- 博客(32)
- 收藏
- 关注
RSS订阅原创 Snort与Suricata的配置文件转换
这篇文档是关于 Snort 和 Suricata 配置文件对比的指南,主要面向熟悉 Snort 及 snort.conf 配置格式的用户,详细介绍了两者在多个配置方面的差异以及如何转换。
2025-04-03 08:39:49
218
原创 Suricata配置文件之Threshold
文章围绕网络规则设置展开,介绍阈值可在规则及传感器配置文件中设定;速率过滤器能在规则匹配时改变动作;抑制功能可抑制警报;规则设阈值仍受全局影响,特定阈值会覆盖特征签名默认设置等。
2025-04-03 08:00:00
557
原创 Suricata配置之YAML
Suricata是一款开源的网络入侵检测系统(IDS)和入侵防御系统(IPS)。本文档将详细介绍Suricata的配置文件suricata.yaml,帮助读者更好地理解和配置Suricata。
2025-04-01 20:08:04
915
原创 【主机入侵检测】Wazuh规则详解
Wazuh 规则是一组用XML格式编写的条件,它们定义了应该如何解释日志数据。这些规则由Wazuh Manager使用,用于在日志消息中检测特定的模式或行为,并相应地生成警报或响应。它们在威胁检测中扮演着至关重要的角色,因为它们允许系统根据预定义的标准识别潜在的安全事件。
2024-09-14 11:14:41
1846
原创 【主机入侵检测】Wazuh解码器详解
Wazuh 是一个开源的安全平台,它使用解码器(decoders)来从接收到的日志消息中提取信息。解码器将日志信息分割成字段,以便进行分析。Wazuh解码器使用XML语法,允许用户指定日志数据应该如何被解析和规范化。解码器的工作分为两个阶段:预解码(pre-decoding)和解码(decoding)。在预解码阶段,如果存在类似 syslog 的头部,会提取时间戳、主机名和程序名等一般信息。在随后的解码阶段,解码器解析并解释剩余的日志数据,提取更多相关信息。
2024-09-11 12:25:24
1729
原创 【Qt】解决设置QPlainTextEdit控件的Tab为4个空格
PyQt5 是一个用于创建跨平台桌面应用程序的 Python 绑定集合,它提供了对 Qt 应用程序框架的访问。用于开发具有图形用户界面(GUI)的应用程序,以及非GUI程序。PyQt5 使得 Python 开发者可以使用 Qt 的丰富功能来构建应用程序。QPlainTextEdit 是 Qt 框架中的一个纯文本编辑器控件,它提供了一个高级的文本编辑和显示功能,专门用于处理纯文本数据。
2024-09-09 19:24:31
1536
原创 【主机入侵检测】Wazuh解码器之JSON解码器
azuh 是一个开源的安全平台,它使用解码器(decoders)来从接收到的日志消息中提取信息。解码器将日志信息分割成字段,以便进行分析。Wazuh 解码器使用 XML 语法,允许用户指定日志数据应该如何被解析和规范化。解码器的工作分为两个阶段:预解码(pre-decoding)和解码(decoding)。在预解码阶段,如果存在类似 syslog 的头部,会提取时间戳、主机名和程序名等一般信息。在随后的解码阶段,解码器解析并解释剩余的日志数据,提取更多相关信息。
2024-09-03 19:19:32
1649
原创 【环境配置】解决台式机共享笔记本网络以及台式机中虚拟机网络配置
如果您的笔记本电脑能够通过手机热点连接到互联网,但您的台式机由于缺少移动网卡而无法上网,本篇文章将提供解决方案,帮助您实现台式机的网络共享。同时,如果您在台式机上运行的虚拟机因为网络共享设置而无法识别网络适配器,本文也将提供相应的解决策略。
2024-08-30 11:08:29
1412
原创 【主机入侵检测】开源安全平台Wazuh之Wazuh Server
Wazuh是一个开源的、免费的企业级安全监控解决方案,专注于威胁检测、完整性监控、事件响应和合规性。它由部署在受监控系统的端点安全代理和管理服务器组成,服务器收集并分析代理收集的数据。Wazuh支持多平台,包括Windows、Linux、macOS、HP-UX、Solaris和AIX,能够跨场所、虚拟化、容器化和基于云的环境保护工作负载 。
2024-08-28 16:50:16
3230
原创 【CAN-IDPS】汽车网关信息安全要求以及实验方法
汽车网关信息安全技术要求及试验方法》是中国的一项国家标准,编号为GB/T 40857-2021,于2021年10月11日发布,并从2022年5月1日起开始实施。这项标准由全国汽车标准化技术委员会(TC114)归口,智能网联汽车分会(TC114SC34)执行,主管部门为工业和信息化部。该标准主要起草单位包括广州汽车集团股份有限公司、中国汽车技术研究中心有限公司等多家企业和研究机构,主要起草人有尚进、孙航等多位专家。
2024-08-19 19:31:31
1675
原创 【数据保护】微软开源数据保护项目Presidio-中文文本扫描以及注意事项
Presidio中默认使用spaCy作为NLP语言分析模型,因此如果想要支持中文首先下载中文语言模型。
2024-08-06 08:00:00
1841
原创 【数据保护】微软开源数据保护项目Presidio-图像脱敏
Presidio的Image redactor模块主要负责扫描图片中的敏感信息,并通过重编辑的方法生成脱敏后的图片。
2024-07-31 14:51:07
1480
2
原创 【数据保护】微软开源数据保护项目Presidio-匿名器
匿名器中主要包含两个功能类,分别是Anonymizers类和Deanonymizers。其中Anonymizers类主要负责对敏感数据实体进行脱敏操作。Deanonymizers主要负责对脱敏后的数据还原,例如对加密后的敏感数据解密。
2024-07-30 18:06:48
1467
原创 【数据保护】微软开源数据保护项目Presidio-从入门到精通
Presidio,源自拉丁语,寓意"保护"或"驻军",是由微软推出的一项开源数据保护计划。该项目致力于协助企业与开发者在处理数据时,快速识别并脱敏敏感信息。它能够识别文本和图像中的多种敏感数据,包括但不限于信用卡号码、个人姓名、地理位置和电话号码等,并通过定制化的格式进行脱敏处理,以增强数据的安全性。
2024-07-29 17:46:07
4045
原创 YARA:第十七章-优化规则,提升Yara扫描效率
YARA是一个流行的开源项目,广泛应用于恶意软件扫描、数据泄露检测等领域。YARA 的强大之处在于其规则灵活性和易用性以及支持自定义模块的集成。本章介绍如何通过优化规则来提升Yara的检测效率。
2024-07-23 19:56:17
1693
原创 YARA:第十五章-libyara使用(威胁检测)
YARA是一个流行的开源项目,用于恶意软件检测和分析。它允许用户定义规则,这些规则可以识别和分类恶意软件样本。YARA 的强大之处在于其灵活性和易用性,尤其是在 C/C++ 项目中。本文将详细介绍如何通过 YARA 的 C API 集成和使用 YARA,从而将 YARA 无缝集成到您的安全解决方案中。
2024-07-19 21:34:10
2743
原创 YARA:第十四章-基于JSON文件的威胁分析
YARA是一个用于恶意软件检测和分析的工具,它的作用主要包括以下几个方面:(1)恶意软件检测:YARA最核心的功能是检测恶意软件。用户可以编写规则来识别特定的恶意软件特征,如字符串、代码序列、数据结构等。(2)自动化威胁识别:通过预定义的规则,YARA可以自动化地识别和分类潜在的威胁,减少人工分析的需求。(3)文件分析:YARA可以扫描文件内容,识别出文件中可能包含的恶意代码或数据。(4)内存分析:YARA不仅可以分析文件,还可以分析内存中的进程,帮助检测运行中的恶意软件。
2024-07-18 17:57:21
1190
原创 YARA:第十三章-编写定制化模块
自Yara 3.0版本起,用户可以自主开发定制化模块,以满足其特定的检测需求。这些模块可以无缝集成到Yara的检测引擎中,为用户提供更加个性化和高效的威胁检测解决方案。
2024-07-17 16:59:14
1522
原创 YARA:第十二章-模块使用之Time、Console和String
Time模块允许用户在编写Yara规则时使用时间作为规则的一部分。Console模块允许Yara在执行条件块时向终端(默认情况下是stdout)输出一些用户自定义日志信息。String模块允许在Yara规则中使用此模块函数对一些给定字符串进行转化或计算。
2024-07-17 07:30:00
844
原创 YARA:第十章-模块使用之Hash
Hash模块允许用户在编写Yara规则时计算文件的哈希(MD5、SHA1、SHA256)并作为条件写入规则。
2024-07-15 07:00:00
538
原创 YARA:第七章-模块使用之PE
模块是对Yara检测功能的扩展。一些模块例如PE、Cukoo等模块是Yara正式支持的模块,随Yara正式发布。当然,用户可以根据自己的需求创建自己的模块集成到Yara程序中。Yara支持在规则文件中导入模块对象,这些导入语句一般放在文件的开始部分,使用关键字"import"和模块名。接下来我们就可以使用所导入模块所支持的函数或者变量。
2024-07-12 07:00:00
1004
原创 YARA:第六章-更多关于规则
Yara规则除了字符串、条件快外,还有其它的一些功能也十分重要。包括全局规则(global rules),私有规则(private rules),标签(tags)和元数据(metadata)。
2024-07-11 07:00:00
672
原创 YARA:第五章-条件块
Yara中条件块和编程语言中的布尔表达式类似,例如if语句。它可以包含一些常见的布尔运算符,例如"and"、"or"、"not";关系运算符,例如">="、""、"
2024-07-10 07:00:00
1115
原创 YARA:第二章-字符串之十六进制字符串(一)
Yara规则很容易编写和理解,它的语法很像C语言。下面是一个简单的YARA规则,且此条规则不检测任何信息。Yara规则的编写始于"rule"关键字,随后是规则的标识符(rule identifier)。这个标识符遵循C语言的命名规则,允许使用字母、数字、下划线,但不允许以数字开头。同时,标识符对大小写敏感,并且其长度不得超过128个字符。和。如果规则不依赖于任何字符串,则可以省略字符串块部分,但条件块总是必需的。字符串块中包含至少一个字符串。每个字符串都有一个。
2024-07-07 09:11:29
486
原创 YARA:第一章-启动参数
YARA 是一个多功能的恶意软件分析工具,它允许用户创建描述性规则来识别和分类文件,尤其是恶意软件。YARA 的核心是规则引擎,它支持通过文本或二进制模式创建规则,这些规则可以包含字符串和逻辑表达式,提供高度的可定制性。YARA 的规则集可以利用通配符、不区分大小写的字符串、正则表达式等高级功能,使得规则编写更为灵活。只有此参数指定的Tab规则命中时打印输出,其它的忽略。指定Yara规则字符串的最大长度,默认是10000,如果超过则启动时会报错。打印不适用的规则,也就是本次扫描没有命中的规则。
2024-07-05 13:59:10
648
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人