开源安全项目调研
IDS
Suricata
suricata是一款开源高性能的入侵检测系统,并支持ips(入侵防御)与nsm(网络安全监控)模式,用来替代原有的snort入侵检测系统,完全兼容snort规则语法和支持lua脚本。
suricata pt规则库 https://github.com/ptresearch/AttackDetection
例:cve-2020-0601
alert tcp any any -> any any (msg: "ATTACK [PTsecurity] Suspicious explicitly-defined ECC parameters. Possible CVE-2020-0601 crafted certificate"; flow:established; content:"|06 07 2a 86 48 ce 3d 02 01 30 82|"; content:"|06 07 2a 86 48 ce 3d 01 01 02|"; within:200; reference: cve, 2020-0601; reference: url, github.com/ollypwn/cve-2020-0601; reference: url, github.com/ptresearch/AttackDetection; metadata: Open Ptsecurity.com ruleset; classtype: trojan-activity; sid: 10005695; rev: 1;)
Suricata 规则说明
https://www.jianshu.com/p/d81db4c352af
https://www.secpulse.com/archives/71603.html
规则库
http://rules.emergingthreats.net/open/suricata/
ptresearch/attackdetection规则是来自github的开源规则,里面包含了近几年常见cve漏洞的检测,更新十分及时。
https://github.com/ptresearch/AttackDetection
sslbl/ssl-fp-blacklist 列表里面提供了有关恶意软件与僵尸网络的ssl证书列表,根据证书特征来匹配流量中的威胁
https://sslbl.abuse.ch/blacklist/
rules
Sigma is for log files what Snort is for network traffic and YARA is for files.
Snort
YARA
Sigma
Sysmon
https://www.anquanke.com/post/id/156704
微软轻量级系统监控工具sysmon原理与实现完全分析(上篇)
Sysmon是微软的一款轻量级的系统监控工具,它通过系统服务和驱动程序实现记录进程创建、文件访问以及网络信息的记录,并把相关的信息写入并展示在windows的日志事件里。
sysmon应用1
检测恶意word文档
检测powershell恶意命令
检测恶意网络连接
日志收集
Winlogbeat/Filebeat
HIDS
OSSEC
驭龙 https://github.com/ysrc/yulong-hids
点融/美团设计HIDS
https://mp.weixin.qq.com/s?__biz=MzI5MjE4MDc4OQ&mid=2247483961&idx=1&sn=2736aad509f08c20d82cfc08b62da27a&chksm=ec040463db738d754cce84506c098caca891b58740e1b38b3621f752f805eb1c02ebf0e2ac73&mpshare=1&scene=1&srcid=1226ZgmHAUTfeYMuLFPWyuHS#rd
https://mp.weixin.qq.com/s?__biz=MjM5NjQ5MTI5OA&mid=2651750220&idx=2&sn=26e1ae8056e4fd7db5e953e946a00b78&chksm=bd12a6018a652f17643ccf86264ea226a5d881c4dd2911772893e0c5d848f95f1f8de74b786d&mpshare=1&scene=1&srcid=0117j91c1pFiorQDDMN0XQka#rd
企业安全建设之HIDS(二):入侵检测&应急响应https://www.freebuf.com/articles/es/197337.html
AgentSmith
https://github.com/EBWi11/AgentSmith-HIDS/blob/master/README-zh_CN.md
WAF:OpenResty 实现对业务逻辑漏洞的防护功能
语义分析引擎:基于词法分析SQL注入libinjection
Chatin SQL Chop:https://github.com/chaitin/sqlchop
Github信息泄露监控
企业资产安全管理平台 巡风
内容安全 UGC是“User Generated Content”
Yara相关
yargen
yargen是一个自动化提取yara规则的工具,可以提取strings和opcodes特征,其原理是先解析出样本集中的共同的字符串,然后经过白名单库的过滤,最后通过启发式、机器学习等方式筛选出最优的yara规则,项目地址:https://github.com/Neo23x0/yarGen。
YaYagen
评价:一个借助机器学习技术来自动化生成识别恶意代码的YARA规则的议题,从给出的效果数据来看让人印象深刻,识别出了比手工规则多一倍的样本。
EDR
![](https://img2020.cnblogs.com/blog/1272123/202007
/1272123-20200729162844779-1726881409.png)