HVV 面经

2023 年 4 月 20 日

最近连续参加了几家 hvv 面试，现总结如下。

通常面试官都是对着简历发问，所以简历一定要字斟句酌。

个人经历相关问题

刚开始统一要求自我介绍。笔者很多同学都是提前写好稿子，这个根据个人喜好选择即可，笔者个人喜欢即兴发挥。简单介绍自己的学校，以及护网经历即可，务必沉着、大方。

以下是笔者的介绍。

我叫xxx，来自四川xx。我先说说我怎么接触这一个领域的吧，我从19年开始做个人站站长，后面就逐渐成为全栈开发，由于需要自己运维网站就接触了很多网安方面的知识。后来就在朋友圈子里和他们一起去了一次护网。

如果被问到工作经历，可以这样回答：

我之前是在山东汉任短期工作过，做的是渗透测试。主要就是帮忙评估企业和组织的网络系统弱点，并提供相应的解决方案。大概工作流程就是，首先信息收集，收集子域名、Whois、C段、旁站、Web 系统指纹识别，然后测试 web 系统的漏洞。

如果被问到护网经历，可以这样回答：

我2022年参加了国护，前期主要协助客户梳理资产、安全整改加固、策略优化等等，HW期间主要担任角色是分析研判人员，工作就是根据监控组提交的内容判断是什么攻击，攻击结果，具体的攻击内容，然后处置，并产生报告。

如果被问到“有过实际的应急经历吗”，可以这样回答：

也不知道算不算应急吧，就是常规的报警，用户那的蜜罐报警了，但是用户扫不出来，就喊我来排查，然后我就用椒图扫出来，然后丢到二线去分析一下，确认是木马就删除了。另外就是扫了几个 webshell 出来，然后先通知用户。

如果被问你挖掘过哪些漏洞，可以这样回答**：**

国内首例 OpenCore 加载 macOS 内核拓展实现AMD APU的普通x86PC安装macOS13.4 原理：利用EFI引导的通性，在引导 macOS 之前提前加载特定的EFI，使 Apple BIOS 被加载至内存中。进而绕过 macOS 的机型检测。由于苹果采用的全部是标准硬件+重写驱动，所以我们仅需要欺骗macOS，让他以为我们安装在普通主板上的普通硬件是来自Apple的硬件。(普遍方法）这种实现方法有一个问题，只有苹果为他重写了驱动的硬件才能被正常的驱动。如果这个硬件苹果没有用过，那就不能驱动。AMD的所有驱动都是开源的，因此我们可以对官方的开源驱动进行修改，从而实现在macOS下的驱动。在之中，作为从初中就开始探索安装macOS至普通电脑过程中。我敏锐的察觉到Apple实现显卡加速的原理仅是将原版的驱动有关DirectX等Windows特有的调用全部转成开源的OpenCl。故我完成了有关调用的替换及适配工作。在画面输出这一难关之中。我敏锐利用ssh的特性实现无画面下 Debug 及输出定制。

Windows 相关

常用命令

tasklist: 查看进程列表
regedit: 注册表
netstat: 查看端口
dir: 查看当前文件夹内容
net user: 查看用户（包括影子账户）
ping: 检查网络联通

windows 上的常见后门

shift 后门：将C盘windows目录下面的system32文件里面的sethc.exe应用程序进行转移，并生成 sethc.exe.bak文件。并将cmd.exe拷贝覆盖sethc.exe 查找方式：看下是不是 cmd.exe 的MD5。certutil -hashfile filename MD5

Windows 加固思路

系统不显示上次登录的账户名。
清理系统无效账户。
按用户类型分配账号
配置密码策略
账户锁定策略
远端系统强制关机设置
本地关机设置
用户权限指派
授权账户本地登录
授权账户从网络访问

问：Windows上安全日志目录在哪？
答：在windows/System32/winevt/Logs下

Linux 相关

常用命令

w: 显示目前登入系统的用户信息
who ：查看当前登录用户（tty本地登陆 pts远程登录）
last ：所有用户的登录记录
cat .bash_history 查看历史命令
ps -aux ：ps是用来监控进程的，aux参数代表查看所有进程。

问：Linux 如何创建计划任务？
答：使用 corntab 命令。
问：corntab 的计划任务列表存储在哪里？
答：位于 /etc/corntab 目录。
问：能说说 corn 的详细语法吗？
答：参考 https://blog.csdn.net/chen__yang_/article/details/109523061。创建、编辑计划任务的命令为crontab -e，查看当前计划任务的命令为crontab -l，删除某条计划任务的命令为crontab -r。
问：不错。如何把执行结果输出到文件？
答：30 23 * * * /path/to/script.sh > /path/to/logfile.log 2>&1
问：Linux 如何查看端口开放情况？
答：可以使用 netstat -anp | grep 端口号命令来查看端口号对应的进程和状态。
问：如何判断是否被增加了超级用户？
答：查看是否有 UID 为 0 的用户。
问：Linux 如何加固？
答：删除无用账号、配置密码策略（复杂度、过期时间）、限制 su 命令使用（限制用户使用 su命令变更为其他用户，防止不当的角色切换）、限制 ssh 远程登陆root、减少命令记录数（.bash_history）、升级内核版本。

攻击者获得文件读取权限后，通常会读取哪些文件？

/etc/hosts: 主机信息
/etc/shadow: 存储了系统用户的加密密码和其他安全相关的信息
/etc/password: 密码
/root/.bashrc: 环境变量
/root/.ssh/id_rsa: ssh私钥

HW 业务相关

主机发生安全事件处置流程

抑制范围：首先判断影响范围，主机断网或者隔离使受害面不继续扩大
收集信息：收集客户信息和中毒主机信息，包括样本
判断类型：判断是否是安全事件，何种安全事件，勒索、挖矿、断网、DoS 等等
深入分析：日志分析、进程分析、启动项分析、样本分析方便后期溯源
清理处置：杀掉进程，删除文件，打补丁，删除异常系统服务，清除后门账号防止事件扩大，处理完毕后恢复生产
产出报告：整理并输出完整的安全事件报告。

HW 期间发现在野0DAY利用怎么处置？

首先确认0day影响产品，危害程度，找到漏洞点；
下线应用；
排查应用日志查找是否有攻击请求；
更新官方发布的最新补丁或者升级版本。

IOC(Indicator of Compromise) 失陷指标/特征

可以反映主机或网络失陷特征信息，这些信息入侵工具、恶意软件和攻击组织的属性，如邮箱、域名、IP、 URL、文件名、文件hash、证书和签名等，简称 IOCs。

HW 中常见的安全设备有哪些?

入侵检测：IDS
入侵防御：IPS
**流量威胁检测：**腾讯御界、奇安信天眼、绿盟、深信服等等。
流量监测：科来
应用防火墙( **WAF **):绿盟WAF、腾讯云WAF、深信服WAF、阿里云WAF等等
**蜜罐：默安蜜罐、知道创宇蜜罐等等防火墙 **:防火墙(玄武盾)、山石防火墙、360网康/网神防火
**态势感知 **:绿盟态势感知、奇安信态势感知(目前部分金融客户对攻击IP封禁在态势感知系统上统一做封禁处理)
SOC：绿盟、奇安信

问：假设你发现服务器有异常登录情况，解决问题之后，如何进一步排查隐患？
1. 检查日志：查看服务器的登录日志、系统日志、应用程序日志等，以找出异常登录的时间、来源和使用的凭据。这些信息有助于确定攻击者是如何获得访问权限的，以及攻击者在系统中进行了哪些活动。
2. 审计用户和权限：审查所有用户帐户，删除不再需要的帐户，检查帐户权限是否符合最小权限原则。确保只有合法用户和合适的权限设置。
3. 更新系统和软件：确保操作系统和所有安装的软件都是最新的。安装安全补丁以防止已知漏洞被利用。
4. 审查防火墙和网络设置：检查防火墙规则和网络设置，确保只有必要的端口和服务向外暴露。限制来源IP地址，只允许可信任的IP访问。
5. 执行恶意软件扫描：运行杀毒软件或其他恶意软件扫描工具，以检测系统中是否存在恶意软件。如果发现恶意软件，请根据扫描工具的建议进行清除。
6. 确保强大的身份验证机制：使用复杂且不容易被猜测的密码。启用多因素身份验证（MFA）以增加安全性。
7. 监控异常活动：使用安全信息和事件管理（SIEM）工具或其他日志分析工具，监控服务器上的异常活动。配置警报通知以便在检测到可疑活动时立即收到通知。
8. 在 Windows 环境下，可以用此命令找出规定时间范围内创建的shell文件 Get-ChildItem -Path "C:" -Recurse | Where-Object { $*.CreationTime -ge "2023-05-06 00:00:00" -and$ *.CreationTime -le "2023-05-06 23:59:59" }

中间件

正常情况下一次web的访问顺序是：web浏览器—服务器(硬件)—web容器—web应用服务器—数据库服务器。

需要注意的是，中间件是一类软件的总称，不是单独的一个软件。

问：常见的中间件有哪些？
答：IIS nginx apache tomcat jboss websphere weblogic
问：status 和 weblogic 的流量如何区分？
答：请求URL中包含.action或.do, 这是struts2的默认请求后缀。weblogic的默认请求后缀是.jsp或.html；请求中包含struts2的默认参数,如:action, method等。weblogic的请求参数比较随意,没有固定模式；
问：中间件如何加固？
答：更改默认端口、低权限运维、降权网站根目录、自定义错误页面、删除自带网页，反序列化漏洞 ssrf任意文件上传 war 后门文件部署。
问：了解过哪些中间件？有哪些加固点？
答：**IIS **遇到特殊符号会进行截断，比如：“.asp”，从而认为文件后缀为“.asp”。**tomcat **远程代码执行，war后门文件部署。

渗透测试

只有一个登录页面如何去测

密码找回凡是“发送邮件”“手机号”是否可用拦截
登录时是否为前段验证,通过修改http回显包是否可用绕过个
注册功能是否可用覆盖注册admin,注册页面是否存在二阶注入
验证码是否可以绕过
用户名是否可以进行暴力破解

如何做免杀？

主要是防止被杀毒软件查杀。免杀可分为两种情况：

静态文件免杀：被杀毒软件病毒云查杀了,也就是文件特征码在病毒库了。可以通过修改源代码来完成免杀，也可以结合二进制免杀的技术。
动态行为免杀：运行中执行的某些行为被杀毒软件拦截报读.行为免杀如果没有源码就不是很好搞了。

鱼叉攻击和水坑攻击

鱼叉式攻击：指利用木马程序作为电子邮件的附件，发送到目标电脑上，诱导受害者去打开附件来感染木马。
水坑式攻击：分析目标的上网规律，寻找目标经常访问的网站的弱点，攻破该网站，并植入恶意程序，等待目标访问。水坑攻击的危险性来源于其利用的是不会被列入黑名单的合法网站，因此更难被发现。访问者出于对这些网站的一贯信任，更容易放松警惕，继而落入水坑陷阱之中。

Webshell 类型

大马：体积大，功能全；会调用系统关键函数；以代码加密进行隐藏
小马：体积小，功能少；一般只有一个上传功能，用于上传大马
一句话木马：代码短；使用场景大，可单独生成文件，可插入文件；安全性高，隐藏性强，可变形免杀；框架不变，数据执行，数据传递；
内存马：无文件落地；极难检测和发现；难以清除

未授权访问

FTP：FTP 弱口令或匿名登录漏洞，一般指使用 FTP 的用户启用了匿名登录功能，或系统口令的长度太短、复杂度不够、仅包含数字、或仅包含字母等，容易被黑客攻击，发生恶意文件上传或更严重的入侵行为。
Docker：该未授权访问漏洞是因为Docker API可以执行Docker命令，该接口是目的是取代Docker命令界面，通过URL操作Docker。
Redis：redis是一个数据库，默认端口是6379，redis默认是没有密码验证的，可以免密码登录操作，攻击者可以通过操作redis进一步控制服务器。Redis未授权访问在4.x/5.0.5以前版本下，可以使用master/slave模式加载远程模块，通过动态链接库的方式执行任意命令。
Jupyter Notebook

DNS 外带

DNS外带可以用于获取无回显的漏洞中的数据，例如 SQL 注入、XSS、XXE、SSRF 等漏洞。DNS外带的实现需要具备以下条件：

目标系统能够进行 DNS 请求。
目标系统能够访问 DNSLog 服务器。
DNSLog 服务器能够记录 DNS 请求日志。

NMAP 常见参数

Scan a range of IP addresses: nmap <ip-range>
Port scanning: nmap -p <port-range> <ip-address>
Ping scan: nmap -sn <ip-address>
Save scan output to a file: nmap -oN <filename> <ip-address>
Display open ports: nmap --open <ip-address>
Exclude hosts/IP addresses from the scan: nmap <ip-range> --exclude <ip-address>
Service version detection: nmap -sV <ip-address>
OS detection: nmap -O <ip-address>

前端相关

问：你知道原型链污染吗？
答：原型链污染（Prototype Pollution）是一种常见的安全漏洞，它会导致攻击者能够修改一个对象的原型，从而影响到应用程序的其他部分。这个漏洞在JavaScript中比较常见。在JavaScript中，每个对象都有一个原型，它是一个指向另一个对象的引用。当你试图访问一个对象的属性时，如果这个对象本身没有这个属性，JavaScript会沿着原型链向上查找，直到找到该属性或者到达原型链的顶端为止。攻击者可以通过在输入数据中注入恶意代码，来修改原型链上的对象，从而修改应用程序的行为。例如，攻击者可以将Object.prototype中的某个方法更改为恶意代码，使得应用程序中所有的对象都继承了这个恶意方法。这样，攻击者就可以在应用程序中执行任意代码，甚至获取敏感信息。
问：如何避免原型链污染？
答：为了避免原型链污染，开发人员应该始终使用**Object.hasOwnProperty()**来检查一个对象是否真正拥有某个属性，而不是依赖原型链。此外，开发人员应该对输入数据进行严格的验证和过滤，以防止恶意代码的注入。最后，应该定期更新和升级应用程序的依赖库，以确保使用的库没有原型链污染漏洞。
问：XSS 可以达到哪些效果？
答：前端挖矿、模拟登录页、劫持用户口令等。
问：说说你知道的逻辑漏洞？
答：不从后端阻止重复注册/权限验证，而是从前端阻止；静态文件下载链接等。本质上是后端该做的没做到。

工具相关

列举一些常见端口以及对应的服务。

21：FTP
22：SSH
23：Telnet
139：SMB
445：SMB
1080：Socks
3389：RDP
7001：Weblogic（一个Java EE应用服务器，允许开发人员开发和部署多层次的分布式企业应用。它集中了应用服务，如网络服务器功能、业务组件和对后端企业系统的访问。）
3306：Mysql
5432：PostgreSQL
1521：Oracle
6379：Redis（一个开源的内存数据结构存储，可作为数据库、缓存和消息代理使用。Redis提供了亚毫秒级的响应时间，使游戏、广告技术、金融服务、医疗保健和物联网等行业的实时应用每秒可发出数百万次请求。）

问：说说 Webshell 管理工具的流量特征？
答：菜刀 webshell 只使用了 url 编码 + base64 编码 shell 特征就是传输参数名为 z0，还存在int_set("display_erros","0")字符串特征。UA 头为百度爬虫。默认的蚁剑 shell，连接时会请求两次，其请求体只是经过 url 编码，其流量中也存在和蚁剑一样的代码。第一次请求，关闭报错和 magic_quotes，接下来去获取主机的信息。第二次请求，会把主机目录列出来。冰蝎2.0 使用 aes 加密发起三次请求。冰蝎3.0使用 aes 加密发起两次请求。冰蝎4.0内置10个user-agent ,每次连接shell时会随机选择一个进行使用.
问：说说 **sqlmap **的 os shell 原理？
答：对于mysql数据库来说，--os-shell的**本质就是写入两个shell文件，**其中的一个可以让我们用来执行命令,另外一个，如果在网站访问的话可以让我们上传文件。写shell的话有两个限制条件,首先，我们需要知道上传文件的两个限制条件,首先我们需要知道网站的绝对路径(我们的shell写到哪里)，还需要有导入导出权限。
问：wireshark 怎么去抓 https 的流量？
答：需要配置SSL证书。

PHP

问：include和require的区别？
答：include 可以在脚本的任何位置进行调用，而 require 必须在脚本的开头进行调用。此外，require 引入的模块必定会在运行时引用，而include是按需加载。
问：知道GPC吗？
答：是的。GPC 是 PHP 中一个已废弃的安全特性，它会自动对 GET、POST、Cookie 数据中的特殊字符（如单引号、双引号、反斜线等）进行转义处理。当 GPC 开启时，可能会影响某些 SQL 注入攻击的执行。但是，绕过 GPC 仍然可以进行 SQL 注入攻击。

SQL（重点）

问：sql 注入有哪些类型？
答：布尔盲注，时间盲注，报错注入。
问：如何判断有无注入漏洞？
答：使用 sqlmap 扫描；或者在请求内容后面加上引号判断返回包大小有无变化（盲注）。
问：报错注入可以使用哪些函数？
答：floor() name_const() exp() convert() extractvalue() updatexml()
问：如何绕过waf？
答：使用URL编码，使用不常见的函数，大小写混写，垃圾数据溢出等。
问：假设开启了特殊字符过滤，怎么办？
答：使用数字类型的数据（避免使用引号）；用like代替=；
问：假设开启了关键词过滤，怎么办？
答：使用/**/或者<>分割关键字；使用双写绕过（例如selectselect）；
问：假设开启了空格过滤，怎么办？
答：双空格，/**/，括号或者用回车代替。
问：假设开启了逗号过滤，如何盲注？
答：使用from和to，例如：select substr(database() from 1 for 1);
问：sql 如何写 shell？
- UNION SELECT '<?php system($_GET["cmd"]); ?>' INTO OUTFILE '/var/www/html/uploads/shell.php’
- 成功注入Web Shell后，你可以通过访问其URL来使用它。例如，如果Web Shell位于**http://example.com/uploads/shell.php**，你可以在URL中附加一个**cmd**参数来执行命令。
问：sql注入时IP被记录怎么办？
答：使用代理服务器，使用VPN。
问：屏蔽了sleep关键词，如何进行时间盲注？
答：select benchmark(count,expr) 是重复执行count次expr表达式，使处理时间很长,来产生延迟。比如：SELECT benchmark (100000000,md5("hello"));

社会工程学

域名溯源渠道

whois查询
备案查询
企查查/天眼查查询
zoomeye/fofa查询

手机号码溯源渠道

社交平台查询(微信/支付宝/微博/抖音)
通过telegram里社工库机器人进行精准信息查询
查询注册过哪些网站网站地址：https://www.reg007.com/

其他杂项

问：2019-0708这个漏洞，检测到了但无法利用，为什么？
答：版本不匹配。这个漏洞只影响Exchange 2010 SP3 Update Rollup 12 到 Exchange 2019 CU4之间的版本,如果目标系统的Exchange版本不在这个范围内,无法利用；已经打了补丁。如果目标系统已经应用了Microsoft发布的安全更新,这个漏洞已经被修复,无法利用；防火墙或WAF拦截。如果目标系统启用了防火墙或WAF,并且规则已经更新到可以检测和拦截这个漏洞利用,会无法利用
问：shiro 550 和 721 版本在反序列化漏洞上的主要区别？
答：shiro 550 版本只需要一个恶意构造的 rememberMe cookie 即可触发反序列化漏洞；shiro 721 版本需要先登录,设置 rememberMe=true,然后发送恶意构造的 rememberMe cookie 才能触发反序列化漏洞。另外，shiro 550 版本反序列化的是 ShiroRememberMeManager 类；shiro 721 版本反序列化的是 ShiroRememberMeManager$RememberMeToken 类。（Shiro-550 是 Apache Shiro 框架中的一个反序列化漏洞，由于 AES 加密的 key 硬编码在源码中，攻击者可以通过泄露密钥来构造恶意的序列化数据，从而实现远程代码执行等攻击）
问：你知道哪些恶意流量分析工具？
答：Wireshark Brim TShark
问：Win10 UAC 如何绕过？
- 注册表修改：某些注册表键值允许在启动时执行程序，例如HKCU\Software\Classes\ms-settings\shell\open\command。可以修改这些键值，使其执行一个提权程序。
- 动态链接库劫持（DLL Hijacking）：这种方法涉及创建一个恶意DLL文件，并将其放置在特定的路径下，以便当具有自动提升权限的可执行文件加载时，恶意DLL将被执行。这种方法要求你找到一个在DLL搜索路径上具有写入权限的位置。
问：如果 xff 里面有多个ip，如何判断哪个是真实的？
答：最左边那个。当然，xff可以被伪造，不一定是真实的。
问：探针和分析的区别？
答：探针和分析是两种不同的技术手段，探针主要用于实时监测和收集网络流量数据，分析则主要用于对网络流量数据进行深入分析和挖掘，以便发现网络中的安全威胁和漏洞。在实际应用中，探针和分析通常会结合使用，以提高网络安全监测和防御水平。
问：如何理解网络空间安全？
答：网络空间安全的实现通常需要技术、流程和政策三个方面的结合。技术包括防火墙、入侵检测系统、加密技术等；流程可能包括用户训练、灾难恢复计划、定期更新和打补丁等；政策则包括各种规定，如密码政策、用户行为政策等。

Kerberos 与黄金票据

Kerberos 的认证流程如下：

Image

其中 DC中有一个特殊用户叫做 **krbtgt，**它是一个无法登录的账户，是在创建域时系统自动创建的,在整个kerberos认证中会多次用到它的Hash值去做验证。而他的hash值是不变的。

黄金票据：所以只要得到 krbtgt 的 NTLM Hash，就可以伪造TGT和Logon Session Key来进入下一步Client与TGS的交互。而已有了金票后,就跳过AS验证,不用验证账户和密码,所以也不担心域管密码修改。
白银票据：在Kerberos认证的第三部，Client带着ST和Authenticator3向Server上的某个服务进行请求，Server接收到Client的请求之后,通过自己的Master Key 解密ST,从而获得 Session Key。通过 Session Key 解密 Authenticator3,进而验证对方的身份，验证成功就让 Client 访问server上的指定服务了。所以我们只需要知道Server用户的Hash就可以伪造出一个ST，且不会经过KDC，但是伪造的门票只对部分服务起作用。

Java

问：知道 Java 反序列化吗？
答：知道。（不知道就说不知道）
问：使用java.io.ObjectInputStream：这是Java中最常用的反序列化方法。你可以使用ObjectInputStream从字节流中读取并反序列化对象。示例如下：
问：如何排查内存马？
答：如果是 jsp 注入，日志中排查可疑 jsp 的访问请求；如果是代码执行漏洞，排查中间件的error.log，查看是否有可疑的报错，判断注入时间和方法：根据业务使用的组件排查是否可能存在java代码执行漏洞以及是否存在过webshell，排查框架漏洞，反序列化漏洞。如果是servlet或者spring的controller类型，根据上报的webshell的url查找日志（日志可能被关闭，不一定有），根据url最早访问时间确定被注入时间。如果是filter或者listener类型，可能会有较多的404但是带有参数的请求，或者大量请求不同url但带有相同的参数，或者页面并不存在但返回200。
问：java执行代码的rce有过了解吗？类似php的eval。
答：RCE为两种漏洞的缩写，分别为Remote Command/Code Execute，远程命令/代码执行。

运维

问：如何防范DDOS？
答：增加带宽和加强服务器性能。这可以让服务器有更大的流量处理能力,减少被攻击时的影响；使用DDOS防护服务。像 Cloudflare、Incapsula、Akamai 等服务可以有效防御DDOS攻击,他们可以过滤恶意流量和只让合法流量通过；配置防火墙和路由器。可以设置规则过滤来自某些IP地址或国家/地区的流量。也可以设置SYN Flood防护等；监控流量和服务。当发生DDOS攻击时,可以及时发现服务性能下降和大量异常流。
问：知道SCRF吗？
答：嗯。这是服务端虚假请求，可以用来access外网获取不到的主机。
问：如何探测存活IP？
答：可以使用 nmap 工具进行存活性探测，命令nmap-sP-n-ilip.txt-oA OUTPUT --no-stylesheet 在 Linux 中使用cat OUTPUT.gnmap |grep Up |awk'{print $2y'>ip_cunhuo.txt即可得到存活 IP。
问：如何识别挖矿流量？
答：通常挖矿木马会造成高CPU占有率、网络流量、非常规的文件名，并且会使用非标准端口通信。
问：如何识别告警流量是否为误报？
答：看访问路径中是否存在特殊文件或路径、是否有sql语句、是否有XSS脚本等。

设备相关：天眼

同一条攻击流量会触发2条告警原因

可能是同一条告警流量触发2条告警规则
同一条告警流量可能会有多个ip，因为外网ip到内网ip会进行ip转换
xff 字段进行提取ip的时候，可能会提取多次

日志检索语句

AND 运算符（AND、&& 或 +）
OR 运算符（OR 或 ||）
NOT 运算符（NOT、! 或 -）

1-  dip      -- 被攻击的ip
2-  dport    -- 被攻击的端口
3-  sip      -- 源ip
4-  sport    -- 源端口
5-  uri      -- 请求的url地址
6-  data     -- 请求包的正文内容
7-  status   -- 响应包的状态码
8-  host     -- 域名

威胁告警

1- attack_sip       -- 攻击者ip
2- alarm_sip        -- 受害者ip
3- attack_type      -- 攻击类型
4- is_web_attack    -- 用于标记告警是否是web告警（1：是 0：否）
5- hazard_level     -- 威胁级别（取值：0~10）
12345

天眼界面服务

流量传感器（探针）
文件威胁鉴定器（沙箱）
分析平台
天擎（并不一定有）

天眼菜单界面：

流量传感器
- 状态监听，威胁告警，规则配置，策略配置，系统配置
分析平台
- 威胁感知-告警列表，分析中心-日志检索

告警类型：

企图
成功
失陷
失败

注意事项

尽量掌握主动权，把故事讲圆满。不要直接说不知道。

参考资料

https://www.jianshu.com/p/4936da524040