yulong-hids 规则引擎,目前看到就是正则表达式和count技术
规则
项目提供的默认规则太简单和宽泛了,甚至包含一些错误,比如:
有些不太精确,比如:
另外规则引擎的匹配算法没有做优化,规则或者事件一旦多起来,server的负载会很高
有些太宽泛导致误报非常高:
agent在测试机才装2天就有近6w条告警,这是无法运营的,当然,规则支持细粒度控制(开关)还是很不错的
3、功能
功能类型较少,功能模块划分不够细,比如没有单独的入侵检测模块,无法根据危险等级筛选告警,只能一个个去看,根据规则类型判断是否是入侵事件,没有针对性的审计告警是非常耗时的,特别是在告警数量特别庞大的情况下;
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 全程不用写代码,我用AI程序员写了一个飞机大战
· MongoDB 8.0这个新功能碉堡了,比商业数据库还牛
· 记一次.NET内存居高不下排查解决与启示
· 白话解读 Dapr 1.15:你的「微服务管家」又秀新绝活了
· DeepSeek 开源周回顾「GitHub 热点速览」
2018-02-07 tflearn中计算混淆矩阵方法——需要经过一步转换
2018-02-07 词袋模型 测试数据使用和训练数据一样的词汇表
2018-02-07 word2vec和word embedding有什么区别?