国内一大波网安公司产品都是靠开源包装出来的!

文摘   2024-10-11 11:58   中国  

大家好,我是轩辕。

国内的很多软件公司,基本上没有太多自己的核心技术,都是拿开源项目改一改,换个皮,然后就可以包装成产品和项目挣钱了。我相信这种现象国外肯定也有,但具体情况咱也不知道,所以就只说说国内的情况。

在这一点上,国内的网络安全公司尤其严重。研发自己核心技术是需要长年累月砸人砸钱进去才能看到成效的,而国内网络安全行业本身就不是很挣钱,很多公司根本没钱养昂贵的研发团队。很多所谓的研发团队,都是天天包装开源项目,应付各种招标指标罢了。

这就进入了一个恶性循环:没有核心技术导致产品同质化(因为大家都是用开源包装的),产品同质化导致只能走低价竞争,低价竞争导致企业更挣不到钱,企业挣不到钱进一步收缩研发团队。

有身在这个圈子的朋友觉得说的没错的,可以留言走一波。

接下来,我会列举几个最主要的开源项目,对于想进入这个领域的新人来说,尤其是在校大学生,如果能提前学习掌握这些开源项目,肯定会是你简历上的加分项,找起工作来会比你的同学更有竞争力。

像那些通用的中间件就不说了,什么Redis、Kafka、Flink这些,跟网安关系不大,是想走后端方向的同学基本都要了解的内容,下面只说说网安方向独有的一些开源项目。

1、Snort/Snort3

Snort是网络安全领域资格非常老的开源项目了,它是一个开源的网络入侵检测和防御系统(IDS/IPS),通过分析网络流量来检测可疑行为和攻击模式。Snort 依赖于规则集来匹配恶意流量,广泛用于企业的网络安全防护。其规则集和性能经过多年的优化,已成为网络安全领域的重要工具。早期的很多IDS和IPS都是基于Snort做的。

GitHub地址:https://github.com/snort3/snort3

编程语言:C/C++

2、Suricata

上面Snort诞生的年代还是上个世纪,虽然经过多次迭代,但很多设计已经有些过时了。

而Suricata则是这方面的新秀,是现在国内很多做网络流量分析检测团队首选的开源项目。Suricata支持更高的流量处理能力,并能够深入解析各种协议。它不仅支持 Snort 规则,还增加了许多协议层的检测和高级功能。Suricata 被广泛用于网络流量安全分析和检测类的产品中。

GitHub地址:https://github.com/OISF/suricata

编程语言:C

3、OpenResty

OpenResty 是一个基于 NGINX 的高性能 Web 平台,集成了 Lua 脚本扩展功能,能够处理动态 Web 应用、API 网关等场景。国内有相当多的中小网络安全公司它们的WAF(Web应用防火墙)产品都是基于OpenResty打造的。

GitHub地址:https://github.com/openresty/openresty

编程语言:C

上面几个都是跟网络流量检测分析相关的,在网络安全领域,除了流量类的检测,还有非常重要的样本文件检测。像是病毒木马的检测分析,是很多网安公司的必备产品线。但除了360等一些老牌安全大厂,没几家公司愿意或者有条件投入去研发反病毒引擎,选择开源是他们的必然选择。

4、YARA

首先就是YARA,名气非常大,是大名鼎鼎的VirusTotal开源的项目。不过严格来说,YARA跟安全无关,它可以让我们编写规则来匹配文件,这刚好符合传统的基于规则的样本文件检测的思路。所以很多这类产品都选择YARA然后网上再找一堆开源的YARA规则与其配套,组成了自己家的样本文件检测产品。

GitHub地址: https://github.com/VirusTotal/yara

编程语言:C

5、ClamAV

除了YARA,另一个广泛使用的就是ClamAV,也是基于特征码病毒库的检测,只不过不像YARA那样可以便捷的自定义规则。ClamAV能够检测多种类型的恶意软件,包括病毒、木马和恶意脚本。ClamAV 常用于邮件网关、服务器和桌面系统中的病毒扫描,是一个高效的恶意软件防护工具。

在实际的很多公司里,一般会选择YARA+ClamAV相结合的方式来进行文件的检测。

GitHub地址: https://github.com/Cisco-Talos/clamav

编程语言:C

6、Cuckoo

前面介绍的YARA和ClamAV,都是静态的文件检测,在网络安全领域,还有一种样本文件分析手段:基于沙箱的动态分析。沙箱是提供一个虚拟的计算机环境,让样本文件在虚拟环境中运行,观察其行为,从而研判是否安全。

这一听难度就要比静态检测更大,所以有技能能力研发沙箱的公司就更少了,甚至包括很多大厂也都是基于开源改的。

这方面的开源项目首推就是大名鼎鼎的Cuckoo布谷鸟了。

Cuckoo 是一个开源的自动化恶意软件分析系统,能够在虚拟环境中执行可疑文件并分析其行为。它支持分析多种类型的文件,如可执行文件、文档和网页脚本,是恶意软件研究和威胁情报的重要工具。

可以毫不夸张的说,如果你看到一家公司网站上产品里有沙箱类的产品,那不用怀疑,99%都是基于这玩意儿改的。

GitHub地址: https://github.com/cuckoosandbox/cuckoo

编程语言:Python、C

除了上面这些之外,还有很多工具型的开源项目,像是wireshark、nmap、ossec、openvas也在网络安全项目中广泛运用。

大家可以看一下上面这些开源项目使用的编程语言,大部分都是C/C++,尤其是C,C语言不愧是YYDS!

好了,以上就是今天的分享了,希望对大家有帮助。

你们公司还在用哪些开源项目呢,欢迎留言交流。

往期推荐

轩辕的编程宇宙
《趣话计算机底层技术》的作者轩辕之风,前百度、360、奇安信高级安全研发工程师
 最新文章