yulong-hids 规则引擎,目前看到就是正则表达式和count技术

规则

项目提供的默认规则太简单和宽泛了,甚至包含一些错误,比如:

image-20201022120401573

image-20201022120423447

有些不太精确,比如:

image-20201022120739280

另外规则引擎的匹配算法没有做优化,规则或者事件一旦多起来,server的负载会很高

有些太宽泛导致误报非常高:

image-20201022121056325

image-20201022121152354

agent在测试机才装2天就有近6w条告警,这是无法运营的,当然,规则支持细粒度控制(开关)还是很不错的

3、功能

功能类型较少,功能模块划分不够细,比如没有单独的入侵检测模块,无法根据危险等级筛选告警,只能一个个去看,根据规则类型判断是否是入侵事件,没有针对性的审计告警是非常耗时的,特别是在告警数量特别庞大的情况下;

posted @ 2022-02-07 18:04  bonelee  阅读(202)  评论(0编辑  收藏  举报