- 综合排序
- 最热优先
- 最新优先
- 来自专栏FreeBuf
企业安全建设之HIDS
其实可以看到,从网络层检测,基于关键字等检测方式,有被绕过的风险,上面还介绍了基于目录下文件的监控到达检测风险的作用,就由此引出了HIDS(主机型入侵检测系统) 0x03:简介 HIDS(Host-based 0x04 开源HIDS 安全部门不是盈利部门,“一个人的信息安全部”之中型公司常用开源项目二次开发,知名的HIDS项目如OSSEC、Osquery。 0x05:个人HIDS实践 从SQLmap到HIDS 刚学习安全的时候,SQL注入的内容还是挺丰富的,当时是怎么快速入手的呢? ,也没怎么深入接触HIDS,就从开源项目从回走。 参考文献 保障IDC安全:分布式HIDS集群架构设计 企业安全建设—基于Agent的HIDS系统设计的一点思路 点融开源AgentSmith HIDS—- 一套轻量级的HIDS系统 *本文作者:罹♛殇,
3K40发布于 2019-05-09 - 来自专栏糖果的实验室
HIDS系统存储方案探索与实践
0x01 HIDS的背景 企业有各种安全防护手段,HIDS与网络流量监听一样, 是一种威胁检测的手段。 HIDS(Host-based Intrusion Detection System)基于主机型入侵检测系统。与网络监听这种形式的主要区别是, HIDS的主要数据源来至于主机本身产生的各种审计信息。 0x02 HIDS与网络监听 通过在主机上安装一个审计数据收集的 agent代理程序,收集主机的相关信息。 HIDS系统和其他的系统都很多的相似之处,也有着明显的区别。 某种程度HIDS与网络流量监听, 即互补又殊途同归。 数据交互:整个HIDS最主要的操作者还是安全运维人员,让HIDS可以让安装运维人员配置策略,像无数安全分析系统一样,将威胁信息统计汇总。
1.7K30发布于 2019-12-19 - 来自专栏Seebug漏洞平台
Linux HIDS agent 概要和用户态 HOOK(一)
作者:u2400@知道创宇404实验室 时间:2019年12月19日 前言:最近在实现linux的HIDS agent, 搜索资料时发现虽然资料不少, 但是每一篇文章都各自有侧重点, 少有循序渐进, 讲的比较全面的中文文章, 在一步步学习中踩了不少坑, 在这里将以进程信息收集作为切入点就如何实现一个HIDS的agent做详细说明, 希望对各位师傅有所帮助. 什么是HIDS 主机入侵检测, 通常分为agent和server两个部分 其中agent负责收集信息, 并将相关信息整理后发送给server. HIDS存在的目的在于在管理员管理海量IDC时不会被安全事件弄的手忙脚乱, 可以通过信息中心对每一台主机的健康状态进行监视. 每一个公司的HIDS agent都会根据自身需要定制, 或多或少的增加一些个性化的功能, 一个基础的HIDS agent一般需要实现的有: •收集进程信息•收集网络信息•周期性的收集开放端口•监控敏感文件修
2.4K20发布于 2019-12-26 - 来自专栏腾讯安全应急响应中心
腾讯自研HIDS「洋葱」后台上云架构演进实践
文|Louis、Jaylam 导语 “洋葱”系统是腾讯自研的主机入侵检测系统(HIDS),能够实时采集服务器上的各种行为并进行实时关联分析和落地存储,承载公司所有的服务器、虚拟机和容器的入侵防护、漏洞检测
2K180发布于 2021-06-17 - 来自专栏debugeeker的专栏
最后防线:三款开源HIDS应用对比评估
本文仅从应用角度评估Wazuh, Osquery, AgentSmith这三款HIDS,针对企业立马使用HIDS,或者包装成方案的场景。 整体架构 ---- HIDS的架构组成一般是这样: agent:安装在企业内每台主机,进行基线采集,事件监控 管理端:管理每台agent的配置下发,状态检测,版本管理 规则分析中心:接收各种 Osquery: 有agent AgentSmith: 有agent 使用kafka来接收数据 剩余内容请关注本人公众号debugeeker, 链接为最后防线:三款开源HIDS
1.6K20发布于 2021-09-10 - 来自专栏debugeeker的专栏
最后防线:三款开源HIDS功能对比评估
本文是对Wazuh, Osquery, AgentSmith这三款开源HIDS进行功能性的评估,目的是取长补短,做一个完善的HIDS系统。 简介 ---- HIDS的功能主要是依靠agent的数据收集功能, 所以HIDS的功能对比,实际上是agent的功能对比。 HIDS主要是为了检测主机系统的异常行为,也就是说,必须要建立各种基线,在基线的基础上进行事件监控,从事件中甄别出异常行为或误报,从而不断地调整更新基线。 哪个进程操作某个进程:检测动态注入和DOS行为 各种基线 ---- 功能有无这样表示: 1: 有 0: 无 设备基线 剩余内容请关注本人公众号debugeeker, 链接为最后防线:三款开源HIDS
1.9K30发布于 2021-09-10 - 来自专栏数据库安全
冰蝎3.0绕过HIDS原理分析|美创安全实验室
最新版一经发出便火速在安全圈广泛传播,究其原因是因为新版冰蝎较之前版本进行了大量修改,一举绕过了国内大部分HIDS等安全设备的检测。 本期美创安全实验室将为大家深度分析新版冰蝎绕过HIDS的原理,同时探寻新环境下的防御方案。 HIDS防御老版冰蝎原理 在弄清为什么新版冰蝎可以绕过HIDS之前,我们首先要了解HIDS防御老版冰蝎的原理。而这就要从冰蝎的工作原理讲起了。 检测警告列表 冰蝎3.0绕过HIDS原理 通过冰蝎3.0与冰蝎2.0的对比我们能很清晰的看出HIDS为什么拦不住冰蝎3.0. 从上面的描述我们可以看到,HIDS用来防御冰蝎最重要的一点,也就是密钥协商阶段被取消了。新版本的冰蝎不再有密钥协商过程了,这从原理上就直接绕过了大量的流量监测设备,如下图。
2.2K20发布于 2020-09-01 2025年主机入侵检测系统(HIDS)选型指南:腾讯云主机安全成企业首选?
实战验证与生态 国际权威认证(AV-TEST、VB100等病毒查杀评测) 行业头部客户案例(金融、政务、互联网等领域) 云服务商原生安全能力联动(如腾讯云SOC、防火墙集成) 二、主流HIDS 重大活动期间免费升级) 核心优势3:生态协同效应 无缝对接腾讯云防火墙、SOC平台,实现威胁情报实时同步 客户案例:广汽集团通过CWP实现0勒索感染率,泰康人寿漏洞修复效率提升90% 四、2025年HIDS
57510编辑于 2025-10-10- 来自专栏WalkingCloud
CentOS7下部署OSSEC开源主机入侵检测系统(HIDS)并接入到GrayLog
OSSEC 是一个可扩展、多平台、开源的基于主机的入侵检测系统 (HIDS) OSSEC 拥有强大的关联和分析引擎,集成了日志分析、文件完整性监控、Windows 注册表监控、集中策略执行、rootkit ossec-control enable client-syslog /var/ossec/bin/ossec-control restart (图片可点击放大查看) (图片可点击放大查看) 五、HIDS
4.1K10编辑于 2022-05-17 - 来自专栏FreeBuf
AgentSmith-HIDS:一套轻量级高性能的基于主机的入侵检测系统
AgentSmith-HIDS 从技术角度来说,AgentSmith-HIDS严格意义上来说并不是一个传统的“基于主机的入侵检测系统”(HIDS),因为就该项目目前开源的部分来说,它还缺少了规则引擎以及相关的检测能力 但是它可以作为一个高性能的主机信息收集工具来帮助安全研究人员构建属于自己的HIDS。 而AgentSmit-HIDS的优秀特性(从内核态获取尽可能完整的数据)在跟用户态的HIDS相比,拥有巨大的优势: 1、性能更优秀:通过内核态驱动来获取相关信息,无需进行类似“遍历/proc”这样的操作来提升性能或进行数据补全 2、更加难以躲避和绕过:由于我们的信息获取来自于内核态驱动,因此面对很恶意行为都无法绕过AgentSmith-HIDS的检测。 4、用户态+内核态:AgentSmith-HIDS同时拥有内核态和用户态的模块,可以协同工作。
2.6K30发布于 2020-02-24 - 来自专栏沈唁志
在Debian 7上安装和配置OSSEC
OSSEC是一个开源的,基于主机的入侵检测系统(HIDS),可执行日志分析,完整性检查,rootkit检测,基于时间的警报和主动响应,使其成为服务器监控的理想选择。 下载最新的OSSEC tarball(本指南发布时为2.8.3): wget -U https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids 安装OSSEC 解压文件: tar xf ossec-hids-2.8.3.tar.gz 切换到新创建的目录,然后运行安装: cd ossec-hids-2.8.3 sudo . - To start OSSEC HIDS: /var/ossec/bin/ossec-control start - To stop OSSEC HIDS: OSSEC HIDS v2.8 Stopped Starting OSSEC HIDS v2.8 (by Trend Micro Inc.)... Started ossec-maild...
1.9K20发布于 2018-09-20 - 来自专栏章工运维
OSSEC安全监控环境搭建
# 前言 OSSEC是一款开源的基于主机的入侵检测系统,可以简称为HIDS。它具备日志分析,文件完整性检查,策略监控,rootkit检测,实时报警以及联动响应等功能。 ; #给ossec帐号创建密码 flush privileges; exit # 添加ossec数据库表结构 下载ossec二进制文件,主要使用其中mysql.schema文件,ossec-hids /ossec/ossec-hids/archive/3.0.0.tar.gz ossec-hids-3.0.0.tar.gz百度云下载地址:链接:百度网盘 请输入提取码 (opens new window ) 密码:38r8 下载ossec-hids-3.0.0.tar.gz后进行操作: cd /usr/local/src tar zxf ossec-hids-3.0.0.tar.gz cd ossec-hids ossec-hids-client # 配置ossec-agent配置文件 配置ossec-agent的配置文件,我们需要删除ossec-agent.conf的配置信息,因为这与ossec-server
2.3K10编辑于 2023-05-19 - 来自专栏Bypass
推荐一些优秀的甲方安全开源项目
另一个是来自企业安全能力建设的需求,根据需求分类,如WAF、HIDS、Git监控等。 这个收集是一个长期的过程,我在GitHub创建了一个项目,专门用来收集一些优秀的甲方安全项目。 https://www.tosec.com.cn/ HIDS OSSEC:一款开源的IDS检测系统,包括了日志分析、完整性检查、rook-kit检测,基于时间的警报和主动响应。 https://github.com/mozilla/MozDef 驭龙HIDS:开源的主机入侵检测系统。 https://github.com/ysrc/yulong-hids AgentSmith-HIDS:轻量级的HIDS系统,低性能损失,使用LKM技术的HIDS工具。 https://github.com/DianrongSecurity/AgentSmith-HIDS Sobek-Hids:一个基于python的HostIDS系统。
5.6K42发布于 2019-07-12 - 来自专栏糖果的实验室
构建零信任网络安全的基础技术介绍
企业有多种手段来监控企业的安全:网络流量分析、HIDS主机监控代理、蜜罐系统等,通过这些系统之间的互相协助和补充,联合保证网络的安全性。 5.2 HIDS主机监控代理 HIDS同样可以通过netstat来取得网络的通信数据,HIDS占了几乎一半的数据收集比例是网络数据,这些网络数据和网流复制数据分析,有交集或是重合的,HIDS更主动,区别在于 HIDS获取这些网络流量不是简单的流量汇聚,需要在大量的服务器上部署Agent,需要覆盖率、对网络流量分析互补充。 传统HIDS和网络分析对于一般性网络安全问题,有很强的追溯源功能,随着更精细的安全细节发现SystemTap动态跟踪,在某些场景下, 可以更高效的取得安全相关的数据凭证。进行更多场景的安全分析。
1.3K32发布于 2020-06-09 - 来自专栏数据安全架构与治理
《数据安全架构设计与实战》勘误表
本着为读者负责的原则,现将勘误表发布出来: 2019年12月第1版第2次印刷勘误 P102(9.3节)图9-4第四个方框应为“乙方私钥解密” P149(12.4.4节)“HIDS需要针对以上口风险”应为 “HIDS需要针对以上风险” P261(16.6节)第7个小标题下面的这段文字移动到P330(20.2.3节)“注意”之前:但也要注意到,合法利益是最容易产生分歧的法律依据,能够使用的场景非常有限,应尽量避免使用 第四个方框应为“乙方私钥解密” P126(11.3节)“访问使用临时随机口令”应为“访客使用临时随机口令” P140(12.3.3节)“登录的开源IP地址”应为“登录的来源IP地址” P149(12.4.4节)“HIDS 需要针对以口风险”应为“HIDS需要针对以上风险” P210(15.6.1节)提示改为勾选框 P245(16.4.1节)“SM示例加密算法”应为“SM系列加密算法” 前言致谢名单少一个顿号 后续大家可以访问
52420编辑于 2022-06-02 - 来自专栏OneMoreThink的专栏
应急实战(13):被上传了一堆恶意程序
Preparation 1.1 部署安全设备 部署主机安全产品:牧云HIDS 2. Detection 2.1 安全设备告警 2024-10-20 20:53:31,牧云HIDS检测到服务器存在恶意文件/etc/pm/ /z 登录牧云HIDS,发现共4个恶意文件 1、/etc/pm/ 导致无法登录,需要修改密码 4.2 加固弱口令漏洞 由于服务器只开放了ssh服务,且只有root用户可登录,因此怀疑是root被爆破了弱口令,需要修改弱口令 备注:/var/log/secure日志被删了,牧云HIDS
30210编辑于 2024-10-22 - 来自专栏CSDN博客专栏
网络安全第六讲 入侵检测系统
HIDS的优点:检测精度高。HIDS针对用户和系统活动进行检测,更适用于检测内部用户攻击或越权行为。不受加密和交换设备影响。 HIDS只关注主机本身发生的事件,并不关心主机之外的网络事件,所以检测性能不受数据加密、隧道和交换设备影响。不受网络流量影响。 HIDS并不采集网络数据包,不会因为网络流量增加而丢失对系统行为的监视,故其检测性能与网络流量无关。 HIDS的缺点 :HIDS安装在需要保护的主机上,必然会占用主机系统资源,额外负载将降低应用系统的效率。HIDS完全依赖操作系统固有的审计机制,所以必须与操作系统紧密集成,导致平台的可移植性差。 HIDS本身的健壮性也受到主机操作系统安全性的限制。HIDS只能检测针对本机的攻击,而不能检测基于网络协议的攻击。
4.6K40发布于 2020-10-29 - 来自专栏全栈程序员必看
IDS入侵检测系统的缺点_IDS入侵检测是指依照
十、IDS的部署 基于网络的IDS 基于主机的IDS 十一、入侵检测体系结构(主机入侵检测、网络入侵检测和分布式入侵检测的特点、优缺点) [ HIDS和NIDS的区别:https://blog .51cto.com/mtbaby/1551049 ] 主机入侵检测(HIDS) 特点:对针对主机或服务器系统的入侵行为进行检测和响应。 只能对主机的特定用户、应用程序执行动作和日志进行检测,所能检测到的攻击类型受到限制 全面部署HIDS代价较大 网络入侵检测(NIDS) 特点:利用工作在混杂模式下的网卡来实时监听整个网段上的通信业务 网络入侵和主机入侵对比图: 项目 HIDS NIDS 误报 少 一定量 漏报 与技术水平相关 与数据处理能力有关(不可避免) 系统部署与维护 与网络拓扑无关 与网络拓扑相关 Yes Yes No Yes 8 Open WIPS-NG NIDS No Yes No No 9 Samhain HIDS Yes Yes No Yes 10 Fail2Ban HIDS Yes
5.3K20编辑于 2022-11-07 - 来自专栏giantbranch's blog
OSSEC文档阅读学习实践
Getting started with OSSEC 对于OSSEC,印象就是HIDS,官方说是将 HIDS、日志监控和安全事件管理 (SIM)/安全信息和事件管理 (SIEM)融合在一起。 server/manager apt-get install ossec-hids-server # install OSSEC HIDS agent apt-get install ossec-hids-agent 下面尝试下载源码安装 wget https://github.com/ossec/ossec-hids/archive/3.7.0.tar.gz tar -xvf 3.7.0.tar.gz cd ossec-hids - 要启动 OSSEC HIDS: /var/ossec/bin/ossec-control start - 要停止 OSSEC HIDS: /var/ossec/bin/ossec-control stop - 要查看或修改系统配置,请编辑 /var/ossec/etc/ossec.conf 感谢使用 OSSEC HIDS.
38400编辑于 2024-12-31 - 来自专栏云计算教程系列
如何在Debian 8上设置本地OSSEC安装
介绍 OSSEC是一个开源的,基于主机的入侵检测系统(HIDS),可执行日志分析,完整性检查,Windows注册表监控,rootkit检测,基于时间的警报和主动响应。 md5sum -c ossec-hids-2.8.1-checksum.txt 输出应该是: ossec-hids-2.8.1.tar.gz: OK md5sum: WARNING: 1 line is sha1sum -c ossec-hids-2.8.1-checksum.txt 它的输出应该是: ossec-hids-2.8.1.tar.gz: OK sha1sum: WARNING: 1 line tar xf ossec-hids-2.8.1.tar.gz 它将被解压缩到一个名为ossec-hids-2.8.1的目录中。切换到该目录。 - To start OSSEC HIDS: /var/ossec/bin/ossec-control start - To stop OSSEC HIDS
1.9K00发布于 2018-10-17
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号