colorknight的专栏

任何技术其实酷不酷不是最重要的，最重要的是实用。早在几年前，笔者实现了兼容Lucene语法的实时匹配引擎Tripod后，就曾考虑过是否会有这样一种场景，同时需要使用SQL+Lucene两种语法的能力来描述匹配条件，对数据进行实时匹配？因为事情较多，一时没有想到，就此搁下。 一晃差不多三年过去了，最近在一个项目中碰到了我的老本行--“安全日志分析”的需求。如今的日志分析已经有了专门的检测规则共享格式— sigma, 与我们早期无法打破安全知识与工程实现间的鸿沟相比，已经截然不同。工程实现者不用再

最近蒙朋友关照，一起合作了一个日志审计的项目，让我有机会重新思考与审视日志解析相关的技术问题，重新系统的梳理了下近二十年从业中经历中积累的经验与教训。日志解析在日志审计中是否重要？这是一个很见仁见智的问题。主要取决于日志审计希望达到的效果。如果日志审计的主要目标在日志留存和检索溯源上。那么日志解析没有那么高的重要性。但如果希望能够对日志进行更深入的分析与统计，那么日志解析就变的必不可少。众所周知，不同应用产生的日志，其书写格式、表述习惯存在很大差异。另外，日志通常是非结构化或半结构化描述的，也不利..

<br /><br />SOC起源 <br />         谈起SOC（Security Operations Center，安全运营中心）的起源，我们不得不先谈谈MSS（Managed Security Service，托管安全服务），SOC是伴随着MSS的出现产生的。MSS的产生的主要是为了节省客户的相关安全投入，即客户将安全外包给MSSP（Managed Security Service Provider, 托管安全服务提供商），以小于原投入的资金获得更加专业的业务安全。早在2000年初， Co

转载自：http://tcshare.org/nmap%E7%A9%BA%E9%97%B2%E6%89%AB%E6%8F%8F/Nmap TCP 空闲扫描(-sI)      1998年，安全研究员Antirez (本书中hping2工具的作者)在Bugtraq邮件列表上，提到了一个巧妙的端口扫描技术–空闲扫描。众所周知，它允许进行端口完全欺骗扫描。使得攻击者能够不使用自己