上一页 1 ··· 37 38 39 40 41 42 43 44 45 ··· 271 下一页
2022年6月6日
Elkeid 规则引擎——数据向后传递是亮点,支持单事件规则和统计类规则;如果向后传递支持的话,理论上AB先后事件的关联分析可以做;自定义plugin类似udf
摘要: 参考:https://elkeid.bytedance.com/docs/hub/handbook.html#6-elkeid-hub-ruleset 检测规则在云端 hub里:如下图 6 Elkeid HUB RuleSet RuleSet是HUB实现核心检测/响应动作的部分,需要根据具体业务需求 阅读全文
posted @ 2022-06-06 18:37 bonelee 阅读(552) 评论(0) 推荐(0) 编辑
Elkeid构建入侵检测能力——亮点:采集的数据具有清晰的进程链信息,另外ld_preload信息也会采集,检测是云端为主,driver侧有一些
摘要: 写在前面:开源版本没有任何检测能力,因为没有开源检测规则 数据上报及对复杂网络环境的适配 Elkeid Server会将原始数据上报到后端进行统一存储和管理,后端完整的记录安全事件的必要信息,有利于快速追溯和取证。同时配套高可用服务发现,具备负载均衡能力,可在复杂网络环境中,对Agent要连接的后端 阅读全文
posted @ 2022-06-06 18:33 bonelee 阅读(692) 评论(0) 推荐(0) 编辑
反弹shell的实现方式和检测方法——常规攻击可以直接检测,pipe方式需要结合关联分析(图关联最好),如果含有混淆脚本,需要无文件攻击检测
摘要: 看了几篇要点文章,阿里云做得最强。 云安全中心反弹Shell多维检测技术详解 更新时间:2022-05-19 14:02 产品详情 相关技术圈 我的收藏 反弹Shell是黑客控制受害服务器的一种攻击手段,常用于受害服务器位于内网、受限于防火墙策略等无法使用正向连接的入侵场景。本文介绍反弹Shell攻 阅读全文
posted @ 2022-06-06 16:20 bonelee 阅读(1957) 评论(0) 推荐(0) 编辑
2022年6月3日
二分法应用——搜索旋转数组,以前一直在纠结a[0],a[-1],a[mid], target三者关系,其实最简单的还是使用2次二分,先找到旋转数组peak,然后用正常的二分搜索即可!
摘要: 62 · 搜索旋转排序数组 描述 给定一个有序数组,但是数组以某个元素作为支点进行了旋转(比如,0 1 2 4 5 6 7 可能成为4 5 6 7 0 1 2)。给定一个目标值target进行搜索,如果在数组中找到目标值返回数组中的索引位置,否则返回-1。你可以假设数组中不存在重复的元素。 背完这套 阅读全文
posted @ 2022-06-03 17:21 bonelee 阅读(28) 评论(0) 推荐(0) 编辑
辗转相除法的证明
摘要: 描述 给出两个整数 a 和 b,请计算 a 和 b 的最大公约数,通过 print 语句输出。 1≤b≤a≤1000 样例 评测机将通过执行命令 python main.py {a} {b} 来执行你的代码,并将 a 和 b 作为命令行参数传入。 样例一 当 a = 15, b = 12 时,程序执 阅读全文
posted @ 2022-06-03 11:20 bonelee 阅读(166) 评论(0) 推荐(0) 编辑
2022年6月2日
利用pyinstaller发布不依赖python解释器的可执行exe
摘要: 现在打包app.py,从Windows命令提示符(cmd)运行: pyinstaller.exe --onefile --windowed app.py 就这么简单。 如果打包成功,最终的可执行文件app.exe和任何相关文件将放在dist目录中,如果该目录不存在,将创建该目录。 PyInstall 阅读全文
posted @ 2022-06-02 18:05 bonelee 阅读(221) 评论(0) 推荐(0) 编辑
CVE-2022-30190漏洞复现和检测——属于典型的无文件攻击场景之一
摘要: 漏洞描述:CVE-2022-30190: Microsoft Windows 支持诊断工具(MSDT)远程代码执行漏洞 漏洞价值:==》以前发钓鱼邮件恶意office附件还要用户启动宏,这个漏洞比较高级!完全不需要,看来黑产钓鱼邮件又有一场血雨腥风了。。。 CVE: CVE-2022-30190 组 阅读全文
posted @ 2022-06-02 11:56 bonelee 阅读(3680) 评论(1) 推荐(0) 编辑
2022年6月1日
falco hips规则引擎——仅仅支持单一事件匹配,算子比较少,亮点是事件上报里包含取证。
摘要: 我看了其所有的规则,都是单事件类的规则匹配,不含多事件的关联。官方文档里说了:Condition Syntax A condition is a boolean expression related to a single event ...单一事件。。。 规则清单:https://github.c 阅读全文
posted @ 2022-06-01 18:30 bonelee 阅读(235) 评论(0) 推荐(0) 编辑
wazuh hips规则引擎和ossec的差异分析——本质上语法层面和ossec没有变化,但是公共字段提取出来了,同时正则匹配数据提取灵活性更强
摘要: https://documentation.wazuh.com/current/user-manual/ruleset/ruleset-xml-syntax/rules.html 因为是继承自ossec,所以我们从其官方文档里看二者的差异。 Rules Syntax The Wazuh Rulese 阅读全文
posted @ 2022-06-01 18:15 bonelee 阅读(346) 评论(0) 推荐(0) 编辑
从上层检测逻辑看ossec hips规则引擎——支持单事件正则,统计类规则,支持前后关联,例如暴力破解,爆破成功检测
摘要: 检测规则: https://github.com/ossec/ossec-hids/blob/master/etc/rules/ 针对web安全里的,https://github.com/ossec/ossec-hids/blob/master/etc/rules/web_appsec_rules. 阅读全文
posted @ 2022-06-01 15:38 bonelee 阅读(194) 评论(0) 推荐(0) 编辑
上一页 1 ··· 37 38 39 40 41 42 43 44 45 ··· 271 下一页