HIDS入侵检测能力评估list

最新推荐文章于 2024-03-23 20:59:35 发布
最新推荐文章于 2024-03-23 20:59:35 发布
阅读量343 收藏
点赞数
分类专栏: HIDS 文章标签: linux 安全 企业安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vlogFeynman/article/details/118089045
版权

HIDS入侵检测能力评估list


个人笔记旨在对主机入侵检测项目评估做备忘,不提供具体方案、命令、样本!

中华人民共和国网络安全法

暴力破解

1. 阈值、封停设置
2. 白名单规则
3. 检测项:ssh、ftp...

异常登录

1. 告警开关
2. 登录IP、时间、区域、账号
3. 自定义范围

反弹shell

1. 大类:基础命令,工具,脚本,混淆
2. bash -i (sh、csh、zsh...)
3. nc -e | nc mkfifo
4. socat..
5. awk、telnet
6. perl、php、python、lua、java、ruby.....
7. web命令执行(shiro,php..
8. openssl
9. udp
10. 以上涉及到shell和工具的混淆

本地提权

1. sudo配置检查
2. suid
3. 脏牛
4. glibc编译漏洞 cve20103847

webshell

1. php、jsp、asp、aspx..
2. 特殊工具的一句话  冰蝎 蚁剑、哥斯拉、菜刀

最低0.47元/天 解锁文章
G0for
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
论文研究 - 软件入侵检测评估系统:基于成本的入侵检测能力评估
05-24
在本文中,我们考虑了基于成本的入侵检测功能(CID)扩展。 提出了一种基于信息论的客观指标,并以此公式为基础。 给定某些输入参数的情况下,使用Java开发了用于计算入侵检测系统(IDS)的入侵检测功能的软件包。 为了确定每个IDS操作点的预期成本,采用了决策树分析方法,并生成了预期成本和入侵检测能力对误报率的图。 选择最大入侵检测能力和预期成本之间的交点作为最佳工作点。 考虑到IDS以最低的预期成本检测入侵的固有能力,研究发现,最佳工作点最适合给定的IDS。 基于成本的扩展用于选择最佳工作点,计算预期成本以及比较两个实际的入侵检测器。 提议的基于成本的入侵检测功能扩展将对信息技术(IT),电信公司和金融机构非常有用,以便在评估IDS对特定操作环境的适用性时做出适当的决策。
Vmware模拟HIDS入侵检测防御实验
03-25
实验5.1 HIDS入侵检测系统的使用.rar
最后防线:三款开源HIDS功能对比评估
debugeeker的专栏
04-16 1058
本文是对Wazuh, Osquery, AgentSmith这三款开源HIDS进行功能性的评估,目的是取长补短,做一个完善的HIDS系统。 简介 HIDS的功能主要是依靠agent的数据收集功能, 所以HIDS的功能对比,实际上是agent的功能对比。 HIDS主要是为了检测主机系统的异常行为,也就是说,必须要建立各种基线,在基线的基础上进行事件监控,从事件中甄别出异常行为或误报,从而不断地调整更新基线。 那么,agent必须要采集各种系统信息生成各种基线,并且通过轮循或实时监控的方式来收集各种.
浅谈大型网络入侵检测建设
cnbird's blog
07-11 1359
博文作者:xti9er[TSRC] 发布日期:2013-07-10 博文内容: 一、前言       伊朗2010年被报出核工厂遭受“超级工厂”(Stuxnet)病毒攻击,蠕虫通过多个漏洞潜伏在工控系统近两年未被发现。相信诸如上述案例中的伊朗核工厂,大多网络中都会部署有各种形形色色的安全产品,杀毒软件,waf或IDS。但为什么那么大范围的攻击却依然久未被察觉?大型网络怎样才能
网络入侵检测系统之Snort(一)
诗酒趁年华
11-23 3492
作者:于顾而言 版权:本文版权归作者所有 转载:欢迎转载,但未经作者同意,必须保留此段声明;必须在文章中给出原文连接;否则必究法律责任 What is Snort Snort是世界最顶尖的开源入侵检测系统 Snort IDS利用一系列的规则去定义恶意网络活动,against匹配到的报文并给用户告警 Snort主要用法,第一种类似TCP dump,作为网络sniffer使用,调试网络流量,第二种用于特征识别的网络入侵检测 线上Snort规则一种是免费的社区规则,一种是付费的订阅(Cisco Talos)
yulong-hids:一种由YSRC开源的主机入侵检测系统
02-20
驭龙隐藏由于此项目缺少维护,建议仅用于参考学习和二次开发驭龙HIDS是一种由YSRC开源的开源的入侵检测系统,由Agent , Daemon , Server和Web四个部分组成的,集合异常检测,监控管理为一体,拥有异常行为发现,...
安氏领信入侵检测系统LinkTrust HIDS
07-09
HIDS的特点在于其全面的监控能力,通过日志分析和网络节点入侵检测引擎的协同工作,能够有效防御网络攻击。日志分析引擎的实时与批处理模式提供了灵活的监控策略,降低CPU负担。脆弱性评估功能则帮助企业识别并修复...
实验报告-入侵检测与防御
08-19
学生可能学习了如何区分网络入侵检测系统(NIDS)和主机入侵检测系统(HIDS),以及它们各自的优势和局限性。 三、实验2:签名基础与更新 实验2可能涉及了签名数据库的管理和更新,这是误用检测IDS的关键。学生可能...
ids.rar_入侵检测系统
09-24
入侵检测系统(Intrusion Detection System,简称IDS)是一种网络安全防护技术,它的主要任务是对网络中的数据流或系统活动进行实时监控,通过分析这些数据,识别出潜在的攻击行为和异常活动,从而防止或者减轻安全...
IDS入侵检测系统分为两大类。
最新发布
qq_48257021的博客
03-23 531
HIDS往往以系统日志应用程序作为数据源检测主机上的命令序列比检测网络流更简单,系统的复杂性也少的多,所以主机检测系统误报率比网络入侵检测系统的误报率更低。他除了检测自身的主机以外,根本不检测网络上的情况,而且对如期行为分析的工作量将随着主机数量的增加而增加。HIDS的数据源是网络上的数据包,通过线路窃听的手段对捕获的网络进行分组处理,从中获取有用的信息,一个网段上只需安装一个或几个这样的系统便可以检测整个网络的情况,比较容易实现,由于现在网络的日趋复杂和高速网络的普及,这种结构正接受着越来越大的挑战。
OSSEC-hids 主机入侵检测系统概述
fured的博客
01-19 3288
随着国家对网络安全的重视,国内各个企业也开始在安全方面增加投入,我们公司也不例外。作为防守方,实时了解主机状态(主机文件是否被修改?是否有被入侵?等等)以及实时获取告警信息,是很重要的。及时反制入侵行为、及时修复系统,将入侵扼杀在摇篮阶段。于是引入了HIDS(主机入侵检测系统),网上关于HIDS的文章比较少、内容也不尽完善,下面是我自己在搭建HIDS时的记录。 常用的主机入侵检测系统 AIDE(Advanced Intrusion Detection Environment):高级入侵检测环境,CIS
IDS入侵检测
远帆
07-31 1252
IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击 行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。    我们做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,
入侵检测系统详解(IDS)
热门推荐
whoim_i的博客
11-26 3万+
目录入侵检测系统(IDS)概念入侵检测系统的分类根据数据源分类1 基于主机的入侵检测系统2 基于网络的入侵检测系统根据检测原理分类1 异常入侵检测。2 误用入侵检测。根据体系结构分类1.集中式2.等级式3.协作式根据工作方式分类1 离线检测。2 在线监测。入侵检测功能1 监控、分析用户和系统的活动2 发现入侵企图或异常现象3 记录、报警和响应 入侵检测系统(IDS)概念 入侵检测系统(intrus...
13款入侵检测系统介绍(HIDS)
ss810540895的博客
09-27 8552
入侵检测系统(IDS)监视网络流量中是否存在异常或可疑活动,并将警报发送给管理员。主要功能是检测异常活动并将其报告给网络管理员。但是,某些IDS软件可以在检测到恶意活动(例如阻止某些传入流量)时根据规则采取措施。IDS是入侵检测系统,IPS是入侵防御系统。尽管IDS可以检测对网络和主机资源的未授权访问,但是IPS可以完成所有这些工作,并实施自动响应以将入侵者拒之门外,并保护系统免遭劫持或数据被盗。IPS是具有内置工作流程的IDS,该工作流程由检测到的入侵事件触发。
Linux Rootkit Sample && Rootkit Defenser Analysis
weixin_30855761的博客
08-02 1376
目录 1. 引言 2. LRK5 Rootkit 3. knark Rootkit 3. Suckit(super user control kit) 4. adore-ng 5. WNPS 6. Sample Rootkit for Linux 7. suterusu 8. Rootkit Defense Tools 9. Linux Rootkit Scanner: k...
Linux Rootkit躲避内核检测
Netfilter
05-16 4938
Rootkit在登堂入室并得手后,还要记得把门锁上。 如果我们想注入一个Rootkit到内核,同时不想被侦测到,那么我们需要做的是精妙的隐藏,并保持低调静悄悄,这个话题我已经谈过了,诸如进程摘链,TCP链接摘链潜伏等等,详情参见: https://blog.csdn.net/dog250/article/details/105371830 https://blog.csdn.net/dog250/...
linux后门rootkit程序介绍
Power of technology will free your body and spirit
06-06 3293
rkant = rootkit ant,它是利用netfilter hook开发的一款linux后门rootkit程序。 rkant包括服务器端程序(on victim server)和客户端程序(on user client pc),在ubuntu 14.04版本上面测试通过。 功能: 1、隐藏网络连接/端口,任意端口复用。不影响系统的正常工作和服务的正常运行。 2、隐藏文件以及
.so是什么文件_linux的so注入与热更新原理 | 直播回顾
weixin_39603573的博客
11-10 784
关注腾讯云大学,了解行业最新技术动态 腾讯云大学知识分享月已经开幕了为了让大家沉淀知识,我们邀请了赵昕讲师将直播内容整理成了文章话不多说让我们再来回顾一下课程内容吧直 播 回 顾简介动态链接库(SO文件)在Linux中使用非常广泛,对于后台开发来说,服务器进程往往加载和使用了很多的SO文件,当需要更新某个SO时往往需要重启进程。本课程将讲述如何做到不重启进程,而将so的修改热更新生...
Symbiote:针对拉丁美洲金融部门的高级Linux平台Rootkit
摔不死的笨鸟的博客
08-18 441
Symbiote Linux rootkit

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值