在各种网络安全产品的告警中，远程命令执行是一种非常常见的告警。本文将从远程命令执行的定义，远程命令执行利用的流量数据包示例，远程命令执行的suricata规则，远程命令执行的告分析警研判，远程命令执行的处置建议等几个方面阐述如何通过IDS/NDR，态势感知等流量平台的远程命令执行类型的告警的线索，开展日常安全运营工作，从而挖掘有意义的安全事件。本文将作为我的专栏《安全运营之网络攻击研判分析》中的一篇，详见这里。

远程命令执行定义

远程命令执行（Remote Command Execution，RCE）是网络安全领域中极具危害性的一种漏洞类型。远程命令执行漏洞通常源自于应用程序或系统对用户输入的不正确处理。攻击者通过在用户输入中注入恶意命令，利用了应用程序或系统在处理这些输入时的疏漏，成功执行恶意命令。这使得攻击者能够在目标系统上以受感染用户或进程的权限执行恶意操作，例如执行系统命令、下载和运行恶意软件等。

远程命令执行数据包举例

远程命令执行多出现在WEB应用中，因此多借助于HTTP协议进行利用。对于HTTP这种基于文本的协议来说，HTTP协议的任何位置都可以是远程命令执行的注入点。

远程命令执行流量之-URL

如下为远程命令执行的数据包示例，其注入点为HTTP的URL之中：

图1
可以看到在URL中，对于add