zoukankan      html  css  js  c++  java

  • 开源安全项目调研

    IDS

    Suricata

    suricata是一款开源高性能的入侵检测系统,并支持ips(入侵防御)与nsm(网络安全监控)模式,用来替代原有的snort入侵检测系统,完全兼容snort规则语法和支持lua脚本。
    suricata pt规则库 https://github.com/ptresearch/AttackDetection
    例:cve-2020-0601

    alert tcp any any -> any any (msg: "ATTACK [PTsecurity] Suspicious explicitly-defined ECC parameters. Possible CVE-2020-0601 crafted certificate"; flow:established; content:"|06 07 2a 86 48 ce 3d 02 01 30 82|"; content:"|06 07 2a 86 48 ce 3d 01 01 02|"; within:200; reference: cve, 2020-0601; reference: url, github.com/ollypwn/cve-2020-0601; reference: url, github.com/ptresearch/AttackDetection; metadata: Open Ptsecurity.com ruleset; classtype: trojan-activity; sid: 10005695; rev: 1;)

    Suricata 规则说明

    https://www.jianshu.com/p/d81db4c352af
    https://www.secpulse.com/archives/71603.html

    规则库

    http://rules.emergingthreats.net/open/suricata/
    ptresearch/attackdetection规则是来自github的开源规则,里面包含了近几年常见cve漏洞的检测,更新十分及时。
    https://github.com/ptresearch/AttackDetection
    sslbl/ssl-fp-blacklist 列表里面提供了有关恶意软件与僵尸网络的ssl证书列表,根据证书特征来匹配流量中的威胁
    https://sslbl.abuse.ch/blacklist/

    rules

    Sigma is for log files what Snort is for network traffic and YARA is for files.

    Snort

    YARA

    Sigma

    Sysmon

    https://www.anquanke.com/post/id/156704
    微软轻量级系统监控工具sysmon原理与实现完全分析(上篇)
    Sysmon是微软的一款轻量级的系统监控工具,它通过系统服务和驱动程序实现记录进程创建、文件访问以及网络信息的记录,并把相关的信息写入并展示在windows的日志事件里。
    sysmon应用1

    检测恶意word文档

    检测powershell恶意命令

    检测恶意网络连接

    日志收集

    Winlogbeat/Filebeat

    HIDS

    OSSEC
    驭龙 https://github.com/ysrc/yulong-hids
    点融/美团设计HIDS
    https://mp.weixin.qq.com/s?__biz=MzI5MjE4MDc4OQ&mid=2247483961&idx=1&sn=2736aad509f08c20d82cfc08b62da27a&chksm=ec040463db738d754cce84506c098caca891b58740e1b38b3621f752f805eb1c02ebf0e2ac73&mpshare=1&scene=1&srcid=1226ZgmHAUTfeYMuLFPWyuHS#rd
    https://mp.weixin.qq.com/s?__biz=MjM5NjQ5MTI5OA    &mid=2651750220&idx=2&sn=26e1ae8056e4fd7db5e953e946a00b78&chksm=bd12a6018a652f17643ccf86264ea226a5d881c4dd2911772893e0c5d848f95f1f8de74b786d&mpshare=1&scene=1&srcid=0117j91c1pFiorQDDMN0XQka#rd
    企业安全建设之HIDS(二):入侵检测&应急响应https://www.freebuf.com/articles/es/197337.html
    AgentSmith
    https://github.com/EBWi11/AgentSmith-HIDS/blob/master/README-zh_CN.md

    WAF:OpenResty 实现对业务逻辑漏洞的防护功能
    语义分析引擎:基于词法分析SQL注入libinjection
    Chatin SQL Chop:https://github.com/chaitin/sqlchop
    Github信息泄露监控
    企业资产安全管理平台 巡风
    内容安全 UGC是“User Generated Content”

    Yara相关

    yargen

    yargen是一个自动化提取yara规则的工具,可以提取strings和opcodes特征,其原理是先解析出样本集中的共同的字符串,然后经过白名单库的过滤,最后通过启发式、机器学习等方式筛选出最优的yara规则,项目地址:https://github.com/Neo23x0/yarGen。

    YaYagen

    评价:一个借助机器学习技术来自动化生成识别恶意代码的YARA规则的议题,从给出的效果数据来看让人印象深刻,识别出了比手工规则多一倍的样本。

    EDR

    ![](https://img2020.cnblogs.com/blog/1272123/202007
    /1272123-20200729162844779-1726881409.png)
  • 相关阅读:
    迭代器和生成器
    20.03.23作业
    装饰器
    集合
    元组类型
    字典类型
    列表类型
    字符串类型
    for循环
    深浅copy与while循环
  • 原文地址:https://www.cnblogs.com/rookieDanny/p/13048117.html
Copyright © 2011-2022 走看看