第八章 入侵感知体系
主机入侵检测
1.开源:
OSSEC
MIG:救火利器
OSquery:有一定IDC规模,有一定安全开发能力,对入侵检测有基于大数据理解的公司
2.自研:
架构设计:
行业法规需求
基础安全需求
企业自身的特殊安全风险需求
运维体系\网络环境适应
Agent功能模块:
基线安全
日志采集
进程信息
网络连接信息
数据传输:
syslog转发
数据直传
数据接收server
HIDS本身控制管理:
健康度监控
“自杀”机制
部署与更新:海量环境影响/安全性
检测webshell