开源安全项目调研

IDS

Suricata

suricata是一款开源高性能的入侵检测系统，并支持ips（入侵防御）与nsm（网络安全监控）模式，用来替代原有的snort入侵检测系统，完全兼容snort规则语法和支持lua脚本。
suricata pt规则库 https://github.com/ptresearch/AttackDetection
例：cve-2020-0601

alert tcp any any -> any any (msg: "ATTACK [PTsecurity] Suspicious explicitly-defined ECC parameters. Possible CVE-2020-0601 crafted certificate"; flow:established; content:"|06 07 2a 86 48 ce 3d 02 01 30 82|"; content:"|06 07 2a 86 48 ce 3d 01 01 02|"; within:200; reference: cve, 2020-0601; reference: url, github.com/ollypwn/cve-2020-0601; reference: url, github.com/ptresearch/AttackDetection; metadata: Open Ptsecurity.com ruleset; classtype: trojan-activity; sid: 10005695; rev: 1;)

Suricata 规则说明

https://www.jianshu.com/p/d81db4c352af
https://www.secpulse.com/archives/71603.html

规则库

http://rules.emergingthreats.net/open/suricata/
ptresearch/attackdetection规则是来自github的开源规则，里面包含了近几年常见cve漏洞的检测，更新十分及时。
https://github.com/ptresearch/AttackDetection
sslbl/ssl-fp-blacklist 列表里面提供了有关恶意软件与僵尸网络的ssl证书列表，根据证书特征来匹配流量中的威胁
https://sslbl.abuse.ch/blacklist/

rules

Sigma is for log files what Snort is for network traffic and YARA is for files.

Snort

YARA

Sigma

Sysmon

https://www.anquanke.com/post/id/156704
微软轻量级系统监控工具sysmon原理与实现完全分析（上篇）
Sysmon是微软的一款轻量级的系统监控工具，它通过系统服务和驱动程序实现记录进程创建、文件访问以及网络信息的记录，并把相关的信息写入并展示在windows的日志事件里。
sysmon应用1

检测恶意word文档

检测powershell恶意命令

检测恶意网络连接

日志收集

Winlogbeat/Filebeat

HIDS

OSSEC
驭龙 https://github.com/ysrc/yulong-hids
点融/美团设计HIDS
https://mp.weixin.qq.com/s?__biz=MzI5MjE4MDc4OQ&mid=2247483961&idx=1&sn=2736aad509f08c20d82cfc08b62da27a&chksm=ec040463db738d754cce84506c098caca891b58740e1b38b3621f752f805eb1c02ebf0e2ac73&mpshare=1&scene=1&srcid=1226ZgmHAUTfeYMuLFPWyuHS#rd
https://mp.weixin.qq.com/s?__biz=MjM5NjQ5MTI5OA&mid=2651750220&idx=2&sn=26e1ae8056e4fd7db5e953e946a00b78&chksm=bd12a6018a652f17643ccf86264ea226a5d881c4dd2911772893e0c5d848f95f1f8de74b786d&mpshare=1&scene=1&srcid=0117j91c1pFiorQDDMN0XQka#rd
企业安全建设之HIDS（二）：入侵检测&应急响应https://www.freebuf.com/articles/es/197337.html
AgentSmith
https://github.com/EBWi11/AgentSmith-HIDS/blob/master/README-zh_CN.md

WAF：OpenResty 实现对业务逻辑漏洞的防护功能
语义分析引擎：基于词法分析SQL注入libinjection
Chatin SQL Chop:https://github.com/chaitin/sqlchop
Github信息泄露监控
企业资产安全管理平台巡风
内容安全 UGC是“User Generated Content”

Yara相关

yargen

yargen是一个自动化提取yara规则的工具，可以提取strings和opcodes特征，其原理是先解析出样本集中的共同的字符串，然后经过白名单库的过滤，最后通过启发式、机器学习等方式筛选出最优的yara规则，项目地址：https://github.com/Neo23x0/yarGen。

YaYagen

评价：一个借助机器学习技术来自动化生成识别恶意代码的YARA规则的议题，从给出的效果数据来看让人印象深刻，识别出了比手工规则多一倍的样本。

EDR

![](https://img2020.cnblogs.com/blog/1272123/202007
/1272123-20200729162844779-1726881409.png)

posted @ 2020-06-05 10:12 歇马阅读(809) 评论(0) 编辑收藏举报

会员力量，点亮园子希望

刷新页面返回顶部

歇马