最后防线:三款开源HIDS功能对比评估

最新推荐文章于 2024-10-11 07:24:47 发布
最新推荐文章于 2024-10-11 07:24:47 发布
阅读量1.1k 收藏
点赞数
分类专栏: HIDS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuzhina/article/details/115773713
版权

本文是对Wazuh, Osquery, AgentSmith这三款开源HIDS进行功能性的评估,目的是取长补短,做一个完善的HIDS系统。

简介

HIDS的功能主要是依靠agent的数据收集功能, 所以HIDS的功能对比,实际上是agent的功能对比。

HIDS主要是为了检测主机系统的异常行为,也就是说,必须要建立各种基线,在基线的基础上进行事件监控,从事件中甄别出异常行为或误报,从而不断地调整更新基线。

那么,agent必须要采集各种系统信息生成各种基线,并且通过轮循或实时监控的方式来收集各种事件。

agent由于必须要主机系统上运行,有着不抢占资源,无感知,尽可能精准的要求,
所以开发agent需要使用更贴近系统,管控资源更好,不需要依赖大量运行库的语言,一般都是使用C/C++,也有使用rust和Go。

评估标准

由于基线数据的采集频次不需要很高,可以使用定时采集方式,降低对业务服务进程的性能影响。所以,采集基线数据的开发难度不是很高。

事件监控,很多时候是希望不要遗漏,尽量精准和实时,但同时又不占大量资源,尽量不影响业务系统的运行。所以,事件监控的开发难度就非常高,特别是实时监控方面。

基于上面考虑,对agent的功能评估标准大致如下:

  • 基线:整体占40分,包含10条基线,每条基线4分。

    1. 设备基线:系统的硬件设备(CPU型号,内存设备型号,存储设备,各种外设)

    2. 系统基线:cpu个数,内存使用,磁盘使用,分区加载,系统版本,发行版,启动时长,系统限制

    3. 供应链基线:软件管理的仓库

    4. 软件基线:软件列表,软件详细信息

    5. 配置基线:shell配置,启动配置,加载配置,分区配置

    6. 用户基线: 用户列表,组列表,权限列表

    7. 网络基线:网卡个数,地址信息,ARP信息,路由信息,DNS信息,防火墙信息

    8. 服务基线:服务列表,已启动的服务,服务所管理的进程,定时任务

    9. 容器基线:docker版本,镜像,网络,容器

    10. 安全基线:apparmor配置和运行状态,selinux配置和运行状态,yara配置,suid程序

  • 事件监控:总分60。由于在操作系统里,基本上一切事件都可以归结为进程的活动。

    1. 谁启动进程:进程树,检测进程隐藏,so注入,提权行为

    2. 某个进程退出:监控进程异常退出

    3. 哪个进程插入内核模块:检测rootkit/bootkit

    4. 哪个进程操作某个文件:检测恶意篡改,痕迹隐藏,恶意授权

    5. 哪个进程启动socket:检测高危端口和外连行为

    6. 哪个进程操作某个进程:检测动态注入和DOS行为

各种基线

功能有无这样表示:
1: 有 0: 无

设备基线

剩余内容请关注本人公众号debugeeker, 链接为最后防线:三款开源HIDS功能对比评估

debugeeker
关注
专栏目录
为什么我认为现阶段HIDS处于攻防不对等的地位?(ids、nta、绕过)
墨痕诉清风的博客
12-21 849
HIDS(Host-based Intrusion Detection System)作为网络安全的最后一条战线,我们现阶段是否处于攻防不对等的地位?现在主流的HIDS的建设思路和方式是否又存在各种不可忽视的缺陷? 1.为何是最后一条战线 我们面对各种不同的针对生产环境的威胁,攻击者最终诉求大多是维持一个可长期访问的/有一定权限的通道,便于从内部寻找弱点,得到想要的诸如核心系统,数据库,git/svn/邮件系统的权限,从而实现自己的目的. 那么在这么常规的攻击路径中,HIDS作为主机层的一双眼,往
如何使用云计算来提高公司安全性
AI天才研究院
07-25 2837
云计算是一种在线服务提供商,提供的服务包含虚拟机、存储、数据库等计算、存储、网络资源,可以在互联网上按需使用,可以按使用量付费或者按带宽收费。相对于传统的数据中心部署的方式,云计算最大的优点是灵活性和弹性成本低廉,可以快速响应客户需求变化,有效降低了运营成本,适用于各种规模的企业。在云计算平台上部署服务,可以方便快捷地创建虚拟化环境,实现业务的快速迭代,提升工作效率。但是,云平台也面临着一些安全隐患,包括数据安全、应用安全、网络安全、系统安全、人员安全、法律法规遵从性等方面的挑战。
甲方安全开源项目清单
06-18 1072
这是一份安全开源项目清单,收集了一些比较优秀的安全开源项目,以帮助甲方安全从业人员构建企业安全能力。这些开源项目,每一个都在致力于解决一些安全问题。项目收集的思路:一个是关注互联网企业/...
信息安全体系建设☞开源入侵检测系统HIDS
infosec的博客
10-23 2824
在之前的博文中介绍了NIDS, IDS就像是我们在网络的关键节点上假设的一双双水汪汪的大眼睛。IDS能帮我们深度检测流过的数据包,针对数据包中的特征来触发告警,并记录日志。同时我们也可以根据资产的重要程度,来实施的捕捉流量包,在帮助我们分析网络流量的同时, 也可以配合合规部门来检查内部人员的网络行为。在NIDS博文里面, 我重点以Snort为例子来介绍NIDS如何在网络中玩耍。我们可以在对Snort的深度理解之后,使用好这个工具。 当我们在使用NIDS的时候还会面临几个解决不了的问题,在这些NIDS鞭长莫及
驭龙HIDS开源项目使用教程
最新发布
gitblog_00848的博客
10-11 839
驭龙HIDS开源项目使用教程 yulong-hids-archived [archived] 一款实验性质的主机入侵检测系统 项目地址: https://gitcode.com/gh_mirrors/yu/yulong-hids-...
开源HIDS软件
老尹的笔记
10-24 4676
最近发现了一个好用的开源HIDS软件:OSSEC HIDS项目主页:http://www.ossec.net支持linux 和 windows系统但是似乎server要安装在Linux系统上。agent可以安装在linux或者windows上。功能包括日志分析,rootkit检测,完整性检测等。email报警,定时报警等。OSSEC目前还不支持Windows系统下得root-kit检测。安装使用都
开源HIDS实践
2401_84466225的博客
06-03 1870
wazuh在全网服务器稳定运行了半年多的时间,总体来说还是一款挺不错的产品,最重要的是免费使用,非常适合预算有限的企业。wazuh社区也十分的活跃,在社区提问基本都会有开发者回复,回复速度也十分及时,与wazuh的开发者沟通交流也是一件蛮不错的事情。但相对于国内商业HIDS来说,缺少规则的维护,需要投入较多的人力成本来维护规则,也没有本地查杀功能,没法及时发现webshell、木马等恶意文件。
eHIDS 一款基于eBPF的HIDS开源工具
04-17 1339
一 前言IDS一般指入侵检测系统。入侵检测系统(intrusion detection system,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。HIDS全称是Host-based Intrusion Detection System,即基于主机型入侵检测系统,部署在主机内的,主要是对主机的异常行为进行检测,比...
HIDS (Host Intrusion Detection System)-开源
07-17
这是一个基于主机的入侵检测系统,它由 4 个组件组成,即端口扫描检测器、策略执行器、网络统计和漏洞检测器。 后端程序是用 C 编写的,前端是使用 Qt Designer 和 Glade 制作的。
网络安全防护完全手册:构建坚不可摧的网络防线
!...# 1. 网络安全防护概述 随着信息技术的迅猛发展,网络安全已成为全球关注的焦点。网络安全防护并非是一系列单一的解决方案,而是一个包含多层次、多方面策略的综合性防护体系。它需要从硬件、软件、政策、教育等多...
开源安全运维平台OSSIM最佳实践》实验环境下载
weixin_34161032的博客
07-28 804
开源安全运维平台OSSIM最佳实践》实验环境下载  由清华大学出版社首发、当当、京东自营店、天猫、亚马逊均有销售。                                          OSSIM开源安全交流QQ群: 179084574       经多年潜心研究开源技术,历时三年创作的《开源安全运维平台OSSIM最佳实践》一书已出版。该书用100多万字记录了,作者10多年的IT行业...
yulong-hids:一种由YSRC开源的主机入侵检测系统
02-20
驭龙隐藏 由于此项目缺少维护,建议仅用于参考学习和二次开发 驭龙HIDS是一种由YSRC开源开源的入侵检测系统,由Agent , Daemon , Server和Web四个部分组成的,集合异常检测,监控管理为一体,拥有异常行为发现,快速中断,高级分析等功能,可从多个维度行为信息中发现入侵行为。 代理为收集者角色,收集服务器信息,启动启动项,计划任务,监听端口,服务,登录日志,用户列表,实时监控文件操作行为,网络连接,执行命令,初步筛选整理后通过RPC协议传输到服务器官员。 Daemon为守护服务进程,为Agent提供进程守护,静默环境部署作用,其任务执行功能通过接收服务端的指令实现Agent热更新,切换功能和自定义命令执行等,任务传输过程使用RSA进行加密。 服务器为集成系统的大脑,支持横向扩展分布式部署,解析用户定义的规则(已内置部分基础规则)对从各个代理接收到的信息和行为进行分
ossec-hids:OSSEC是基于开源主机的入侵检测系统,它执行日志分析,文件完整性检查,策略监视,rootkit检测,实时警报和主动响应
02-05
OSSEC v3.6.0版权所有(C)2019趋势科技公司。 有关OSSEC的信息 OSSEC是监视和控制系统的完整平台。 它在一个简单,功能强大且开源的解决方案中将HIDS(基于主机的入侵检测),日志监视和SIM / SIEM的所有方面结合在一起。 访问我们的网站以获取最新信息。 最新发行 ossec网站上提供了当前的稳定版本。 可以从以下位置版本: 发行文档可在以下位置获得: 发展历程 开发版本托管在GitHub上,仅是一个简单的git克隆。 屏幕截图 文件完整性监控 攻击检测 帮助支持 加入我们slack,ossec.slack.com:邀请到 在Discord上加入我们:
ossec HIDS
05-19
OSSEC是一款开源的多平台的入侵检测系统,可以运行于Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操作系统中。包括了日志分析,全面检测,root-kit检测。作为一款HIDS,OSSEC应该被安装在一台实施监控的系统中。另外有时候不需要安装完全版本得OSSEC,如果有多台电脑都安装了OSSEC,那么就可以采用客户端/服务器模式来运行。客户机通过客户端程序将数据发回到服务器端进行分析。在一台电脑上对多个系统进行监控对于企业或者家庭用户来说都是相当经济实用的。
开源HIDS OSSEC部署与扩展使用(安检)
3569
01-24 4767
0x01 概述 from http://vinc.top/2017/12/26/%e3%80%90%e4%bc%81%e4%b8%9a%e5%ae%89%e5%85%a8%e5%ae%9e%e6%88%98%e3%80%91%e5%bc%80%e6%ba%90hids-ossec%e9%83%a8%e7%bd%b2%e4%b8%8e%e6%89%a9%e5%b1%95%e4%bd%bf%e7
HIDS入侵检测能力评估list
vlogFeynman的博客
06-21 384
HIDS入侵检测能力评估list 个人笔记旨在对主机入侵检测项目评估做备忘,不提供具体方案、命令、样本! 中华人民共和国网络安全法 暴力破解 1. 阈值、封停设置 2. 白名单规则 3. 检测项:ssh、ftp... 异常登录 1. 告警开关 2. 登录IP、时间、区域、账号 3. 自定义范围 反弹shell 1. 大类:基础命令,工具,脚本,混淆 2. bash -i (sh、csh、zsh...) 3. nc -e | nc mkfifo 4. socat.. 5. awk、telnet 6.
后防线三款开源HIDS应用对比评估
debugeeker的专栏
04-16 1222
本文仅从应用角度评估Wazuh, Osquery, AgentSmith这三款HIDS,针对企业立马使用HIDS,或者包装成方案的场景。 简介 Wazuh:一款免费、开源的企业级安全监控解决方案,用于威胁检测、完整性监控、事件响应和合规性。 Osquery: 用于Windows、OS X(MacOS)、Linux和FreeBSD的操作系统工具框架, 使低级操作系统分析和监控既有性能又直观。 AgentSmith: 一个基于云本地主机的入侵检测解决方案项目,旨在通过现代架构提供下一代威胁检测和行为.
主机安全-开源HIDS字节跳动Elkeid安装使用
关注网络安全、云原生安全
07-13 2430
HIDS( host-based intrusion detection system,基于主机的入侵检测系统),通过监测主机上的进程、文件、网络等信息来识别入侵风险。
HIDs: 一款开源的硬件接口开发工具
gitblog_00003的博客
03-05 554
HIDs: 一款开源的硬件接口开发工具 项目简介 HIDs(Hardware Interface Devices)是一款开源的硬件接口开发工具,由Skycode22团队创建并维护。它提供了一种简单、高效的方式来实现对各种硬件设备的控制和交互。 https://gitcode.com/Skycode22/HIDs?utm_source=artical_gitcode 项目功能与应用场景 HIDs的主...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值