2020/04/01
本文是对文章[1][2]的阅读记录,具体内容请参考原文。
HIDS
HIDS是指主机的IDS建设,通过对主机的各种内容监控,例如服务器的文件、服务器的进程等。
对于HIDS的监控主要分为三个部分:终端Agent监控组件,Dashboard控制面板和与SIEM、运维数据等其他平台的对接接口。
大致的框架如下:
框架[1]
主要流程就是在主机部署agent,然后通过中间的各部分组件,最后汇总到一个dashboard。
不过,他的这个图有些地方,我不是非常理解,可能是他生产环境的需求吧。
我来简单总结一下:
- agent同时具有收集主机信息等各部分日志内容
- agent还有一定的主机控制功能,这也是途中下发命令的作用
- 最后对日志的分析,不仅仅是可视化,同样还有利用机器学习这种方法来实现一些未知威胁的检测。最后就是一个可视化平台。
我觉得, 这个东西跟态势感知的雏形已经很像了。(不过,我个人对态势感知的理解还是不够深入,仅仅是简单的统计功能的层次,很多论文对深层次的关联的东西讲解都不是非常清楚。)
后续中,他还介绍了一些简单的脚本来收集信息。
大致看了一下文章[2]的内容,更像是一个综合的信息记录,就是在发现入侵或者说平时巡检中,应该检测哪些地方的内容。
2020/04/02 -
文章[3]看起来更抽象。
这个文章[3]我自己仔细看了一下,有不少干活,需要你仔细阅读。
网友评论