标题 | 简介 | 类型 | 公开时间 | ||||||||||
|
|||||||||||||
|
|||||||||||||
详情 | |||||||||||||
[SAFE-ID: JIWO-2024-1430] 作者: ecawen 发表于: [2018-04-08]
本文共 [430] 位读者顶过
0x00 简介驭龙HIDS是一款由 YSRC 开源的入侵检测系统,由 Agent, Daemon, Server 和 Web 四个部分组成。集异常检测、监控管理为一体,拥有异常行为发现、快速阻断、高级分析等功能,可从多个维度行为信息中发现入侵行为。 简单的讲,驭龙提供了一个OSSEC/OSSIM之外的开源HIDS选择。对于“一个人的安全部/没有钱的安全部”来说,是一个功能更丰富,二次开发门槛更低一些的“轮子”。 除了agent中涉及到驱动的部分是c写的,其他后端、web都是golang写的,天然跨平台。agent支持32位/64位win、linux环境,后端所依赖的Elasticsearch、MongoDB本身也支持多平台,所以后端部署在win、linux皆可。如果只有小几百个agent部署实例,最少单台机器就能支撑。
[出自:jiwo.org] 0x01 功能特点
0x02 整体架构Agent为采集者角色,收集服务器信息、开机启动项、计划任务、监听端口、服务、登录日志、用户列表,实时监控文件操作行为、网络连接、执行命令,初步筛选整理后通过RPC协议传输到Server节点。 Daemon为守护服务进程,为Agent提供进程守护、静默环境部署作用,其任务执行功能通过接收服务端的指令实现Agent热更新、阻断功能和自定义命令执行等,任务传输过程使用RSA进行加密。 Server为整套系统的大脑,支持横向扩展分布式部署,解析用户定义的规则(已内置部分基础规则)对从各Agent接收到的信息和行为进行分析检测和保存,可从各个维度的信息中发现webshell写入行为、异常登录行为、异常网络连接行为、异常命令调用行为等,从而实现对入侵行为实时预警。 架构图
测试演示
0x03 web 控制台
展示驭龙HIDS的各项数据信息,包括:警报分布、警报信息TOP、警报类型统计、主机数、任务、数据总览等等。
其他还有些设置相关的,这边就不再贴了。
0x04 规则具体的规则格式、结构、字段定义请参照Github上的文档。 这里引用职业欠钱前辈写的《大型互联网企业入侵检测实战总结》中关于入侵检测基本原则的描述,在定义规则的时候可以思考一下。
更多细节的介绍以及系统部署、编译步骤、规则编写的文档请参照GitHub https://github.com/ysrc/yulong-hids
0x05 又及驭龙项目目前的开源版本已经可以正常使用,基础功能也基本都有了。 但是目前并没有完全开发完毕,这边列了一些 To do:
|