Blog Archive

Check out all blog posts in my blog archive. Click on a headline to read the teaser.

Portfolio › 流量威胁分析系统与Tenable生产实践
Portfolio › 商业智能分析工具Superset
superset 阅读更多›

安全大数据实践 › ELK大数据与威胁日志的数据迁徙方法
ELK大数据与威胁日志的数据迁徙方法 阅读更多›

服务监控防护 › ClickHouse与威胁日志分析
ClickHouse与威胁日志分析 阅读更多›

服务监控防护 › 网站服务的监控自动恢复与安全防护部署
网站服务的监控自动恢复与安全防护部署 阅读更多›

Portfolio › CPU内核信息泄露原理:在用户模式读取内核内存
Speculative execution 阅读更多›

Portfolio › 使用Openresty的一些网站
介绍几个用Openresty做基础服务的软件 阅读更多›

Templates › 2017 Openresty大会春哥视频
春哥视频 阅读更多›

日志安全审计 › 基于Graylog日志安全审计实践
日志审计是安全运维中常见的工作, 而审计人员如何面对各个角落里纷至沓来的日志的数据,成了一个公通课题,日志集中收集是提高审计效率的第一步。现在各在安全厂商都提供自己日志中心产品,并提供可视化监控和审计管理工具,各需求方企业也可以使用ELK这种开源工具定制自己的日志中心,像Splunk这种收费产品也广泛被人们所知,而我们今天要说的是一种集大成的开源日志数据管理解决方案:Graylog, 以及基于Graylog安全审计实践。 阅读更多›

WEB安全与防护 › 基于Lua插件化的Pcap流量监听代理
我们在实际工作中,遇到了一个这样的用例,在每天例行扫描活动中,发现有些应用系统不定期的被扫挂,因为我们不是服务的制造者,没有办法在不同的系统里打印日志,所以我们就想用一个工具来获取特定服务的输入数据流。我们如果不在IDS上看应用的服务,可以直接针对服务所在服务位置,针对应用端口进行,有针对性的监听分析。 阅读更多›

WEB安全与防护 › APT攻击是不可能被有效防范的?
换一种角度,APT其实可以理解成隐蔽性比较强的复合性安全威胁攻击。 阅读更多›

WEB安全与防护 › 蜜罐背后的影子系统探秘
一般场景下我们会在内部部署蜜罐系统,当外部有渗透时,碰到蜜罐就会报警,蜜罐会去检索攻击源的位置,确定别攻击机器的IP端口,取得payload数据,配合IDS我们可以捕获事件的过程,然后采取对应防御措施。 阅读更多›