通用模型检测远控木马执行交互式cmdshell by zinan 2021年7月23日 by zinan 2021年7月23日 对于大部分远控,包括商业/开源/自研,都提供交互式cmdshell命令执行功能,并且红队在内网拿到驻点的后渗透过程中,也比较热衷于使用这个功能,如果监控这类场景,将极大提升入侵检出率。
CEP引擎Esper在入侵检测系统中的实践 by zinan 2020年12月11日 by zinan 2020年12月11日 CEP(Complex Event Processing):复杂事件处理、复合事件处理 EPL(Event Processing Language):SQL-LIKE的事件处理语言,用于描述CEP任务