- 博客(45)
- 收藏
- 关注
RSS订阅原创 【网络入侵检测】基于Suricata源码分析FlowManager实现
本文聚焦开源网络入侵检测系统 Suricata 的核心模块 FlowManager,深入解读其源码,解析流量管理实现机制。FlowManager 承担流的超时检查、资源回收、紧急模式处理等关键功能。文章从内存压力值计算、动态调整休眠间隔、流状态切换逻辑入手,结合代码实例,说明其如何动态调节扫描行数与休眠时间,平衡负载与检测效率。
2025-05-29 19:48:45
575
原创 【网络入侵检测】基于Suricata源码分析FlowWorker实现
本文主要基于 Suricata 开源项目源码,深入剖析其核心模块之一 ——流处理模块 FlowWorker的完整实现流程。作为网络流量分析与入侵检测的关键组件,FlowWorker 承担着连接跟踪、状态管理、数据重组及检测调度等核心功能。
2025-05-29 11:57:57
783
原创 【网络入侵检测】基于Suricata源码分析Pcap的运行模式(Runmode)
本文介绍 Suricata 的 pcap 抓包模式运行模式。pcap 支持实时抓包和离线读包,实时模式包括 single、autofp、workers 三种,离线模式有 single 和 autofp 两种。不同模式初始化逻辑有差异,如 workers 模式可监控多网卡、需遍历配置,single 模式仅监听单网卡。配置参数涵盖接口、缓冲区大小、过滤规则等,通过解析配置实现流量捕获与处理的灵活控制。
2025-05-17 15:40:14
1069
原创 【网络入侵检测】基于Suricata源码分析运行模式(Runmode)
在 Suricata 中抽象出线程、线程模块和队列三个概念:线程类似进程,可多线程并行执行操作;监听、解码、检测等网络操作被抽象为模块,由线程执行,而不同的线程可以执行一个或多个不同的模块;队列实现线程间数据包流转,三者的不同组合构成 Suricata 的运行模式。
2025-05-17 14:30:24
927
原创 【网络入侵检测】基于源码分析Suricata的IP分片重组
本文针对网络入侵检测中 Suricata 的 IP 分片重组模块展开源码分析。IP 分片重组是网络数据传输关键,对 NIDS 执行 DPI 至关重要。Suricata 作为开源高性能网络威胁检测引擎,通过分析其 IP 分片重组模块源码,解析该模块处理 IP 分片数据、监视重组数据包,并将重组数据传递给后续模块的过程,以确保检测准确完整。文中主要包含Suricata中分片配置、分片重组以及解决重组冲突信息。
2025-05-09 18:54:47
996
原创 【网络入侵检测】基于源码分析Suricata的引擎日志配置解析
Suricata 的引擎日志记录系统主要记录该引擎在启动、运行以及关闭期间应用程序的相关信息,如错误信息和其他诊断信息,但不包含 Suricata 自身生成的警报和事件。该系统设有多个日志级别,包括错误、警告、通知、信息、性能、配置和调试。
2025-04-30 14:19:14
774
原创 【网络入侵检测】基于源码分析Suricata的解码模块
在 Suricata 中,数据包解码功能由一套模块化架构支撑。无论其运行于 PCAP、NFQ、DPDK 或其他模式,尽管各运行模式分别对应 DecodePcap、DecodeNFQ、DecodeDPDK 等特定解码函数,但在执行流程中,最终均会收敛至 DecodeLinkLayer、DecodeIPV4 或 DecodeIPV6 等核心解码函数,完成链路层与网络层数据包的解析处理。本文主要解码 Suricata 中解码模块是如何从链路层到传输层解析各层包头的。
2025-04-30 07:55:15
748
原创 【网络入侵检测】基于源码分析Suricata的统计模块
在 Suricata 的配置文件中,stats 节点用于配置统计信息相关的参数,它的主要作用是控制 Suricata 如何收集和输出统计数据,帮助用户了解 Suricata 的运行状态和网络活动情况。
2025-04-28 17:30:25
1196
原创 【网络入侵检测】基于源码分析Suricata的PCAP模式
本文聚焦于 Suricata 7.0.10 版本源码,深入剖析其 PCAP 模式的实现原理。通过系统性拆解初始化阶段的配置流程、PCAP 数据包接收线程的创建与运行机制,以及数据包捕获和处理的具体步骤,从源码层面揭示 PCAP 模式如何协同各模块实现网络流量的高效捕获与分析,旨在为网络安全领域的开发者与研究人员提供全面且细致的技术参考。
2025-04-25 17:30:31
1030
原创 【网络入侵检测】基于Suricata源码分析NFQ IPS模式实现
本文聚焦于 Suricata 7.0.10 版本源码,深入剖析其 NFQ(Netfilter Queue)模式的实现原理。通过系统性拆解初始化阶段的配置流程、数据包监听机制的构建逻辑,以及数据包处理的具体步骤,从源码层面揭示 NFQ 模式如何协同各模块实现高效网络流量监控与安全检测,旨在为网络安全领域的开发者与研究人员提供全面且细致的技术参考。
2025-04-24 20:25:37
721
原创 【网络入侵检测】Suricata之入侵防御(IPS)模式
本文介绍 Suricata 在 Linux 系统下设置 IPS 的三种核心方式。其一,Netfilter 方式需编译开启 NFQ 支持,借助 Iptables 或 NFtables 规则,引导指定流量到 Suricata 检测;其二,AF_PACKET IPS 模式用两个网络接口,直接在接口间复制数据包,无需复杂防火墙配置就能实现 IPS 功能;其三,DPDK IPS 模式也是双接口设计,利用其强大数据包处理能力,配合 CPU 亲和性设置,可显著提升 IPS 性能,适配高流量网络安全防护场景。
2025-04-23 15:25:04
481
原创 【网络入侵检测】Suricata之数据包内容匹配
本文详细介绍了网络入侵检测系统(如 Suricata)中用于检查数据包或流有效载荷的 Payload 关键字。content 用于匹配数据包内容,默认大小写敏感,特殊字符需十六进制表示;nocase 可使匹配不区分大小写;depth 指定从开头检查的字节数;startswith 和 endswith 分别确保内容在缓冲区起末匹配等。
2025-04-16 20:11:53
703
原创 【网络入侵检测】Suricata之流(flow)检测
本文详细介绍了Suricata中规则中用于流(flow)检测的关键字使用方法,包括 flowbits、flow、flowint、stream_size、flow.age、flow.pkts 和 flow.bytes。这些关键字通过精准关联多包检测、标记流状态、统计流量数据等功能,帮助检测多步骤攻击、减少误报,并实现对网络流量的精细化分析和管理。
2025-04-14 15:21:51
976
原创 【网络入侵检测】Snort与Suricata的配置文件转换
这篇文档是关于 Snort 和 Suricata 配置文件对比的指南,主要面向熟悉 Snort 及 snort.conf 配置格式的用户,详细介绍了两者在多个配置方面的差异以及如何转换。
2025-04-03 08:39:49
270
原创 【网络入侵检测】Suricata配置文件之Threshold
文章围绕网络规则设置展开,介绍阈值可在规则及传感器配置文件中设定;速率过滤器能在规则匹配时改变动作;抑制功能可抑制警报;规则设阈值仍受全局影响,特定阈值会覆盖特征签名默认设置等。
2025-04-03 08:00:00
648
原创 【网络入侵检测】】Suricata配置之YAML
Suricata是一款开源的网络入侵检测系统(IDS)和入侵防御系统(IPS)。本文档将详细介绍Suricata的配置文件suricata.yaml,帮助读者更好地理解和配置Suricata。
2025-04-01 20:08:04
1075
原创 【主机入侵检测】Wazuh规则详解
Wazuh 规则是一组用XML格式编写的条件,它们定义了应该如何解释日志数据。这些规则由Wazuh Manager使用,用于在日志消息中检测特定的模式或行为,并相应地生成警报或响应。它们在威胁检测中扮演着至关重要的角色,因为它们允许系统根据预定义的标准识别潜在的安全事件。
2024-09-14 11:14:41
2097
原创 【主机入侵检测】Wazuh解码器详解
Wazuh 是一个开源的安全平台,它使用解码器(decoders)来从接收到的日志消息中提取信息。解码器将日志信息分割成字段,以便进行分析。Wazuh解码器使用XML语法,允许用户指定日志数据应该如何被解析和规范化。解码器的工作分为两个阶段:预解码(pre-decoding)和解码(decoding)。在预解码阶段,如果存在类似 syslog 的头部,会提取时间戳、主机名和程序名等一般信息。在随后的解码阶段,解码器解析并解释剩余的日志数据,提取更多相关信息。
2024-09-11 12:25:24
1871
原创 【Qt】解决设置QPlainTextEdit控件的Tab为4个空格
PyQt5 是一个用于创建跨平台桌面应用程序的 Python 绑定集合,它提供了对 Qt 应用程序框架的访问。用于开发具有图形用户界面(GUI)的应用程序,以及非GUI程序。PyQt5 使得 Python 开发者可以使用 Qt 的丰富功能来构建应用程序。QPlainTextEdit 是 Qt 框架中的一个纯文本编辑器控件,它提供了一个高级的文本编辑和显示功能,专门用于处理纯文本数据。
2024-09-09 19:24:31
1652
原创 【主机入侵检测】Wazuh解码器之JSON解码器
azuh 是一个开源的安全平台,它使用解码器(decoders)来从接收到的日志消息中提取信息。解码器将日志信息分割成字段,以便进行分析。Wazuh 解码器使用 XML 语法,允许用户指定日志数据应该如何被解析和规范化。解码器的工作分为两个阶段:预解码(pre-decoding)和解码(decoding)。在预解码阶段,如果存在类似 syslog 的头部,会提取时间戳、主机名和程序名等一般信息。在随后的解码阶段,解码器解析并解释剩余的日志数据,提取更多相关信息。
2024-09-03 19:19:32
1697
原创 【环境配置】解决台式机共享笔记本网络以及台式机中虚拟机网络配置
如果您的笔记本电脑能够通过手机热点连接到互联网,但您的台式机由于缺少移动网卡而无法上网,本篇文章将提供解决方案,帮助您实现台式机的网络共享。同时,如果您在台式机上运行的虚拟机因为网络共享设置而无法识别网络适配器,本文也将提供相应的解决策略。
2024-08-30 11:08:29
1600
原创 【主机入侵检测】开源安全平台Wazuh之Wazuh Server
Wazuh是一个开源的、免费的企业级安全监控解决方案,专注于威胁检测、完整性监控、事件响应和合规性。它由部署在受监控系统的端点安全代理和管理服务器组成,服务器收集并分析代理收集的数据。Wazuh支持多平台,包括Windows、Linux、macOS、HP-UX、Solaris和AIX,能够跨场所、虚拟化、容器化和基于云的环境保护工作负载 。
2024-08-28 16:50:16
3553
原创 【CAN-IDPS】汽车网关信息安全要求以及实验方法
汽车网关信息安全技术要求及试验方法》是中国的一项国家标准,编号为GB/T 40857-2021,于2021年10月11日发布,并从2022年5月1日起开始实施。这项标准由全国汽车标准化技术委员会(TC114)归口,智能网联汽车分会(TC114SC34)执行,主管部门为工业和信息化部。该标准主要起草单位包括广州汽车集团股份有限公司、中国汽车技术研究中心有限公司等多家企业和研究机构,主要起草人有尚进、孙航等多位专家。
2024-08-19 19:31:31
1861
原创 【数据保护】微软开源数据保护项目Presidio-中文文本扫描以及注意事项
Presidio中默认使用spaCy作为NLP语言分析模型,因此如果想要支持中文首先下载中文语言模型。
2024-08-06 08:00:00
2127
原创 【数据保护】微软开源数据保护项目Presidio-图像脱敏
Presidio的Image redactor模块主要负责扫描图片中的敏感信息,并通过重编辑的方法生成脱敏后的图片。
2024-07-31 14:51:07
1695
2
原创 【数据保护】微软开源数据保护项目Presidio-匿名器
匿名器中主要包含两个功能类,分别是Anonymizers类和Deanonymizers。其中Anonymizers类主要负责对敏感数据实体进行脱敏操作。Deanonymizers主要负责对脱敏后的数据还原,例如对加密后的敏感数据解密。
2024-07-30 18:06:48
1590
原创 【数据保护】微软开源数据保护项目Presidio-从入门到精通
Presidio,源自拉丁语,寓意"保护"或"驻军",是由微软推出的一项开源数据保护计划。该项目致力于协助企业与开发者在处理数据时,快速识别并脱敏敏感信息。它能够识别文本和图像中的多种敏感数据,包括但不限于信用卡号码、个人姓名、地理位置和电话号码等,并通过定制化的格式进行脱敏处理,以增强数据的安全性。
2024-07-29 17:46:07
4629
原创 YARA:第十七章-优化规则,提升Yara扫描效率
YARA是一个流行的开源项目,广泛应用于恶意软件扫描、数据泄露检测等领域。YARA 的强大之处在于其规则灵活性和易用性以及支持自定义模块的集成。本章介绍如何通过优化规则来提升Yara的检测效率。
2024-07-23 19:56:17
1812
原创 YARA:第十五章-libyara使用(威胁检测)
YARA是一个流行的开源项目,用于恶意软件检测和分析。它允许用户定义规则,这些规则可以识别和分类恶意软件样本。YARA 的强大之处在于其灵活性和易用性,尤其是在 C/C++ 项目中。本文将详细介绍如何通过 YARA 的 C API 集成和使用 YARA,从而将 YARA 无缝集成到您的安全解决方案中。
2024-07-19 21:34:10
2844
原创 YARA:第十四章-基于JSON文件的威胁分析
YARA是一个用于恶意软件检测和分析的工具,它的作用主要包括以下几个方面:(1)恶意软件检测:YARA最核心的功能是检测恶意软件。用户可以编写规则来识别特定的恶意软件特征,如字符串、代码序列、数据结构等。(2)自动化威胁识别:通过预定义的规则,YARA可以自动化地识别和分类潜在的威胁,减少人工分析的需求。(3)文件分析:YARA可以扫描文件内容,识别出文件中可能包含的恶意代码或数据。(4)内存分析:YARA不仅可以分析文件,还可以分析内存中的进程,帮助检测运行中的恶意软件。
2024-07-18 17:57:21
1231
原创 YARA:第十三章-编写定制化模块
自Yara 3.0版本起,用户可以自主开发定制化模块,以满足其特定的检测需求。这些模块可以无缝集成到Yara的检测引擎中,为用户提供更加个性化和高效的威胁检测解决方案。
2024-07-17 16:59:14
1605
原创 YARA:第十二章-模块使用之Time、Console和String
Time模块允许用户在编写Yara规则时使用时间作为规则的一部分。Console模块允许Yara在执行条件块时向终端(默认情况下是stdout)输出一些用户自定义日志信息。String模块允许在Yara规则中使用此模块函数对一些给定字符串进行转化或计算。
2024-07-17 07:30:00
869
原创 YARA:第十章-模块使用之Hash
Hash模块允许用户在编写Yara规则时计算文件的哈希(MD5、SHA1、SHA256)并作为条件写入规则。
2024-07-15 07:00:00
597
原创 YARA:第七章-模块使用之PE
模块是对Yara检测功能的扩展。一些模块例如PE、Cukoo等模块是Yara正式支持的模块,随Yara正式发布。当然,用户可以根据自己的需求创建自己的模块集成到Yara程序中。Yara支持在规则文件中导入模块对象,这些导入语句一般放在文件的开始部分,使用关键字"import"和模块名。接下来我们就可以使用所导入模块所支持的函数或者变量。
2024-07-12 07:00:00
1077
原创 YARA:第六章-更多关于规则
Yara规则除了字符串、条件快外,还有其它的一些功能也十分重要。包括全局规则(global rules),私有规则(private rules),标签(tags)和元数据(metadata)。
2024-07-11 07:00:00
745
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人