问题标签 [intrusion-detection]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
regex - 模式匹配可以跨越 TCP 数据包吗?
我是入侵检测系统的新手。据我所知,模式匹配(例如,Snort 中的 PCRE)似乎只搜索数据包内的匹配项。
模式匹配可以跨数据包吗?
在实践中,人们是否关心跨包模式?
linux - AWS Linux:对 Internet 上的远程主机的非法入侵尝试。预防方法?
我启动了一个 linux 实例并执行了以下操作。
- 只有 22、80 和 8080 端口作为入站规则向“任何地方”开放
- 只有 git、ruby、ruby-dev、apache 和 youtrack 仅从其原始来源或使用“yum install”命令安装。
- 允许对连接进行 SSH 密码身份验证。
- 我创建了一些用户。
但是,我们收到了以下邮件。
将端口限制为特定 IP 地址不是我们的选择。
如何查看 SSH 端口 22 上的流量日志?
你有什么建议?我应该怎么办?
由于它是新主机,并且我的 PC 上没有恶意软件,我不相信它已被入侵/被黑客入侵?
有人怎么能破解我的服务器?这可能是错误发送的滥用报告吗?
谢谢你,
openstack - 在 openstack 中启动 VM 的问题
我正在尝试在 Openstack 中启动一个实例。
当我在仪表板上启动实例后出现 xUBUNTU 安全洋葱控制台时,我无法顺利工作。响应时间非常长,因此面临速度问题。有关如何加快速度的任何建议?可能的因素是什么?
machine-learning - 分类 - KDD-Cup 1999 和 DARPA 1998/99 公共入侵检测数据集
非常庞大的KDD-Cup 1999和DARPA 1998/99入侵检测公共数据集是如何生成的?谁知道他们用来分类和保存这些原始数据集会话状态的软件工具?我的意思是一旦你生成了网络数据,你如何将会话分类为anomalous (intrusion)和normal?是否有任何特殊的软件工具或机器可以做到这一点?
security - 使用 WireShark 进行 Snort IDS 和恶意数据包分析
我收到了一个 .pcap 数据包来分析恶意活动。使用 Snort IDS 和 BarnYard2 检测,我捕获了 BASE(基本分析和安全引擎)的 4 个选择性,显示为 Portscan Traffic 100% 。四个有 2 个不同的 IP 地址
和
使用 WireShark 和第一个过滤器打开的数据包
显示以下结果
和第二个过滤器
我需要支持来帮助了解这种攻击类型以及我如何进一步了解它。
数据包:https ://drive.google.com/file/d/0B-dY0nxt4UZXNGZ4UE5XbmZsY1U/view?usp=sharing
browser-plugin - Making a Chrome plug-in of Suricata/Snort for intrusion detection on client side
I want to use Suricata turning it into a Chrome browser plugin for internet based intrusion detection. Specifically, I want to detect/prevent malicious attack of access to cache data.
networking - 用于生产服务器的开源轻量级 HIDS
要求
我想在 AWS 上保护我的生产 VM,这些 VM 托管关键的 Web 应用程序,并且在高峰时段可以看到大约 500 Mbps 的流量。我已经在使用 mod_security WAF,但我对它不是很满意。
这是我的想法:
如果我可以在轻量级配置中使用 snort 来仅监控 HTTP 流量(这将在 SSL 终止之后)并使用开源 XSS 和 SQLi 规则添加额外的保护层会怎样?规则的数量将 > 100。
当流量到达我的虚拟机时,它将是未加密的。此外,当我在同一主机上使用 snort 时,不会有太大的语义差距(WAF 比 IPS 具有优势,因为它构建了更丰富的应用层上下文并且可以更准确地检测第 7 层攻击)。这种理解正确吗?
我可以节省大约 200Mb 的内存,并且可以在 CPU 性能上占用 10% 的开销。
打鼾是最好的选择吗?我查看了 Suricata,它在 CPU 上似乎更容易,但在内存上却很难。请让我知道这是否有意义。我想坚持开源解决方案。
java - 线程“主”中的异常
我在线程“main”java.lang.Error 中遇到异常:未解决的编译。
我究竟做错了什么?
线程“main”中的异常:
java.lang.Error:未解决的编译问题:
该方法对于位于
capturesFromDevice()的类型未定义idsbasedagentidsbasedagent.main(idsbasedagent.java:11)
microservices - 如何为微服务设置入侵检测系统?
为微服务配置 IDS 的最佳架构是什么,我立即想到以下两件事。
- 在所有微服务的入口点配置 IDS
- 为每个微服务配置单独的 IDS
遵循上述方法的优缺点是什么,或者还有其他需要考虑的事情吗?
intrusion-detection - ossec agent.conf 已更新但未读取
我已经通过二进制安装(使用 preloaded_var.conf)安装了服务器和代理。服务器上 agent.conf 文件中的更改在代理上更新,但是当我重新启动代理时,agent.conf 中的更改没有运行。
当我使用 verify-agent-conf 时,我得到 ERROR: Unable to open file '/queue/ossec/.agent_info' 并且没有其他错误。
代理.conf: