20210309 -
一般来说,通过IDS来监测一些攻击流量,或者说恶意流量也是可以的;但是现在看到的这个开源软件[1]是专门利用IOC来识别恶意流量;具体细节我没有深入去研究,例如流量捕获部分到底是什么引擎来启动的。
在其Github主页上的介绍来看,该系统的定位是恶意流量监测系统,而其实现的方法就是利用一些开源的情报,来作为IOC,同时自己部署流量探针来实现监测。
从他列举的一些信息来看,能够查看这些内容:
他前文中也提到,主要是通过一些指纹或者什么东西作为数据源。
因为没有具体部署这个系统,在界面中看到了可以使用Docker部署,应该部署起来也比较方便;这里简单列举几个阅读时的思考。
1)信息源的获取
官网中说明,可以获取到很多信息源:
这些信息源是否为免费的,而且更新频率怎么样。之前部署suricata的时候,可能我仅仅使用了免费的信息源,导致整体的检测可能不够好。
2)流量探针
在部署教程的部分,提到如果是使用python部署的话,需要安装pcapy库,这个库必然对于大流量的场景来说,是没有什么意义的。也就是说,如果想处理比较大的流量,希望拥有这个功能,肯定是要用别的探针。那么是不是说可以将这个信息源获取的功能给剥取出来,然后应用到已有的探针上,甚至于,已有的IDS上,当然,可能已有的IDS有的也会集成这些功能。
这种情况的话,就必须要尝试查看源码大致逻辑了,同时还得看看要新移植的地方,他是否支持这种规则。
3)Docker部署
如果是小的流量场景,那么采用Docker部署的话,是不是能够将网卡带进去,当然这个就不属于这个系统的问题了,属于Docker的问题,之前的时候就思考过这个问题,是不是能够将网卡的这部分功能带进去,我感觉问题应该不大。
但是这样的性能损耗大不大?按说,网卡应该是作为一个文本块的设备给直接带进去的,中间是否添加了一层类似管道的东西呢?这个有机会好好考虑。
