• 欢迎访问安全专题网站,安全专题信息,安全专题教程,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站,欢迎加入安全专题 QQ群7652650
  • 安全专题现已支持滚动公告栏功能,兼容其他浏览器,看到的就是咯,在后台最新消息那里用li标签添加即可。
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏安全专题吧

开源主机入侵检测系统yulong-hids

安全工具 aqzt 9个月前 (04-02) 852次浏览

0x00 简介

驭龙 HIDS 是一款由 YSRC 开源的入侵检测系统,由 Agent, Daemon, Server 和 Web 四个部分组成。集异常检测、监控管理为一体,拥有异常行为发现、快速阻断、高级分析等功能,可从多个维度行为信息中发现入侵行为。

简单的讲,驭龙提供了一个 OSSEC/OSSIM 之外的开源 HIDS 选择。对于“一个人的安全部/没有钱的安全部”来说,是一个功能更丰富,二次开发门槛更低一些的“轮子”。

除了 agent 中涉及到驱动的部分是 c 写的,其他后端、web 都是 golang 写的,天然跨平台。agent 支持 32 位/64 位 win、linux 环境,后端所依赖的 Elasticsearch、MongoDB 本身也支持多平台,所以后端部署在 win、linux 皆可。如果只有小几百个 agent 部署实例,最少单台机器就能支撑。

0x01 功能特点

实时监控、秒级响应

全局首次出现概念,可发现未知威胁

支持自定义规则,高扩展性

高级分析功能,可溯源

全局快速阻断(进程、文件)

威胁情报查询(可自定义接口)

0x02 整体架构

Agent 为采集者角色,收集服务器信息、开机启动项、计划任务、监听端口、服务、登录日志、用户列表,实时监控文件操作行为、网络连接、执行命令,初步筛选整理后通过 RPC 协议传输到 Server 节点。

Daemon 为守护服务进程,为 Agent 提供进程守护、静默环境部署作用,其任务执行功能通过接收服务端的指令实现 Agent 热更新、阻断功能和自定义命令执行等,任务传输过程使用 RSA 进行加密。

Server 为整套系统的大脑,支持横向扩展分布式部署,解析用户定义的规则(已内置部分基础规则)对从各 Agent 接收到的信息和行为进行分析检测和保存,可从各个维度的信息中发现 webshell 写入行为、异常登录行为、异常网络连接行为、异常命令调用行为等,从而实现对入侵行为实时预警。

架构图

 

测试演示

0x03 web 控制台

控制台拥有以下功能:

统计查看、主机查看管理、数据分析、告警处理、任务推送、规则配置、系统设置。

展示驭龙 HIDS 的各项数据信息,包括:警报分布、警报信息 TOP、警报类型统计、主机数、任务、数据总览等等。


主机列表
展示当前已部署 agent 的主机列表,可通过搜索功能和快速标签进行筛选并进行实时监控主机行为和查看关键信息。

主机信息查看

实时监控
数据分析

通过此功能可搜索分析查看所有从 agent 收集到的信息,包括以下:用户列表、服务列表、开机启动项、计划任务、监听端口、登录日志、文件行为、网络连接、执行命令以及统计信息。可对整个企业主机行为信息进行人工分析和入侵行为进行溯源。

警告

所有触发规则的记录都会在此显示,通过此面板进行处置,网络连接、进程和文件可在此面板进行全网阻断。

任务

可通过此功能对指定主机发送任务指令,包括以下:

kill: 结束进程(传入进程名)

uninstall: 卸载自身

update: agent 更新

delete: 文件删除(传入文件路径)

exec: 自定义命令(这个功能其实比较“危险”,所以对外发布的代码中我们注释掉了。如需启用这个功能,请去掉注释,自行编译 agent)

reload: 重启 agent

quit: 结束自身

规则引擎

定义告警规则,可通过此面板进行添加、修改、删除、启用、关闭、导出,具体格式可查看规则编写文档。

其他还有些设置相关的,这边就不再贴了。

0x04 规则

具体的规则格式、结构、字段定义请参照 Github 上的文档。

这里引用职业欠钱前辈写的《大型互联网企业入侵检测实战总结》中关于入侵检测基本原则的描述,在定义规则的时候可以思考一下。

不能把每一条告警都彻底跟进的模型,等同于无效模型 ——有入侵了再说之前有告警,只是太多了没跟过来/没查彻底,这是马后炮,等同于不具备发现能力;

我们必须屏蔽一些重复发生的相似的误报告警,以集中精力对每一个告警都闭环掉 —— 这会产生白名单,也就是漏报,因此单个模型的漏报是不可避免的;

由于任何单模型都会存在漏报,所以我们必须在多个纬度上做多个模型,形成纵深 —— 假设 WebShell 静态文本分析被黑客变形绕过了,在 RASP(运行时环境)的恶意调用还可以监控到,这样可以选择接受单个模型的漏报,但在整体上仍然不漏;

任何模型都有误报漏报,我们做什么,不做什么,需要考虑的是“性价比” —— 比如某些变形的 WebShell 可以写成跟业务代码非常相似,人的肉眼几乎无法识别,再追求一定要在文本分析上进行对抗,就是性价比很差的决策,通过 RASP 的检测方案,其性价比更高一些;

我们不可能知道黑客所有的攻击手法,也不可能针对每一种手法都建设策略(不具备性价比),但是,针对重点业务,我们可以通过加固的方式,让黑客能攻击的路径极度收敛,仅在关键环节进行对抗(包括加固的有效性检测)可能会让 100%的目标变得现实

基于上述几个原则,我们可以知道一个事实,或许,我们永远不可能在单点上做到 100 分,但是,我们可以通过一些组合方式,让攻击者很难绕过所有的点。

更多细节的介绍以及系统部署、编译步骤、规则编写的文档请参照 GitHub https://github.com/ysrc/yulong-hids

0x05 又及

驭龙项目目前的开源版本已经可以正常使用,基础功能也基本都有了。

但是目前并没有完全开发完毕,这边列了一些 To do:

建立入侵行为 case 库,自动化重放 case 模拟测试

机器学习判断可疑行为,作为规则之外的补充

资产盘点,例如识别补丁,应用版本、负责人,各种包/kernel 版本…

辅以漏洞库,能更快速的应急响应,哪些必须要修,那些不修可以接受

区分通讯模式(主动、被动)

使用消息队列代替 RPC

基线核查,没有代码能力的社区成员也可以整理好相关文档,YSRC 来实现

幻影蜜罐,agent 动态代理蜜罐端口,大规模提升蜜罐覆盖密度

支持多场景(办公环境、Docker),目前驭龙仅适合线上服务器环境

轻量级的 linux 内核防护,在不升级内核的情况下,免疫一些攻击

除了希望社区在二次开发过程中会回馈一部分代码给上游之外,YSRC 这边急需补充一些人手:

渗透测试核心,不限学历,要求无黑产经历,熟悉各种渗透姿势,猥琐流;

资深 golang 开发,配合安全同事、带领开发同事进行功能及架构迭代;

具体 JD 就不写了,跟大部分厂商的要求大同小异。

地点 base 苏州,感兴趣的可以关注公众号后对话或者发送简历至 sec@ly.com

最后,感谢驭龙项目的两位核心开发同事 wolf、nearg1e,贡献了驱动代码的 Z000000、mlsm,帮助 review 驱动代码的 taylor3768,以及对外测试期间提供了协助、反馈及建议的 kingjin、superhuahua、Johnny

你们的贡献在开源社区留下了自己的印记

we salute you~

YSRC 坚持开源不易,git clone 的时候顺手转发一下文章吧


安全专题 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:开源主机入侵检测系统 yulong-hids
喜欢 (0)