入侵检测NIDS之Shiro反序列化流量分析

渗透技巧 1年前 (2023) admin
490 0 0

笔者注

对网络中传输的各种流量进行分析,从中发现违反已定安全策略的行为,这是NIDS的核心功能。从检测技术上分为三种:

  • 基于协议分析的特征检测
    • IOC类:IP、域名、端口、特征URL等
    • 特征字符串:header、body、ua、参数、包大小等
    • 违背协议标准的异常特征
  • 基于行为分析的异常检测,主要有两种算法:模式比较、聚类


    • 聚类比较好理解

    • 模式比较分为两种:

      • 关联规则
        • 从用户定义的”支持度”和”可信度”两个维度出发,设定用户合法行为的阈值,通过和用户实际行为的比较来发现攻击。同时,还会分析一种行为与其它行为之间的相互关联性或相互依靠性,比如常用的统计学。
      • 序列规则


        • 和关联规则类似,也是挖掘出数据之间的关系。不同的是序列规则增加了时间的概念,比如常用的时序、心跳等

  • 基于信誉的恶意流量检测
    • 依赖于 持续的威胁分析和检测并与之对应的信誉评级,并记录资源内容和行为的变化

工具:shiro_attack-2.2

入侵检测NIDS之Shiro反序列化流量分析

行为:爆破利用链

特征

  • 请求-header
techo:f25a2fc72690b780b2a14e140ef6a9e0

行为:命令执行

特征

  • 请求-header
c:base64编码后的命令
  • 响应-body
$$$base64编码之后的命令执行结果$$$

内存马

特征

  • 请求-header
p:pass1234
  • 响应-header
dy=编码后的恶意class
  • 响应-body
->|Success|<-

无回显

  • dnslog
  • 下载并分析恶意字节码
入侵检测NIDS之Shiro反序列化流量分析


原文始发于微信公众号(小宝的安全学习笔记):入侵检测NIDS之Shiro反序列化流量分析

版权声明:admin 发表于 2023年3月8日 下午7:01。
转载请注明:入侵检测NIDS之Shiro反序列化流量分析 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...