![](https://img-blog.csdnimg.cn/20201014180756757.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
HIDS
文章平均质量分 65
debugeeker
曾在华为,商汤,腾讯呆过。个人公众号debugeeker
展开
-
最后防线:三款开源HIDS功能对比评估
本文是对Wazuh, Osquery, AgentSmith这三款开源HIDS进行功能性的评估,目的是取长补短,做一个完善的HIDS系统。简介HIDS的功能主要是依靠agent的数据收集功能, 所以HIDS的功能对比,实际上是agent的功能对比。HIDS主要是为了检测主机系统的异常行为,也就是说,必须要建立各种基线,在基线的基础上进行事件监控,从事件中甄别出异常行为或误报,从而不断地调整更新基线。那么,agent必须要采集各种系统信息生成各种基线,并且通过轮循或实时监控的方式来收集各种.原创 2021-04-16 23:02:19 · 1077 阅读 · 0 评论 -
最后防线:三款开源HIDS应用对比评估
本文仅从应用角度评估Wazuh, Osquery, AgentSmith这三款HIDS,针对企业立马使用HIDS,或者包装成方案的场景。简介Wazuh:一款免费、开源的企业级安全监控解决方案,用于威胁检测、完整性监控、事件响应和合规性。Osquery: 用于Windows、OS X(MacOS)、Linux和FreeBSD的操作系统工具框架, 使低级操作系统分析和监控既有性能又直观。AgentSmith: 一个基于云本地主机的入侵检测解决方案项目,旨在通过现代架构提供下一代威胁检测和行为.原创 2021-04-16 23:01:09 · 1139 阅读 · 0 评论 -
最后防线:字节跳动HIDS分析
AgentSmith HIDS是字节跳动开源的HIDS,采用内核驱动方式进行入侵检测,可以检测各种rootkit/bootkit,具有实时,高性能,无感知的优势。由于它是基于内核,只对2.6.32+内核支持,且rootkit的检测必须要在3.10.0+内核才支持。同时,由于它是监控内核函数的调用,事件和消息,并不提供软件管理,用户管理,系统管理,网络管理之类的基线。虽然目前总体代码只是2500行左右,但实现功能却非常多,多得作者Will大佬的指点,在撸一把5.12.0内核的代码,才勉强清楚这些检测.原创 2021-03-17 11:42:39 · 1838 阅读 · 1 评论 -
最后防线:osquery功能与实现
开源HIDS osquery的主机监控功能和实现原理。osquery代码链接:osqueryosquery表结构:表结构本文是在安装它之后,从osqueryi中的表再调研代码来获取它的实现设备基线对系统使用的设备建立基线,从而发现故障的设备,用于IDC机房。不足之处:这些功能用于传统机房。对于云时代并不适用功能 实现原理 acpi设备 读取/sys/firmware/acpi/tables目录 块设备 通过调用udev库API读取 设备信息(设备...原创 2021-03-07 23:15:14 · 825 阅读 · 0 评论 -
最后防线:Linux系统服务检测
在主机入侵检测系统里,建立系统服务基线和检测系统服务进程行为,是检测恶意服务和恶意进程的关键。只在使用systemd的Linux系统使用建立系统服务基线系统服务基线的建立,需要做的事情有如下几样: 获取所有安装的系统服务 获取当前系统运行级别 获取当前系统运行级别默认启动的服务 在主机入侵检测系统里,也可以通过system,popen,fork/execv之类的函数调用如下命令实现上面目的systemctllist-unit-files--typ...原创 2021-02-09 23:22:11 · 874 阅读 · 0 评论 -
最后防线: Linux进程实时监控
做Linux主机入侵检测系统,对进程监控是一个难点,要做不遗漏,也要做不影响系统性能,是非常困难。在现代操作系统中,任何攻击行为都是借助进程这个执行单元来进行,检测攻击行为往往是对进程监控,检测是否存在异常行为。命令方式基本上,使用Linux的人都会用ps来获取进程信息。如果是获取所有进程,往往是ps-ef或psaxu如果是放在主机入侵检测系统实现,往往会使用fork/execv或popen或system之类的API调用ps命令,来获取命令的结果。这种方式非常简单...原创 2021-02-04 10:31:24 · 697 阅读 · 0 评论 -
最后防线:Linux主机入侵外连行为检测
主机入侵检测系统系列:这一篇讲述检测外连行为的原理和技术,可统一检测宿主机和docker子机一台主机入侵后,入侵者往往会把数据发送出去或启动reverse shell。一般在IDC的出口防火墙都会有检测异常外连行为,可能由于中间有NAT,并不一定知道是哪台机器过来,但即使是知道哪台机器过来的,也不知道是该台机器哪个程序发起的外连行为。通常的操作,都是用netstat命令来获取[root@bogon-agenttest]#netstat-anp4ActiveInternetcon...原创 2021-01-23 18:19:15 · 1507 阅读 · 0 评论