主机入侵检测策略之基线检测

最新推荐文章于 2024-07-23 15:37:29 发布
最新推荐文章于 2024-07-23 15:37:29 发布
阅读量1k 收藏 4
点赞数 3
文章标签: 网络安全 渗透测试 信息安全 暴力猜解 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kali_Ma/article/details/121789383
版权

前言

由于篇幅限制,本篇文章主要介绍基本的检测,例如特权账户检测、暴力破解和弱口令检测等。文末以Wazuh为例,介绍如何自定义基线检测。

基本检测

特权账户检测
检测规则:通过之前的信息搜集模块搜集到的用户信息,判断是否存在uid=0且用户名不为root的特权账户。
下载 (1).jpg

代码实现:

检查是否存在UID=0的用户(超级用户),系统默认root的UID为0

SSuperuser=`more /etc/passwd | egrep -v '^root|^#|^(\+:\*)?:0:0:::'| awk -F: '{if($3==0) print $1}'`
if[ -n "$Superuser"];then
echo"${Tip} 除root外发现超级用户:$RES"| tee -a $danger_file| $saveresult
foruser in$Superuser
do
echo$user
done
fi

异常账户检测

检测规则:

通过历史登录情况自动总结归纳常用登录账户和地点(或者提供添加白名单功能)
监控/var/log/secure或者/var/log/auth.logSSH的登陆情况,若存在成功事件并且用户不在白名单上,则告警。 脚本实现:

logdir="/var/log"
logdirfile=(/var/log/secure*)
newusers=$(less $logdirfile| grep "new user"| awk -F '[=,]''{print $1,$2}'| awk '{print $1,$2,$3,$9}')
newgoup=$(less $logdirfile| grep "new group"| awk -F '[=,]''{print $1,$2}'| awk '{print $1,$2,$3,$9}')
if[ -e "$logdir"]   && [ -s "$logdirfile"]  ;then
if[ -n "$newusers"];then
echo"[!!!]日志中发现新增用户:"&& echo"$newusers"
echo"[*]新增用户账号及次数如下:"&& more /var/log/secure* | grep "new user"| awk '{print $8}'| awk -F '[=,]''{print $2}'| sort | uniq -c) 
echo"[*]日志中未发现新增加用户"| $saveresult
fi
if[ -n "$newgoup"];then
echo"[!!!]日志中发现新增用户组:"&& echo"$newgoup"
echo"[*]新增用户组及次数如下:"&& more /var/log/secure* | grep "new group"| awk '{print $8}'| awk -F '[=,]''{print $2}'| sort | uniq -c)
echo"[*]日志中未发现新增加用户组"
fi
else
echo-e " ${Tip}日志文件不存在,请分析是否被清除${RES}!"
fi
fi

【一>所有资源获取<一】
1、200份很多已经买不到的绝版电子书
2、30G安全大厂内部的视频资料
3、100份src文档
4、常见安全面试题
5、ctf大赛经典题目解析
6、全套工具包
7、应急响应笔记
8、网络安全学习路线

最低0.47元/天 解锁文章
kali_Ma
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
什么是入侵检测系统?有哪些分类?
网络技术联盟站
11-10 5933
入侵检测系统 (IDS) 是一种监控系统,可检测可疑活动并在检测到这些活动时生成警报,它是一种软件应用程序,用于扫描网络或系统中的有害活动或违反政策的行为。任何恶意冒险或违规行为通常会报告给管理员或使用安全信息和事件管理 (SIEM) 系统集中收集。SIEM 系统集成了来自多个来源的输出,并使用警报过滤技术来区分恶意活动和误报。入侵防御系统还监控入站系统的网络数据包,来检查其中涉及的恶意活动,并立即发送警告通知。
入侵检测系统(IDS)和入侵防御系统(IPS)的区别
网络技术联盟站
06-08 1221
你好,这里是网络技术联盟站,我是瑞哥。在当今信息化社会,网络已经成为人们生活和工作的重要组成部分。然而,随着网络的普及和发展,网络攻击的威胁也日益严重。从早期的蠕虫病毒到如今复杂的APT(高级持续性威胁),网络攻击手段不断演化,给个人、企业甚至国家带来了巨大的安全隐患。在这种背景下,网络安全技术的研究和应用显得尤为重要。入侵检测系统(IDS)和入侵防御系统(IPS)作为网络安全的重要防护措施,逐渐成为保障网络安全的关键技术。IDS和IPS在网络安全防护中起着至关重要的作用。
入侵检测技术框架总论
Sumarua的博客
08-06 7912
文章目录1. 引言,网络安全态势理解0x1:网络安全检测的描述0x2:安全分析2. 入侵检测0x1:入侵检测通用模型`1. CIDF体系结构 `1)事件产生器(event generators)2)事件分析器(event analyers)3)事件数据库(event databases)4)响应单元(response units)`2. CIDF规范语言 ``3. CIDF内部通讯 ``4. CIDF程序接口 `3. 入侵检测系统分类0x1:根据检测所用数据源进行分类`1. 基于主机入侵检测系统(HIDS
网络安全入侵检测
qq_57289939的博客
04-03 3548
入侵检测
入侵检测系统建设及常见入侵手法应对
网络安全领域优质创作者
04-06 3739
​提示:正文共6400字,预计阅读需要17分钟 入侵检测 入侵检测是帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测是系统保护的最后一道安全闸门,在不影响网络和主机性能的情况下进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。 入侵行为的影响程度取决于对信息安全CIA三元组的破坏程度、商业压力及监管压力
浅谈大型互联网企业入侵检测及防护策略
chenxiangneu的博客
03-21 2763
1.前言 如何知道自己所在的企业是否被入侵了?是没人来“黑”,还是因自身感知能力不足,暂时还无法发现?其实,入侵检测是每一个大型互联网企业都要面对的严峻挑战。价值越高的公司,面临入侵的威胁也越大,即便是Yahoo这样的互联网鼻祖,在落幕(被收购)时仍遭遇全量数据失窃的事情。安全无小事,一旦互联网公司被成功“入侵”,其后果将不堪想象。 基于“攻防对抗”的考量,本文不会提及具体的入侵检测模型、算法和策...
入侵检测系统分为哪三类/入侵检测系统分为哪几类-零基础网络安全技巧
程序员三九的博客
06-21 168
在现在网络中,攻击无处不在,可以不夸张的说,每一秒都有企业或者个人被网络攻击。有人说了,不是有防火墙嘛?
检测网络安全的软件_数字堡垒:揭示 2023 年十款最佳入侵检测和防御工具_小白白客教学
程序员六七的博客
06-11 517
入侵检测和防御系统(Intrusion Detection and Prevention System,简称IDPS)是一类关键的网络安全工具
入侵检测与网络欺骗
JAZJD的博客
05-03 1482
在这个信息技术高速发展的时代,网络安全已迅速上升为政府、企业乃至个人高度关注的全球性议题。随着技术的进步,网络攻击不仅数量激增,形式和手段也日趋多样化和智能化,从基本的病毒感染到复杂的针对性网络攻击,构成了对信息系统安全的严峻挑战。在这样的背景下,建立强大的网络防御体系,其中入侵检测系统(IDS)和网络欺骗技术成为了抵御和预防网络威胁的关键技术之一。本文旨在全面剖析入侵检测和网络欺骗的基本理论、主要技术手段、典达示例及其在现实世界的应用场景,以向读者展示如何通过这些先进的技术策略来增强网络安全防护能力。
实验报告-入侵检测与防御
08-19
学生可能学习了如何区分网络入侵检测系统(NIDS)和主机入侵检测系统(HIDS),以及它们各自的优势和局限性。 三、实验2:签名基础与更新 实验2可能涉及了签名数据库的管理和更新,这是误用检测IDS的关键。学生可能...
入侵检测系统
04-09
在提供的压缩包文件"ossec-hids-2.7-beta1"中,我们主要关注的是基于主机入侵检测系统,即OSSEC。 OSSEC是一款开源的、跨平台的HIDS,它提供日志分析、文件完整性检查、实时报警以及反rootkit功能。该系统能够...
网络安全入侵检测PPT
05-19
网络安全入侵检测入侵检测网络安全领域的重要组成部分,旨在预防和应对可能的攻击行为。入侵检测系统(Intrusion Detection System,简称IDS)通过监控网络和计算机系统的关键点,分析收集到的数据,以...
入侵检测技术
12-16
入侵检测技术是网络安全领域的重要组成部分,它主要用于监测和预防网络中的恶意活动或违反安全策略的行为。这份名为“入侵检测技术”的参考资料,很可能包含了对入侵检测系统(IDS)的基础理论、工作原理、分类以及...
网络入侵检测系统的设计与实现
07-25
NIDS主要分为两种类型:基于主机入侵检测系统(HIDS)和基于网络的入侵检测系统(NIDS)。HIDS关注的是单个系统内部的行为,而NIDS则专注于网络层面的异常活动。 本书可能涵盖了以下关键知识点: 1. **入侵检测...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8349
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
微软蓝屏”事件暴露了网络安全哪些问题?
2301_79339087的博客
07-23 1456
微软蓝屏事件不仅暴露了软件更新中的问题,更是一次对全球网络安全和系统稳定性的严峻考验。通过加强风险管理、质量控制、冗余设计和应急响应,我们可以在未来减少类似事件的发生,提高整体网络安全水平。各行业应加强合作,信息共享,共同提升应对重大系统故障的能力,构建更加稳固和安全的网络环境。在未来,我们需要更加关注软件更新过程中的风险管理和质量控制,通过引入更多的自动化工具和流程,提高测试的覆盖率和效率,确保软件的安全性和稳定性。
网络安全-华为华三交换机防火墙日志解析示例
最新发布
PanDD_0_1的博客
07-23 342
华为交换机日志解析示例。
网站验证:确保网络安全与信任的重要步骤
07-22 309
在数字时代,网站验证是确保网络安全和建立用户信任的关键措施。随着网络诈骗和恶意软件的日益增多,验证网站的真实性和安全性变得尤为重要。本文将探讨网站验证的重要性、常见的验证方法以及如何通过验证提升用户体验和网站信誉。
入侵检测技术解析:NIDS与HIDS
"该资源主要介绍了入侵检测技术的分类、定义、模型以及其工作原理,特别提到了特征检测和异常检测两种技术,并区分了网络入侵检测(NIDS)和主机入侵检测(HIDS)这两种不同的监测对象。" 入侵检测网络安全领域中的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值