關於甲方入侵檢測的事兒

前幾天在微信公眾平台上說過

但是後面調研發現做這套系統需要花大量的人力成本在裡面，某同事說過在前公司也嘗試過做這件事情，三個人做了幾個月最終選擇放棄不做。考慮到成本問題，大部分企業會採用ossec開源主機入侵檢測系統。

https://blog.csdn.net/cnbird2008/article/details/8730017

https://www.cnblogs.com/gaoyuechen/p/8594167.html

而我眼中的入侵檢測系統是要把日誌實時匯總到一個伺服器，再由平台去讀取這台伺服器日誌。

同時希望它具備的功能有以下幾點：

1、識別系統登陸用戶(包含創建用戶行為)

2、文件操作日誌(檢查系統文件是否有新建或更改)

3、webshell檢測(識別指紋，還可以判斷文件內容是否包含eval、exec之類的參數)

4、識別介面是否被刷(是否有異常流量)

5、shell執行命令監控

6、區分攻擊日誌(識別攻擊者指紋，記錄ip、useragent、攻擊路徑等。有點類似於溯源平台)

7、待補充

當然我掌握的面比較少，目前僅能想到這些東西了。

關於入侵檢測的介紹，百度百科是這麼說的…

https://baike.baidu.com/item/%E5%85%A5%E4%BE%B5%E6%A3%80%E6%B5%8B/326615?fr=aladdin

https://baike.baidu.com/item/%E5%85%A5%E4%BE%B5%E6%A3%80%E6%B5%8B%E7%B3%BB%E7%BB%9F/404710

為什麼我想做這樣的事情，是因為目前大多數企業都是在發生安全風險之前才做這些事情，而那時候做會有點晚了，所以不得不需要提前把這件事情落實。

但是經過幾周的調研發現做這套系統並沒有想像中的那麼簡單，如果做成了還希望能開源為社區做一些貢獻了。

之前也閱讀過職業欠錢大佬寫的「大型互聯網企業入侵檢測實戰總結」 https://xz.aliyun.com/t/1626 才想到還需要做webshell檢測的這種功能。

當然在調研過程也可以了解其他家乙方廠商做了什麼東西，優秀的我們去參考去實現放在這套系統上。

先不跟你說了，我要讀文檔去了：http://www.ossec.net/docs/

以上臨時工所述

我司一概不負責

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！