关于安全产品的“联动”

探讨了网络入侵检测系统(NIDS)在检测异常网络行为时的局限性,特别是对于异常连接行为的后续调查和确认问题。提出通过与主机入侵检测系统(HIDS)联动,收集更多上下文信息,如进程、日志、用户活动等,以增强安全事件的分析和响应能力。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近一直在做NIDS,已有雏形,甚是欣慰,但是还是有很多问题.

NIDS的本质是通过流量中发现异常行为,可能是明显的webshell通讯,恶意软件通讯,可能是奇奇怪怪的对外/对内连接.在这个层面上的确可以发现非加密的各种安全问题,但是我们会发现一些NIDS本身很难优化的地方.

1.发现了异常连接(如DB Server主动的对外HTTP请求,且该Web Server非公司资产)

2.发现了外部对内的异常连接行为,但是无法确定其是否为恶意/威胁

3.发现了恶意的连接,但是登陆可能出现安全问题的服务器并不能发现什么(连接状态持续时间很短,登陆调查时已结束)

以上的问题的确需要调查,也的确是异常现象,但是仅从NIDS获取的信息太少,仅仅能发现异常,后续的调查/取证/确认问题都异常困难,如果以上情况每天出现几十甚至几百次就很难高效的解决了,他不是误报,也没有漏报,但是无法判断,难以溯源.

这个问题通过NIDS很难解决,无论是优化算法还是如何,这是因为NIDS的数据源仅仅有网络流量,从底层限制了它的安全能力.

这个时候如果有一款HIDS联动那么就可以很好的解决问题,当然前提是这款HIDS可以支持二次开发或者本身就是自研.

1.NIDS发现异常网络连接行为,联动HIDS确认相关进程信息,收集相关LOG,用户,可执行文件创建信息,SHA,相关进程等等,哪怕不能做到自动确认异常,简单的SHA威胁情报,确认是否提权,如果是代码,静态检测静态代码等很多重要信息可以作为安全工程师判断的依据.

这种联动的思想在日益复杂的架构/业务场景下,还可以有很多利用的点:

1.联动WAF/FW阻断

2.联动威胁情报平台

3.联动WAF/FW读取配置的策略,自动加入白名单,减少误报

4.联动CMDB读取IP详细信息,帮助安全工程师高效定位问题/业务/owner

其实这样就逐渐从架构上将HIDS和NIDS的IDS部分进行了聚合,所谓的H(Host)或者N(Network)都只是不同生命周期的数据阶段而已,有了这样的思路,所谓的纵深防御也可以发挥其更大的作用,帮助安全工程师更加精准的发现问题,定位问题,解决问题.

  • Post author: E_Bwill
资源下载链接为: https://pan.quark.cn/s/1bfadf00ae14 “STC单片机电压测量”是一个以STC系列单片机为基础的电压检测应用案例,它涵盖了硬件电路设计、软件编程以及数据处理等核心知识点。STC单片机凭借其低功耗、高性价比和丰富的I/O接口,在电子工程领域得到了广泛应用。 STC是Specialized Technology Corporation的缩写,该公司的单片机基于8051内核,具备内部振荡器、高速运算能力、ISP(在系统编程)和IAP(在应用编程)功能,非常适合用于各种嵌入式控制系统。 在源代码方面,“浅雪”风格的代码通常简洁易懂,非常适合初学者学习。其中,“main.c”文件是程序的入口,包含了电压测量的核心逻辑;“STARTUP.A51”是启动代码,负责初始化单片机的硬件环境;“电压测量_uvopt.bak”和“电压测量_uvproj.bak”可能是Keil编译器的配置文件备份,用于设置编译选项和项目配置。 对于3S锂电池电压测量,3S锂电池由三节锂离子电池串联而成,标称电压为11.1V。测量时需要考虑电池的串联特性,通过分压电路将高电压转换为单片机可接受的范围,并实时监控,防止过充或过放,以确保电池的安全和寿命。 在电压测量电路设计中,“电压测量.lnp”文件可能包含电路布局信息,而“.hex”文件是编译后的机器码,用于烧录到单片机中。电路中通常会使用ADC(模拟数字转换器)将模拟电压信号转换为数字信号供单片机处理。 在软件编程方面,“StringData.h”文件可能包含程序中使用的字符串常量和数据结构定义。处理电压数据时,可能涉及浮点数运算,需要了解STC单片机对浮点数的支持情况,以及如何高效地存储和显示电压值。 用户界面方面,“电压测量.uvgui.kidd”可能是用户界面的配置文件,用于显示测量结果。在嵌入式系统中,用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值