0
点赞
收藏
分享

微信扫一扫

yulong-hids 规则引擎,目前看到就是正则表达式和count技术

规则

项目提供的默认规则太简单和宽泛了,甚至包含一些错误,比如:

yulong-hids 规则引擎,目前看到就是正则表达式和count技术_安全分析

yulong-hids 规则引擎,目前看到就是正则表达式和count技术_规则引擎_02

有些不太精确,比如:

yulong-hids 规则引擎,目前看到就是正则表达式和count技术_功能类_03

另外规则引擎的匹配算法没有做优化,规则或者事件一旦多起来,server的负载会很高

有些太宽泛导致误报非常高:

yulong-hids 规则引擎,目前看到就是正则表达式和count技术_功能类_04

yulong-hids 规则引擎,目前看到就是正则表达式和count技术_规则引擎_05

agent在测试机才装2天就有近6w条告警,这是无法运营的,当然,规则支持细粒度控制(开关)还是很不错的

3、功能

功能类型较少,功能模块划分不够细,比如没有单独的入侵检测模块,无法根据危险等级筛选告警,只能一个个去看,根据规则类型判断是否是入侵事件,没有针对性的审计告警是非常耗时的,特别是在告警数量特别庞大的情况下;

举报

相关推荐

0 条评论