讲!---- Ubuntu 20.04中下载配置Snort3,参数讲解及实现协议警报
最新发布
weixin_45266856的博客
05-16 1921
Snort是一个功能强大的开源网络入侵检测和预防系统(IDS/IPS),由于1998年创建,现由Cisco旗下的Sourcefire进行维护和开发。Snort通过监控网络流量,根据预定义的规则检测并响应潜在的安全威胁。每次都去修改snort.lua文件太麻烦,如想要捕获别的类型数据包并输出警报,可以创建自定义规则以如下命令来讲解自定义规则的匹配参数,表示当匹配的任意端口向的任意端口发送UDP的数据包时,snort会发出警报rev:1;alert。
OSSEC文档——规则分类(级别)
c1052981766的专栏
02-28 1752
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/rules-decoders/rule-levels.html规则分类(级别) 这些规则被分为多个级别。从最低的(00)到最大的15。有些级别现在还没有使用。其他级别可以在它们之间或之后添加。 这些规则将从最高到最低的级别进行读取。 00 - 忽略 - 没有采取行动。用于避免误报。这些规则在其...
ossec-sysmon:使用Sysmon增强Ossec检测功能规则
05-05
ossec-sysmon 使用Sysmon增强Ossec检测功能规则集 请参阅以下文章,以了解此规则集如何帮助您检测Emotet和其他恶意文档恶意软件。 0805-sysmon-modular规则由olafhartong映射到Sysmon配置,并标记为MITER ATT&CK框架。 您可以在以下链接中找到它。
WAZUH-OSSEC:WAZUH-开源安全平台安装
02-03
WAZUH-OSSEC 是一个强大的开源安全监控系统,它提供了实时的入侵检测、主机完整性检查和日志聚合功能。该平台支持多种操作系统,包括 CentOS8,在企业环境中广泛用于提升网络安全防护能力。在本文中,我们将详细介绍...
ansible-ossec-server:为RedHatDebianUbuntu安装和维护ossec服务器
05-24
ossec_server_atomic_release: 1.0-21ossec_server_config: []ossec_agent_configs: []设置示例编辑运行ossec-server的主机的vars文件:host_vars / ossec-server install_postfix: truepostfix_mydomain: email-...
ossec-hids-3.6.0 源码
03-28
**ossec-hids-3.6.0 源码详解** OSSEC是开源的入侵检测系统(HIDS,Host-based Intrusion Detection System),它监控系统活动并提供实时告警,帮助用户保护其Linux和Windows服务器免受恶意攻击。3.6.0是该软件的...
ossec-hids-3.3.0-pcre2.tar.gz
08-22
"ossec-hids-3.3.0-pcre2.tar.gz" 这个文件名揭示了几个关键信息。"ossec-hids" 指的是 OSSEC(Open Source Security Information and Event Management)主机入侵检测系统,这是一个开源项目,用于监控系统日志、...
OSSEC文档——规则和解码器的目录路径加载
c1052981766的专栏
02-28 629
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/rules-decoders/rule_decoder_dir.html规则和解码器的目录路径加载 允许将文件的整个目录作为解码器、列表或规则加载到ossec-anaylistd中。 用例: 可以极大地简化使用解码器的工作,因为可以有尽可能多的文件。此外,还将对规则和解码器进行打包,使其成为...
snort3-community-rules.tar.gz
04-09
snort3社区提供的免费规则匹配文件,在官网上开放下载,但因为本身挂载在亚马逊服务器上,在国内下载可能不是很方便,所以这里上传一份方便大家来下载 # 2021-7-8 将系统动态调分提高到50积分的价格重降回了5分
Ubuntu 18.04上使用snort3搭建NIDS(三)| ELK可视化篇
01-09
为最近项目上要用到snort3,但是找了很多博客都是snort2.9.x的安装与配置,所以只能靠着官网文档和自己的反复摸索来学习snort3相关的内容。后面将会把snort3相关的发一个系列的博客,这是第三篇,实现了snort3与ELK数据展示分析组件联动进行告警可视化。后续内容敬请期待,等我理清了思路就来~ 往期回顾 Ubuntu 18.04上使用snort3搭建NIDS(一)| 安装篇 Ubuntu 18.04上使用snort3搭建NIDS(二)| 配置篇 在上一节中,经过配置,大概可以实现一个建议的网络入侵检测系统了,但是它对于检测到的潜在的攻击数据只是简单的进行记录、在输出的告警文件中
NASL语言指南(Nessus)
01-03
网上找到这个挺不容易的,所以加1分啊,主要是NASL攻击脚本语言教程
OSSEC文档——创建自定义解码器和规则
c1052981766的专栏
02-28 1466
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/rules-decoders/rule-lists.html创建自定义解码器和规则 OSSEC的主要特性之一是监视系统和应用程序日志。许多流行的服务都已配有有日志和解码器,但是有数百个没有被覆盖。定制的应用程序和服务也不会被覆盖。OSSEC为服务添加解码器和规则通常非常简单。 添加要监视的文件...
ossec的功能--预编译规则之二:预编译规则
daosecurity的专栏
03-06 926
预编译规则根据上面的介绍,我们知道ossec有两种规则,其中解码器负责日志解码、分类,规则实现入侵检测和日志分析。想了解预编译规则能干什么,我们现看看ossec处理日志(以syslog为例)的基本处理流程:ossec-logcollector(源代码在src/logcollector)监控各种日志的变更,ossec支持syslog、mysql、postgresql、snort、
SNORT3规则编写
windStudyer的专栏
03-01 8873
Snort3 IPS规则编写 1.规则基础 Snort规则被分为两个逻辑部分,规则头和规则选项。 规则头包含规则的操作、协议、源和目标IP地址,以及源和目标端口信息。 规则选项部分包含警报消息和应该检查数据包的哪些部分的信息,以确定是否应该采取规则操作。 规则举例: 注:第一个括号之前的文本是规则标题,括号中包含的部分包含规则选项。规则选项部分中冒号前的单词称为选项关键字。选项部分关键字可选。 2.规则规则头包含规则的操作、协议、源和目标IP地址和网掩码,以及源和..
Nessus安全测试插件编写教程(1)
weixin_34088583的博客
03-06 612
作者:Renaud Deraison(Nessus最主要的编写者,法国人)  翻译:nixe0n  版本:1.0.0pre2 1.简介   1.1.什么是NASL?   NASL是一个为网络安全扫描工具Nessus开发的脚本语言。通过它,任何人都可以方便快速地针对出现的漏洞编写出测试插件,也便于不同操作系统的用户分享测试脚本。除此之外,NASL还可以保证编写的脚本只能...
OSSEC文档——OSSEC架构
c1052981766的专栏
02-27 2162
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/ossec-architecture.htmlOSSEC架构 OSSEC是由多个部分组成的。它有一个中央管理器,用于监视和接收来自代理、syslog、数据库和无代理设备的信息。 管理节点(或服务器) 管理节点是OSSEC部署的中心部分。它存储文件完整性检查数据库、日志、事件和系统审计条目。所...
ossec-agent
04-30
OSSEC-Agent在监控和保护网络环境方面具有多种功能,包括入侵检测、实时警报、远程日志分析、漏扫、僵尸网络检测等。除此之外,通过与其它安全工具集成,OSSEC-Agent还能在不同安全应用之间进行数据共享和协作,提高...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值