围城

20210625-0.引言写过一篇文章《Suricata+ELK（Docker化部署）数据展示》，利用suricata在流量出口位置实现网络流量的事件监测。当时采用的规则，是一些开源的规则，当时使用完这些规则之后，发现误报什么的，还是挺多的。对于suricata来说，这个软件我还是使用了非常多的，因为他本身作为一个流量处理引擎，完成的事情也挺多。所以最近就想着，能不能对他深入进行一些理解，所以在这篇文章中进行记录。（文章属于自己阅读过程中的随感产物）1. suricata的学习记录本部分并没有参

20210316 -（本人非专业人士，请谨慎参考文章内容）0. 引言在之前的文章中，谈到过为了进行降低告警的数量，通过告警关联的方法，将告警日志降低；关于这部分内容，一直只是知道需求，但对于具体的技术不是很理解，通过搜索关键词，在谷歌学术上找不到太多的相关内容，有的也是一些利用频繁项挖掘的方法。（可能是我搜索的关键词不对，我觉得这部分应该是一个非常重要的方向）从这部分来说，能够有研究的人，应该是真实有数据的厂商或者企业，毕竟这种数据一般来说，如果不脱敏，很难拿到数据，这也可能是学术研究缺失的一个原因

20210310 -0. 引言今天阅读了安全客的一篇文章《我们来谈一谈IDS签名》，实际上这篇文章是作者翻译过来的，机翻的感觉很强，例如指纹，就被翻译为了签名。1. 文章简介这篇文章主要介绍了，IDS的主要功能以及其大致的工作方式，利用字符串指纹的模式匹配的方法，之前的时候也提到过，对于IDS来说，都是采用字符串硬匹配或者正则表达式的方法。而本篇文章所传递的想法就是，利用IDS指纹匹配过程中，正则表达式匹配中可能出现的类DDos的漏洞，来绕过IDS，本质上就是通过构造恶意的样本，消耗IDS在匹配过

20210223 -0. 引言去年中旬，研究过一段时间蜜罐的内容，也部署过几款开源的蜜罐，一些蜜罐自带了最后的展示界面，例如hfish，不过它属于粒度比较粗的，最终显示也仅仅有很少的信息；另一些蜜罐仅仅输出日志，需要自己进行数据的汇总和展示，不过这种也存在一个问题，例如cowrie，他把交互过程按照事件分类来输出日志，当时构建过程中使用了ELK的方式来进行日志展示，直接将进行输入，没有更多的中间性修改，文章发表在FreeBuf，《Cowrie蜜罐的Docker部署过程及Elasticsearch+Kib

（20210215 - 本篇文章是很久前记录于简书草稿中。）2020/06/01我发现了一个问题，之前的时候一直没有感觉，直到最近的时候才有这种明显的感觉。最近在看恶意软件检测部分的东西，就感觉这个东西的方向比较多，检测，识别，分类等等。但是，对于入侵检测来说，我却没有这种感觉，他们普遍就是直接拼算法。我不知道这个东西是不是又其他的东西呢？最起码有一些相对来说比较关键的内容？？？不清楚，之前的时候，我也发现过，就是那些博士论文，他们的核心研究问题都不是安全领域的问题，反而都是什么特征选择或者什么的。可

2020/03/21 -文章[1]没有具体的去描述某个入侵检测的模型，而是从运维的角度，阐述了一些思考。我觉得，这种思考在工业界是非常有用的，并不是那种单纯学术角度的模型。前段时间听了计算机视觉的课程，我也是仔细思考了一下，他们总是能够找出来问题，然后逐步的去推进这个发展的进程。（感觉说的不是非常严谨），他们大多数还是利用深度学习，但是有些比如他们的研究角度，都是从一个问题点出发的，这个很关键...