- 博客(169)
- 收藏
- 关注
原创 实用小工具集
整理了一些实用小工具集做备份,也许以后能用到pcap 文件解析工具Xplico 是一个从 pcap 文件中解析出IP流量数据的工具,可解析每个邮箱 (POP, IMAP, 和 SMTP 协议), 所有 HTTP 内容, VoIP calls (SIP) 等等。Xplico 1.0 发布了,该版本改进了 SQLite 分发性能,添加、修复和改进了多个解码器,修复了 Yahoo Webma
2012-03-05 23:15:30 2839 2
原创 日志标准化必须面对的 4 类问题
引言在很多安全分析类产品建设的过程中都会涉及到关联分析,比如日志分析、soc、态势感知、风控等产品。之前的文章中阐述过五种最常见的关联分析模型,在文中也介绍了:要想达到很好的关联分析效果,前提是对采集过来的日志进行标准化解析。解析的维度越多、内容越准确,对关联分析的支撑性就越强。下面就来介绍一下日志解析的一些常用内容。一、概述很多公司在自己的产品介绍中描述产品有多少种日志解析规则等等,当然,这种内置的解析规则对这类产品发挥了很重要的作用。但这种方式也存在一些问题:首先,经过时间的推移就会发现
2020-06-22 14:11:35 1905
原创 关于SOC、态势感知,5种常见的关联分析模型
引言在很多安全分析类产品建设的过程中都会涉及到关联分析,比如日志分析,soc,态势感知,风控等产品。关联分析可以认为是这类产品中最核心的能力之一。这个东西从名字上看就知道,千人千面,每个人的想法和理解都不一样。很多甲方都会提关联分析,但你要在细问要做什么样的关联分析,估计大多数甲方都不太能详细说出来,很多乙方对此也是藏着掖着,可能也是核心机密不愿意细说。下面就来聊一下我对关联分析模型的一点思考。一、概述有很多公司在自己的产品介绍中说自己的产品有多少种内置规则等等,仔细分析就会发现很多是一个模型出
2020-06-08 15:31:05 10235
原创 secsoso spl 语法说明
概述数据分析一直是近几年非常热的一个话题,但如何进行数据分析目前业界还没有一个统一答案,从抽象的角度来说,先要有数据,然后有目标,最后给个工具从数据中提取目标这个就是数据分析过程。但目前数据和目标都相对比较容易获取,但工具一直没有比较理想的工具。公司根据这种情况开发了一系列产品来缓解数据分析的过程,其中免费的命令行工具为secsoso。它们在搜索的时候都用了SPL (Search Proces...
2019-09-20 10:05:58 2207
原创 运维利器:WEB日志分析场景介绍
为什么要对 Web日志进行分析随着 Web 技术不断发展,Web 被应用得越来越广泛,现在很多企业对外就一个网站来提供服务,所以网站的业务行为,安全性显得非常重要。正如安全行业的一句话:“世界上只有两种人,一种是知道自己被黑了的,另外一种是被黑了还不知道的”。对网站的业务行为分析,网站的安全性分析一个很重要的途径就是通过日志。通过WEB日志分析最直接明显的几个目的: 一为网站安全自检...
2019-09-20 10:04:12 925
原创 免费数据分析工具:secsoso
前段时间思考了理想数据分析平台,之后我们根据这个思路开发了spl语言并提供了一个数据分析平台,这个平台主要用在搜索ES,数据库索引中的数据。但后来发现对文件的事后处理也是个非常重要的事情。当问题发生后,很多时候需要对文件进行分析取证。在linux下还有一堆的命令可以使用,但很多时候使用起来也比较麻烦。在windows基本没有啥好的工具。在这种情况下我们开发了一款免费的对文件分析的小工具se...
2019-09-18 23:18:31 896 7
原创 理想的数据分析平台
数据分析尤其是大数据分析这几年的热度依然不减,但面对眼花缭乱的数据分析产品很难去选择,那什么是理想的数据分析平台呢。下面是根据我的个人理解的理想数据分析平台,在次强调我理想的数据分析平台。不要对号入座。 在这里我并没有强调大数据分析平台,因为很多时候小数据分析都没有做好的情况下,谈大数据分析有点早,我一向的观点都是先把简单的少量的做好,才有机会做大量的复杂的平台。有句话叫不扫一屋...
2019-07-14 18:23:18 323
原创 起跑:2019
匆匆一年又过去了,2018年感觉还有很多工作没有做完,2019年已经悄然而至。在时间面前,每个人都是平等的,不管你是兴奋还是伤感还是不舍还是惆怅,时间都这样悄无声息的流淌着,不多不少。所以很羡慕在同样多的时间内能做出更多成绩的人,可能人与人最大的差别在于工作的效率,学习的效率,对世界的认知,对自我的认知。一晃已经创业五年多了,在此期间经历了太多的变化,产品从无到有,团队从无到有,销售从无到有,...
2019-01-02 08:58:07 288
原创 新加坡之旅
在我几十年的工作生活中,一直感觉生活过的很小心,可能和大多数这个年纪的人一样,尤其是在创业的几年。时间长了,一种不自然的感觉油然而生,总感觉需要改变点什么。不能总在埋头拉车,有时候也需要抬头看看天空。这次决心和家人一起出去走走,感受下生活。这次选择的目的地是新加坡,主要考虑几个原因,一是新加坡华人比较多,语言不是太大的障碍,二是新加坡不是特别远,在飞机上的时间不会太长。三是新加坡认识了几个...
2018-09-02 17:26:52 748
原创 如何做职业生涯规划
现在可选择的公司太多,刚才也谈到的了全民创业的环境。如何选择呢,我认为有几个地方可以参考,首先是公司的方向,比如有很多人就在怀疑去外包公司的意义。就是公司做的事情是朝阳产业还是夕阳产业,如果是朝阳产品,就赶快去加入吧,越早越好,这个每个人都有自己的判断。其次是公司的文化,公司信奉一种什么样的文化哲学。
2017-06-28 08:52:58 621 1
原创 致力成为一家小而美的公司:发展2017
小而美在我看来有几个重要的特点:人员少而精、产品有竞争力、只做一个小领域、个性化管理、有切实的梦想。
2017-02-01 23:19:02 3152 1
原创 Windows登录日志详解
日志在很多时候是非常重要的,尤其是登录日志。从登录日志中可以发现很多有价值的信息,window2008及以后的日志基本一致,2003由于时间太长,微软都停止更新了,所以重点介绍2008的登录日志。
2016-10-07 09:21:26 104107 7
原创 致力成为一家小而美的公司:起点2016
小公司有序、简单、不拘束。小公司充满激情,对官僚主义嗤之以鼻。小公司不发好点子——好主意不问出处。在小公司里每个人都被需要,每个人都得参与,奖惩的依据是每个人对企业的贡献。小公司有远大理想,做出了榜样。
2016-03-04 12:32:53 2059 2
原创 为什么需要日志审计系统
在很多企业环境中,日志没有得到重视。日志往往在日常工作中被完全忽视,仅仅在磁盘空间不足的时候才会引起人们的注意。而在这个时候它们往往未经查看就被删除了。
2015-11-10 13:11:33 30018 4
原创 secilog 1.17 发布 增加了英文版本等新功能
日志分析软件 secilog 1.17发布,增加了英文版本,对日志导入增加了日志机器ip和日志机器名,或者日志ip和日志域名的关系。
2015-11-04 09:54:49 1549
原创 secilog 1.15 发布 增加了搜索保存数据库采集web日志报表等。
日志分析软件 secilog 1.15发布,增加了搜索保存数据库采集web日志报表等。上篇文章1.13,有兴趣可以了解一下。本次升级主要增加以下功能:日志搜索保存:通过日志搜索保存可以把常用的搜索保存起来,下次可以更方便的进行查询。web日志报表:增加了web日志报表功能,主要是网站访问统计,可以代替类似cnzz,Piwik,AWStats等部分功能。
2015-10-09 17:06:18 1009
原创 seci-log 1.13 发布 简化了安装和程序底层结构做了调整
日志分析软件 seci-log 1.13发布,简化了安装和程序底层结构做了调整。去掉了mysql数据库,这样使日志占用空间减少了一半多。
2015-09-26 13:42:14 1982
原创 云服务下的安全特点及基础防护
但对于很多中小企业来说,本身的设备也不是太多,也就几台到几十台而已,如果花费太多的精力去搞安全也不划算,如果不搞又感觉不放心。那什么方面的内容是中小企业关注的呢?个人认为应该优先关注访问安全,就是有没有人非法访问你的服务器,因为在云平台下,任何人只要接入网络都可以访问到你的机器。所以我认为应该优先关注此信息,报告非上班时间访问,非上班地点访问,密码猜测,账号猜测,账号猜测成功等行为。从我了解的情况下,这部分目前还没有比较有效的开源或者免费工具供大家使用,现在elk用的比较多,但大多数情况下都不太适合中小公司
2015-04-26 08:48:18 1683
转载 大数据的技术生态圈:Hadoop,hive,spark
大数据本身是个很宽泛的概念,Hadoop生态圈(或者泛生态圈)基本上都是为了处理超过单机尺度的数据处理而诞生的。你可以把它比作一个厨房所以需要的各种工具。锅碗瓢盆,各有各的用处,互相之间又有重合。你可以用汤锅直接当碗吃饭喝汤,你可以用小刀或者刨子去皮。但是每个工具有自己的特性,虽然奇怪的组合也能工作,但是未必是最佳选择。大数据,首先你要能存的下大数据。传统的文件系统是单机的,不能横
2015-04-09 17:50:09 1180
原创 linux安全加固
主要包括,命令审计,文件审计,日志分析在linux运维中,命令审计是非常重要的一个环节,命令审计也不需要太复杂的工具,几个脚本就可以搞定了。1、在系统的全局变量中添加如下环境变量: vim /etc/profileexport PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger "{euid
2015-03-31 11:18:29 3336
原创 2014年年终总结和2015年规划
2014年是公司的创业年,虽说公司成立日期是2013年,由于2013年公司各方面都没有考虑成熟,所以基本上没有什么业务,也就是到了2014年才陆陆续续接了三个项目,目前三个项目基本都是尾声,年后可能还会有一段时间的维护期,这就是软件行业的特点。下面分别从人员,管理,市场,计划几个方面分析公司的情况。
2015-02-14 10:21:50 1023
原创 2014年总结和感悟
在公司我最求的是自觉的工作,我不喜欢管人,我不喜欢监督,不代表我不清楚每个人的工作。在这里我们没有太多的时间去偷懒,我不鼓励加班,我尽量做到最小限度的加班,加上我们人少,所以我们要更多的提高自己的效率。在这里我希望工作不仅仅是一份工作,而是一份事业。我感觉在中国,尤其是现在这个行情找一份工作很容易,找一份事业并不那么容易。虽然我们现在还很小,但我们活下来了,我们还有很多的机会。我认为经过14年半年
2015-01-09 16:41:52 779
原创 mysql 主主复制
项目中客户需要高可用,数据库是高可用的关键一部分。研究了很多mysql的高可用,用的比较多的就是mysql cluster 和mysql 主从主主复制。mysql cluster过于复杂,有5个节点,当然最少要部署在两台机器上,所有重点研究了一下主主复制。1、配置文件 my.cnfA节点log-bin=mysql-binserver-id = 1binlog-d
2015-01-05 23:29:59 2315
转载 mysql5.6占用内存大,通过state优化
MySQL 5.6相比于前代GA版本性能提升显著,但默认缓存设置对于小型站点并不合理。通过修改my.ini文件中的performance_schema_max_table_instances参数,能够有效降低内存占用。以下是5.6默认的设置performance_schema_max_table_instances 12500table_definition_cac
2015-01-05 16:30:43 21799
原创 keepalived+nginx高可用环境搭建
高可用方案其实很多,而且有很多成本是非常低和简单的。比如你如果有一个网站,高可用最简单的就是nds+nginx+两台机器。我们由于是客户的一个项目,dns申请是非常麻烦的,所以才考虑用keepalived+nginx做高可用方案。从网上整理了HA常用组合。heartbeat v2+crmheartbeat v3+pacemakercorosync+pacemakercman
2015-01-02 20:10:12 5298
原创 linux磁盘关系知识心得
之前也多多少少的了解过linux的磁盘管理,包括硬盘,逻辑盘,lvm等,但不系统,但昨天在检查linux数据库的时候还是遇到了很多的问题和困惑,就顺便又复习了一下相关知识。首先看一下磁盘的情况:df -k文件系统 1K-块 已用 可用 已用% 挂载点/dev/mapper/vg_sspdb1-lv_root
2015-01-02 11:06:41 3093
原创 2014阶段工作总结
天都有忙不完的事情,总感觉时间不够用,但精力确是一天比一天差,晚上很早就困了,但睡不着,早上很早就醒了,很困还是睡不着。看来亚健康症状很明显。是时候改调整心态,加强锻炼了。
2014-11-17 20:14:30 999
转载 Spring4新特性——集成Bean Validation 1.1(JSR-349)到SpringMVC
Bean Validation 1.1当前实现是Hibernate validator 5,且spring4才支持。接下来我们从以下几个方法讲解Bean Validation 1.1,当然不一定是新特性: 集成Bean Validation 1.1到SpringMVC 分组验证及分组顺序 消息中使用EL表达式 方法参数/返回值验证 自定义验证规则 类级别验证器 脚本验证器 cross-pa
2014-10-26 22:42:01 951
转载 JavaEE6引入的JPA2.0四大新特性详解(转)
Java EE 5平台引入了Java持久化API(Java Persistence API,JPA),它为Java EE和Java SE应用程序提供了一个基于POJO的持久化模块。JPA处理关系数据与Java对象之间的映射,它使对象/关系(O/R)映射标准化,JPA已经被广泛采用,已经成为事实上的O/R持久化企业标准。 Java EE 6带来了JPA的最新版本 — JSR 317:Jav
2014-09-04 23:17:55 2351
转载 JPA2中的查询:类型安全与面向对象
该文翻译自网络,原文地址:http://www.developer.com/java/ent/article.php/3902911/Querying-in-JPA-2-Typesafe-and-Object-Oriented.htm JPA流行的主要原因之一是JPQL,它支持面向对象的机制来查询数据库。但是JPQL有一个重大缺陷:作为查询字符串构建的JPQL查询在编译时不会被计算。J
2014-09-04 23:08:35 5122
原创 公司情况介绍及中远期规划
自从公司成立后,我很长时间就在想,公司存在的意义是什么,公司后面未来的路怎么走?这个其实是很难的,毕竟没有经验,而且每家公司的特点也不一样。先简单介绍一下公司,公司是于2013年7月份成立的,当时成立的目的比较简单,先把公司成立着,说不定以后还有机会,于是就在耐心的等待机会。因为我这么多年一直是做安全方向的,所以也准备新公司的方向是安全。当然也看好了安全方向。因为安全本身也是很大的,所以经过细
2014-07-01 07:22:41 3836 6
原创 工作感悟-2014.6.28
最近发生了太多的事情,也思考了很多。人在一天天变老的过程中是否能及时的总结,吸取经验教训,是否有规划,都决定着你的现在和未来。当我们小时候,感觉大人真好,有自由,有钱花,还可以管小孩,要听他的,就是因为他是大人,应该懂很多东西。当我们是大人的时候,发现很多东西和道理其实自己也不懂。要不停的学习,但也有很多人随遇而安。每个人都会选择每个人的生活方式,但最重要的是你是否清楚的知道自己需要什么。我这
2014-06-28 08:45:10 2029 17
转载 记住一个 中国科技界一个耻辱的事情,希望更多人看到,并引以为戒。
转自:http://www.oschina.net/news/50368/wine-arm-patent?p=2#comments
2014-04-04 11:28:02 1389
原创 远程监控之图形处理杂谈
很长时间都有远程监控的需求,但需求又不是特别的明显,所以脱脱拉拉的了解了一下。现在做开发很多时候都是先了解一下现有的市场上是否有类似的产品或者库进行使用,所以对此进行了了解。还是真找到了一些开源软件可以研究。http://www.codeproject.com/Articles/565/Remote-Control-PCs 这个程序看起来不错。代码比较规整,但是想完全看懂还是需要点时间
2014-04-01 20:40:36 1402
转载 如何选择日志审计系统
【摘要】本文分析了日志审计的需求,并针对日志审计系统的选型给出了一套基本的评价指标。日志审计系统的需求分析日志很早就有,日志对于信息安全的重要性也早已众所周知,但是对日志的真正重视却是最近几年的事情。当今的企业和组织在IT信息安全领域面临比以往更为复杂的局面。这既有来自于企业和组织外部的层出不穷的入侵和攻击,也有来自于企业和组织内部的违规和泄漏。为了不断应对新的安全
2014-03-19 19:03:43 12331 1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人