點擊上方“IT那活兒”公眾號,關注后了解更多內容,不管IT什么活兒,干就完了!!!
近年來,隨著國家大數據發展戰略加快實施,大數據技術創新與應用日趨活躍,網絡安全問題迫在眉睫。
同時基于“要全面加強網絡安全檢查,摸清家底,認清風險,找出漏洞,通報結果,督促整改”的要求,急需加快對相關業務系統登錄和訪問用戶信息及操作敏感數據日志進行行為分析預警。
由此,客戶對現場運維團隊提出要求具備接入業務系統的各類用戶行為日志進行分析的能力。
具體包括以下方面:
集中采集安全軟硬件設備(WAF、IPS、IDS、DDOS、DLP、基線、弱口令、防火墻、交換機、主機、數據庫、及中間件)等日志,對采集到的數據實施清洗和過濾、標準化、關聯補齊、添加標簽等處理。
按照管控要求,對各類日志進行相應的審計。
對用戶行為進行各類分析,包括行為分析、網絡攻擊分析、系統安全分析、應用攻擊分析。
根據上述的能力建設要求,我們分析所需要建設的平臺要具備的能力可以歸納為:
日志采集
日志存儲
日志檢索
日志分析
這里可以看到能力圍繞的目標都是日志,完全可以看做是一個日志管理平臺。但是,目前基于ELK架構的開源日志管理解決方案,是在基于日志采集入庫之后再進行分析,存在較大的時延性,對于客戶所提出的要對潛在攻擊或異常用戶行為的即時預警能力方面力所不逮。
因此我們考慮在傳統日志管理平臺建設的基礎上,加入實時計算的能力,以此來實現對異常事件的快速感知和告警輸出。另外,針對行為分析所需的場景,我們也增加了一些對應的數據處理和邏輯判斷能力。
平臺主要建設了以下幾個方面的能力
由于平臺本身并不是安全設備平臺,同時企業內部已經部署了各類安全設備,并可以支持吐出各類日志信息。因此,平臺要能直接對接其他平臺的日志輸出。但是對于其他平臺不具備的原始日志數據分析能力,我們也需要平臺自身也要有采集各類數據的能力。
根據調研各類安全設備、主機、中間件、業務應用的日志存儲和接口情況,確定本平臺需要具備的對接能力包括:
日志文件的采集;
syslog采集;
接口調用采集;
jdbc采集;
kafka管道采集這幾類。
其中比較特殊的是文件采集和jdbc采集。有個安全平臺的日志會將多類不同的日志吐到同一個syslog中,不利于后續做分析,因此我們考慮在接收該日志時根據每條日志中標識的類型進行分解,分類存放到多個文件中去,用python可以很容易實現。
另一個難點是有些業務系統對于用戶的行為存放在日志表中,是使用一個字段存放了一個json字符串,包含多個關鍵信息,因此需要對采集到的字段做二次分詞解析,來實現對關鍵信息的提取。這個功能我們考慮在日志分詞的功能上進行擴展實現。
綜合以上分析,除了開源架構所具備的日志采集能力外,需要擴展的功能如下:
通過jdbc采集接入數據庫表數據后的二次分詞
各業務系統存儲到數據表中的用戶行為日志數據,存在存儲格式不一致的現象,且改造難度較大,無法適用統一日志存儲的規范要求,部分日志存在單個字段中處存放json串格式存儲多個關鍵數據的情況。
因此需要在實現jdbc方式對這類用戶行為數據進行采集后,使用二次分詞的方式對單個字段進行進一步分詞處理,分解出關鍵信息用于審計、檢索、分析等需求。
采集第三方系統吐出到kafka-topic的數據
支持對接第三方系統吐出到kafka-topic的數據,并實現對原始數據的數據過濾、數據加工、關鍵字分詞提取、指標化數據分析及告警的處理流程,并將原始數據按需要進行分類存儲,支持審計、檢索等前端訪問的需求。
實現多路實時數據的關聯并輸出
實現對各類網絡設備流量日志數據、主機操作日志、業務系統登錄日志、操作日志數據等不同數據源類型的日志數據的關聯。通過建立關鍵字段邏輯關聯,達到獲取單個用戶全行為操作數據匯聚的目的。
實現實時數據與維表數據的關聯并輸出新數據
實現根據對各類日志數據中的關鍵字提取,與一些數據庫維表數據建立實時關聯檢索,獲取數據庫維表數據的關鍵信息附加到日志數據的需求。該功能需要滿足海量數據條件下的關鍵維表數據附加加工操作的性能要求,避免出現大幅度的數據處理延時或積壓。
根據需要將原始日志在線保存1年,離線保存2年。由于日志量大,傳統的原始日志全部存放到ES庫的方案存在檢索效率低,資源占用大的風險,因此我們考慮以ES+HBASE的復合存儲架構來對原始日志數據進行保存。
原始日志的檢索和審計功能在ELK的開源方案里是具備的,但因為我們的存儲架構發生了變化,所以會需要針對該存儲架構進行適配建設。
針對存儲架構的配合改造主要包括以下方面:
數據采集過程改造
通過客戶端采集到的日志文件、syslog日志、第三方接口數據、Kafka等消息管道數據,得到的用戶行為原始數據,為每條原始數據創建唯一索引編碼,通過唯一索引編碼可映射對原始數據的檢索。
構建索引數據改造
不同的數據類型,在實時計算模塊中將審計字段、業務檢索字段、唯一索引編碼提取,生成索引數據,使用該數據作為數據審計或檢索的關鍵信息。
索引數據存儲及適配改造
索引數據存儲到ES庫,按日建索引,構建并支撐存儲1年。超過1年以上的數據,按月導出備份文件,存儲2年。
原始數據存儲及檢索適配改造
原始數據分詞處理后的半格式化數據在ES庫中保留14天(可根據業務需要及存儲資源自定義),用于實時查看、近期問題分析、上下文檢索等分析需求。
審計及檢索配合改造
以唯一索引編碼為key,半格式化數據為value,將數據存儲到HBASE庫中保存1年,支持通過唯一索引編碼進行快速查找。
我們將數據的處理和計算需求歸納為格式化、聚合計算、以及規則計算。要在平臺中提供可視化的處理配置能力,通過數據處理流程的配置實現數據的自動處理執行。并在后臺提供計算組件的方式提供不同的計算能力。數據處理中提供對過程數據的可觀測性,對各組件運行狀態、數據流量等關鍵信息進行展現。
圖片來源于網絡
根據上述要求,我們考慮在開源架構基礎上,增加實時計算框架,實現以下類型的數據加工處理規則或邏輯判斷規則:
數據處理類
日志類數據分詞
結構化數據的二次加工、屬性項新增、數值轉換等
非結構化數據提取生成結構化數據
指標計算類
簡單指標計算(最值計算、均值計算、分類統計等)
復合指標計算(對已生成指標或告警的二次統計計算)
關聯指標計算(實現對兩個或兩個以上指標做關聯生成新的指標)
加工指標計算(對指標的二次加工,如數值轉換,key值轉換,key值新增等)
判斷規則類
閾值規則(固定閾值比對判斷)
同比環比規則(與歷史同期數據或時序前列數據的比對判斷)
動態基線比對規則(以歷史數據根據配置規則生成動態基線)
指標未生成規則(有基線數據,無實時數據時產生)
規則清單包括以下統計計算規則和邏輯判斷規則
針對主機、網絡設備、安全設備等日志分析得到的的各類關鍵指標或告警數據,由于目前只包含IP等物理關鍵信息,而管理側需要進一步到CMDB等管理系統中去查找該IP的歸屬業務系統或歸屬管理責任人。
這一動作在實際工作中非常影響對安全攻擊事件的處置效率。
因此需要以實時計算能力支撐對數據的格式化,并建立和CMDB資產的關聯。這樣可以大大提升各類數據之間的關聯能力,為數據分析應用打下良好基礎。自動能根據管理需要關聯得到對應的歸屬系統(歸屬責任人)信息并隨指標或告警一起輸出,減輕管理人員的二次核查信息工作量,提升事件處置效率。
針對用戶行為的分析,不只是基于簡單的閾值判斷,不同的用戶有不同的操作習慣或行為需求,因此還需要根據實際用戶的行為習慣建立操作基線,并以動態基線的形式來實現對異常的捕獲和預警能力。
應用動態基線實現更精準的異常檢測優化
根據不同時間段正常值建立動態基線,然后根據被測時刻歷史數據的統計值與動態基線值的偏離程度建立動態臨界線,當某一時間段的值超過了臨界線,判定此時段為值異常時段。
實際進行動態基線異常監測時,對于一些行為操作數據量正常,但會高于固定臨界值而被誤判為異常的場景,使用以動態基線為基礎的動態臨界機制,即時所造成的正常值增加仍然會低于動態的臨界值。而只有與流量基線明顯偏離的時段才會被視為異常值。
面向單個用戶建立日常行為操作范圍基準
通過對各類日志的關鍵信息提取,實現對單個用戶登錄到內網后的所有操作行為的匯聚及分析,包括用戶的VPN登錄日志、4A登錄日志、網絡設備的流量日志、主機登錄日志、主機操作日志、數據庫登錄日志、數據庫操作日志、中間件登錄日志、中間件操作日志、業務系統登錄日志、業務系統操作日志等,將這些日志數據分別提取用戶關鍵信息、目標關鍵信息、場景關鍵信息,并以單個用戶為分析目標,建立其日常行為基準,對存在超出基準行為之外的異常動作進行預警和干預。
平臺在構建用戶行為分析場景時要支持以零代碼方式實現的。基于現場運維人員大多具備SQL能力這個現狀,我們將分析場景的構建能力定位為只要懂sql就能構建場景這個目標。
分析結果數據展現場景只需要配置sql腳本或參數配置,平臺要支持對各類可視化組件的拖拉拽方式布局,并以拓撲圖、報表頁面、分析頁面形式展現,通過零代碼開發生成場景功能頁面及實現各界面組件間的聯動、跳轉、下鉆等功能。
用戶行為分析的對象是各類設備的日志數據。
除了對于運維人員來說習以為常的主機、數據庫、中間件、網絡設備等日志外,在企業的IT環境中有大量用于各種用途的安全設備,對于平時接觸較少的同學來說可能名字都比較陌生。這些安全設備主要以安全類攻擊和防護能力為主,但是對于用戶行為的分析能力偏弱,特別是對于某些場景涉及多類日志的綜合分析的情況,單一設備平臺往往難以具備相關能力,必須通過將這些設備的數據統一收集并進行關聯分析后得出更有價值的分析結果。
我們在最開始也一頭霧水,經過多次和安全相關部門的客戶或廠商接觸溝通后,才有了一些了解,由于需要對這些安全設備平臺進行日志采集,必須要對其有所了解,在此將網上收集到的一些信息整理供大家參考:
1. 動態應用防護系統
動態安全以動態防護技術為核心,可對企業內、外網的應用提供主動防護,不僅可以防護傳統攻擊行為,還可以有效防御傳統防護手段乏力的自動化攻擊。
對企業內、外網的應用提供主動防護,不僅可以防護傳統攻擊行為,還可以有效防御傳統防護手段乏力的自動化攻擊。
通過動態封裝、動態驗證、動態混淆、動態令牌等創新技術實現了從用戶端到服務器端的全方位“主動防護”,為各類 Web、HTML5提供強大的安全保護。讓攻擊者無從下手,從而大幅提升攻擊的難度。
主要功能:
網站漏洞隱藏
使漏洞掃描攻擊無法獲取漏洞信息,使漏洞利用工具無法執行,在網站未打補丁和補丁空窗期提供有效安全保護;
網站代碼隱藏
對網站底層的代碼進行封裝,使攻擊者無法分析網站應用的源代碼;
傳統應用安全威脅防護
有效防止SQL注入、越權訪問、跨站攻擊、網頁后門等攻擊行為;
自動化攻擊防護
有效防護攻擊者利用自動化攻擊腳本或工具對應用發起的攻擊行為;
模擬合法操作攻擊防護
可有效應對攻擊者利用工具、合法身份,模擬正常人工訪問的攻擊行為;
數據防泄露
防止惡意人員使用工具或腳本程序通過前臺應用批量獲取數據的攻擊行為。
數據泄漏防護是通過一定的技術或管理手段,防止企業組織的指 定數據或信息資產以違反安全策略規定的形式被有意或意外流出。數據防泄露產品(Data Leak Protection或Data leakage prevention)
1)數據防泄露系統-管理平臺
是基于Web界面的綜合管理平臺,可配置基于用戶角色的訪問控制和系統管理選項。用戶通過管理平臺可依據內置策略模板,統一制定數據防泄露策略,并集中下發到各安全模塊,從而對客戶敏感數據進行全方位的保護。管理平臺可視化地呈現敏感數據分布狀況和安全態勢,可生成泄露事件日志和報表,幫助用戶進行審核、審計和補救操作。
2)數據防泄露系統-終端保護
終端保護客戶端掃描并發現電腦上的敏感信息分布和不當存儲,監控對敏感信息的使用并進行實時保護(如復制敏感信息到U盤等可移動存儲上,通過QQ、微信、個人郵箱外發敏感信息等,或者將其發至網盤、BBS等公共互聯網),排除數據從終端泄露的風險。
3)數據防泄露系統-郵件保護
郵件保護監控和掃描員工外發的電子郵件,包括信封、主題、正文和附件,對發現含有敏感信息的郵件進行隔離保護,交由相關人員審批,并根據審批結果對郵件進行放行或者阻止,實現對通過企業郵箱泄露敏感信息的精確控制。
4)數據防泄露系統-網絡監控
網絡監控通過鏡像旁路方式監控捕獲來自多種網絡通道的外發數據,在確保不對網絡環境造成任何影響的情況下,發現并記錄經由網絡外發的敏感數據泄露事件,幫助客戶分析事件發生原因,追蹤到相應責任人,采取補救措施以消除影響,挽回損失并避免安全事故的再次發生。
5)數據防泄露系統-網絡保護
網絡保護幫助用戶監控、阻止和保護敏感數據通過Web通道外泄。網絡保護同時支持HTTP、HTTPS和SMTP協議,對網絡數據流量實時進行內容恢復和掃描,從而實現對通過Web方式泄露的敏感信息進行監控和阻斷并上傳日志通知用戶。
6)數據防泄露系統-數據發現
數據發現亦叫網絡數據發現,通過掃描網絡上的FTP服務器、文件服務器和郵件服務器中的數據,使用戶掌握敏感信息在網絡存儲設備上分布和不當存儲,發現敏感信息泄露的潛在風險。
7)數據防泄露系統-應用系統保護
應用系統保護幫助用戶監控、阻止和保護通過web應用系統下載或上傳敏感信息。應用系統保護支持HTTP和HTTPS協議,對訪問web應用系統的流量實時進行內容恢復和掃描,從而實現對上傳到web應用系統和從web應用系統下載的敏感信息進行監控和阻斷并上傳日志通知用戶。
Web應用防護系統(也稱為:網站應用級入侵防御系統。英文:Web Application Firewall,簡稱:WAF)。利用國際上公認的一種說法:
Web應用防火墻是通過執行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產品。
企業等用戶一般采用防火墻作為安全保障體系的第一道防線。但是在現實中,Web服務器和應用存在各種各樣的安全問題,并隨著黑客技術的進步也變得更加難以預防,因為這些問題是普通防火墻難以檢測和阻斷的,由此產生了WAF(Web應用防護系統)。
Web應用防護系統(Web Application Firewall, 簡稱:WAF)代表了一類新興的信息安全技術,用以解決諸如防火墻一類傳統設備束手無策的Web應用安全問題。與傳統防火墻不同,WAF工作在應用層,因此對Web應用防護具有先天的技術優勢。基于對Web應用業務和邏輯的深刻理解,WAF對來自Web應用程序客戶端的各類請求進行內容檢測和驗證,確保其安全性與合法性,對非法的請求予以實時阻斷,從而對各類網站站點進行有效防護。
防御DDOS是一個系統工程,DDOS攻擊是分布、協奏更為廣泛的大規模攻擊陣勢,當然其破壞能力也是前所不及的。這也使得DDOS的防范工作變得更加困難。
想僅僅依靠某種系統或高防防流量攻擊服務器防住DDOS是不現實的,可以肯定的是,完全杜絕DDOS是不可能的,但通過適當的措施抵御99.9%的DDOS攻擊是可以做到的,基于攻擊和防御都有成本開銷的緣故,若通過適當的辦法增強了抵御DDOS的能力,也就意味著加大了攻擊者的攻擊成本,那么絕大多數攻擊者將無法繼續下去而放棄,也就相當于成功的抵御了DDOS攻擊。
近年來隨著網絡的不斷普及,流量攻擊在互聯網上的大肆泛濫,DDOS攻擊的危害性不斷升級,面對各種潛在不可預知的攻擊,越來越多的企業顯的不知所措和力不從心。單一的高防防流量攻擊服務器就像一個大功率的防火墻一樣能解決的問題是有限的,而集群式的高防防流量攻擊技術,也不是一般企業所能掌握和使用的。
怎么樣可以確保在遭受DDOS攻擊的條件下,服務器系統能夠正常運行呢或是減輕DDOS攻擊的危害性?
對于企業來講,這個系統工程往往要投入大量的網絡設備、購買大的網絡帶寬,而且還需要把網站做相應的修改,還要配備相關人員去維護,這個工程完成后,能不能夠抵擋住外部攻擊可能還是未知數。
防御DDOS攻擊應綜合考慮到基于BGP的流量清洗技術的多層面、多角度、多結構的多元立體系安全防護體系的構建和從主動防御、安全應急、安全管理、物理安全、數據容災幾大體系入手,從而整合“高防服務器”“高防智能DNS”“高防服務器集群”“集群式防火墻架構”“網絡監控系統”“高防智能路由體系”,從而實現智能的、完善的、快速響應機制的“一線式”安全防護架構。
1)攻擊方法
SYN/ACK Flood攻擊
這種攻擊方法是經典最有效的DDOS方法,可通殺各種系統的網絡服務,主要是通過向受害主機發送大量偽造源IP和源端口的SYN或ACK 包,導致主機的緩存資源被耗盡或忙于發送回應包而造成拒絕服務,由于源都是偽造的故追蹤起來比較困難,缺點是實施起來有一定難度,需要高帶寬的僵尸主機支持。
少量的這種攻擊會導致主機服務器無法訪問,但卻可以Ping的通,在服務器上用Netstat -na命令會觀察到存在大量的SYN_RECEIVED狀態。
大量的這種攻擊會導致Ping失敗、TCP/IP棧失效,并會出現系統凝固現象,即不響應鍵盤和鼠標。普通防火墻大多無法抵御此種攻擊。
TCP全連接攻擊
這種攻擊是為了繞過常規防火墻的檢查而設計的。
一般情況下,常規防火墻大多具備過濾TearDrop、Land等DOS攻擊的能力,但對于正常的TCP連接是放過的,殊不知很多網絡服務程序(如:IIS、Apache等Web服務器)能接受的TCP連接數是有限的,一旦有大量的TCP連接,即便是正常的,也會導致網站訪問非常緩慢甚至無法訪問,TCP全連接攻擊就是通過許多僵尸主機不斷地與受害服務器建立大量的TCP連接,直到服務器的內存等資源被耗盡而被拖跨,從而造成拒絕服務。
這種攻擊的特點是可繞過一般防火墻的防護而達到攻擊目的,缺點是需要找很多僵尸主機,并且由于僵尸主機的IP是暴露的,因此容易被追蹤。
刷Script腳本攻擊
這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程序,并調用MSSQLServer、 MySQLServer、Oracle等數據庫的網站系統而設計的,特征是和服務器建立正常的TCP連接,并不斷的向腳本程序提交查詢、列表等大量耗費數據庫資源的調用,典型的以小博大的攻擊方法。
一般來說,提交一個GET或POST指令對客戶端的耗費和帶寬的占用是幾乎可以忽略的,而服務器為處理此請求卻可能要從上萬條記錄中去查出某個記錄,這種處理過程對資源的耗費是很大的,常見的數據庫服務器很少能支持數百個查詢指令同時執行,而這對于客戶端來說卻是輕而易舉的。
因此攻擊者只需通過Proxy代理向主機服務器大量遞交查詢指令,只需數分鐘就會把服務器資源消耗掉而導致拒絕服務。常見的現象就是網站慢 如蝸牛、ASP程序失效、PHP連接數據庫失敗、數據庫主程序占用CPU偏高。
這種攻擊的特點是可以完全繞過普通的防火墻防護,輕松找一些Proxy代理 就可實施攻擊,缺點是對付只有靜態頁面的網站效果會大打折扣,并且有些Proxy會暴露攻擊者的IP地址。
2)防御方案
異常流量的清洗過濾
通過DDOS硬件防火墻對異常流量的清洗過濾,通過數據包的規則過濾、數據流指紋檢測過濾、及數據包內容定制過濾等頂尖技術能準確判斷外來訪問流量是否正常,進一步將異常流量禁止過濾。單臺負載每秒可防御800-927萬個syn攻擊包。
分布式集群防御
這是網絡安全界防御大規模DDOS攻擊的最有效辦法。
分布式集群防御的特點是在每個節點服務器配置多個IP地址,并且每個節點能承受不低于10G的DDOS攻擊,如一個節點受攻擊無法提供服務,系統將會根據優先級設置自動切換另一個節點,并將攻擊者的數據包全部返回發送點,使攻擊源成為癱瘓狀態,從更為深度的安全防護角度去影響企業的安全執行決策。
高防智能DNS解析
高智能DNS解析系統與DDOS防御系統的完美結合,為企業提供對抗新興安全威脅的超級檢測功能。
它顛覆了傳統一個域名對應一個鏡像的做法,智能根據用戶的上網路線將DNS解析請求解析到用戶所屬網絡的服務器。同時智能DNS解析系統還有宕機檢測功能,隨時可將癱瘓的服務器IP智能更換成正常服務器IP,為企業的網絡保持一個永不宕機的服務狀態。
在建設了上述的的功能后,我們需要圍繞客戶提出的場景需求來通過日志采集、數據加工、數據統計、規則判斷等實施工作來完成對用戶行為的分析及異常預警。
下面我們梳理了幾個對主機日志進行分析,并基于平臺能力實現的用戶行為分析場景作為平臺能力的應用示例。
1. 賬號登錄異常
登錄時間異常
某重要資產或業務系統發現在夜間或非工作時間存在賬號短時間登錄行為,登錄結果為成功,并且該行為持續時間較長;
登錄地點異常
某重要資產或業務系統發現大量非合法區域的IP登錄行為,登錄結果為成功;
在防火墻上這些IP的訪問動作為允許,并且來自不同區域;
登錄賬號異常
某重要資產或業務1天內有多個賬號登錄(正常業務除外)并且登錄結果是失敗;
檢查新登錄的賬號是否在黑名單中,如果在名單中則觸發黑名單告警;
非正常工作時間登陸、操作。
1)需求分析
由于在其他場景中有針對業務系統的,所以與客戶溝通,該場景的需求主要面向主機設備。
短時間的登錄成功次數限定,暫定為10分鐘內5次,后續建立動態基線后,以基線數據為準。即當某個賬號在10分鐘內登錄成功大于5次即產生告警。
合法登錄時間為每天的08:00-20:00,由于工作外時間登錄較為常見,所以該限定條件只做記錄,不做告警輸出。
一天內多個賬號登錄失敗的條件限定為20個,即一天內超過20個用戶登錄失敗即產生告警。
非合法區域的登錄成功,判定條件限定為1個,即存在來源于非合法區域的登錄成功,即需產生告警。
關聯賬戶黑名單列表,當出現黑名單賬戶登錄時即告警。
2)依賴原始日志
主機登錄日志(需要分詞字段:登錄用戶、登錄時間、來源IP、目標IP、操作結果)
3)依賴維度數據
合法訪問區域IP清單
賬號黑名單
4)輸出分析指標
單賬號登錄次數統計(簡單指標計算)
分組字段:賬號名、目標IP
過濾條件:登錄結果字段為“成功”
統計周期:10分鐘
計算規則:統計數量
告警條件:值大于5
非合法時間段登錄記錄清單(簡單指標計算)
分組字段:賬號名、目標IP
過濾條件:登錄時間字段在08:00-20:00范圍外
統計周期:30分鐘
計算規則:獲取字段值(登錄時間字段)
告警條件:無
登錄失敗記錄清單(簡單指標計算)
分組字段:賬號名、目標IP
過濾條件:登錄結果字段為“失敗”
統計周期:30分鐘
計算規則:獲取字段值(登錄時間字段)
告警條件:無
登錄失敗賬號數統計(批量計算:登錄失敗記錄清單數據表SQL去重統計)
分組字段:賬號名、目標IP
過濾條件:無
統計周期:當天
執行周期:30分鐘
告警條件:大于20
非合法區域登錄(簡單指標計算,指標加工計算)
分組字段:賬號名、目標IP
過濾條件:登錄結果字段為“成功”
統計周期:10分鐘
計算規則:獲取源IP字段
指標加工:關聯合法區域IP清單,增加“合法”標記
告警條件:指標加工后無“合法”標記
黑名單賬號登錄(簡單指標計算,指標加工計算)
分組字段:賬號名、目標IP
過濾條件:無
統計周期:10分鐘
計算規則:獲取字段值(登錄時間字段)
指標加工:關聯黑名單賬戶清單,增加“黑名單”標記
告警條件:指標加工后有“黑名單”標記
發現普通賬戶的權限被升級為管理員權限。
1)需求分析
在主機上執行“sodu”相關操作命令;
對于寫到shell腳本中的sodu命令實現的提權操作,將通過對主機上所有shell腳本的掃描來發現,不在此場景中實現。
2)依賴原始日志
主機操作日志。(需要分詞字段:操作用戶、操作時間、來源IP、目標IP、命令執行路徑、執行命令)
3)依賴維度數據
無
4)輸出分析指標
賬號提權操作記錄(簡單指標計算)
分組字段:操作用戶、來源IP、目標IP、命令執行路徑、執行命令
過濾條件:執行命令中包含“sudo”相關命令
統計周期:30分鐘
計算規則:獲取操作時間
告警條件:無條件,該類記錄均需告警
沉默賬號登錄成功
離職員工賬號登錄成功
1)需求分析
由于在其他場景中有針對業務系統的,所以與客戶溝通,該場景的需求主要面向主機設備。
維護一個賬號最新登錄時間記錄表作為維表,每日根據“單賬號登錄次數統計”指標數據做去重后更新。
維護一個離職員工賬號表作為維表(手工維護或從相關系統同步)
將登錄成功賬號與賬號最新登錄時間記錄維表關聯,關聯條件為查詢2個月內有登錄記錄的賬號,如不能關聯到數據,則產生沉默賬號登錄告警。
將登錄成功賬號與離職員工賬號維表關聯,當關聯到離職員工賬號時產生離職員工賬號登錄告警。
2)依賴原始日志
主機登錄日志。(需要分詞字段:登錄用戶、登錄時間、來源IP、目標IP、操作結果)
3)依賴維度數據
賬號最新登錄時間記錄維表
離職員工賬號維表
4)輸出分析指標
沉默賬號登錄記錄(簡單指標計算,指標加工計算)
分組字段:登錄用戶、來源IP、目標IP
過濾條件:登錄操作結果為“成功”
統計周期:30分鐘
計算規則:獲取登錄時間
指標加工:關聯賬號最新登錄時間記錄維表,獲取兩個月內有登錄記錄的賬號,添加“非沉默賬號”標識
告警條件:對無“非沉默賬號”標識的記錄告警
離職員工賬號登錄記錄(簡單指標計算,指標加工計算)
分組字段:登錄用戶、來源IP、目標IP
過濾條件:登錄操作結果為“成功”
統計周期:30分鐘
計算規則:獲取登錄時間
指標加工:關聯離職員工賬號維表,添加“離職賬號”標識
告警條件:對有“離職賬號”標識的記錄告警
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/129466.html
摘要:編碼構建模型近年來人工智能在語音識別自然語言處理計算機視覺等諸多領域取得了巨大成功,但人工智能要規模化商用仍然存在一些問題和挑戰。 0編碼構建AI模型 近年來人工智能在語音識別、自然語言處理、計算機視覺等諸多領域取得了巨大成功,但人工智能要規模化商用仍然存在一些問題和挑戰。例如面包店要自動識別面包種類及數量實現無人結算,如調用通用圖像識別服務,雖然易用,但識別準確率低,無法準確區分面包...
摘要:阿里巴巴的共享服務理念以及企業級互聯網架構建設的思路,給這些企業帶來了不少新的思路,這也是我最終決定寫這本書的最主要原因。盡在雙阿里巴巴技術演進與超越是迄今唯一由阿里巴巴集團官方出品全面闡述雙八年以來在技術和商業上演進和創新歷程的書籍。 showImg(https://segmentfault.com/img/remote/1460000015386860); 1、大型網站技術架構:核...
摘要:反映了分類器檢測假負性的能力。我們將從混淆矩陣開始,這是表示分類結果的最簡單方法。 作者:chen_h微信號 & QQ:862251340微信公眾號:coderpai簡書地址:https://www.jianshu.com/p/c28... 什么是分類模型? 分類是將每個數據集合中的元素分配給一個已知的數據類別。 那么分類都有哪些任務呢? 根據醫生的病歷記錄,將檢查者區分為健康或者...
摘要:研究表明,減少用戶等待頁面載入的時間,可以增加用戶使用網站的欲望,并改善用戶對網站的印象。上一篇文章實戰第二章使用構建應用第二節使用實現購物車下一篇文章實戰第二章使用構建應用第四節數據行緩存 上一篇文章: Python--Redis實戰:第二章:使用Redis構建Web應用:第二節:使用Redis實現購物車下一篇文章:Python--Redis實戰:第二章:使用Redis構建Web應用...
摘要:本篇文章將會結合網易云信的實踐經驗,以全局概述的方式帶大家認識點播私有化平臺構建的整體架構面貌。基于構建點播私有云平臺在具有以上優勢的同時,還具備資源彈性管理監控完善部署簡易自動化維護等特性。基于構建平臺,能夠自由管理創建云主機。 私有云是為一個客戶單獨使用而構建的,因而提供對數據、安全性和服務質量的最有效控制。前置條件是客戶擁有基礎設施,并可以使用基礎設施在其上部署應用程序。其核心屬...
閱讀 1346·2023-01-11 13:20
閱讀 1684·2023-01-11 13:20
閱讀 1132·2023-01-11 13:20
閱讀 1858·2023-01-11 13:20
閱讀 4100·2023-01-11 13:20
閱讀 2704·2023-01-11 13:20
閱讀 1385·2023-01-11 13:20
閱讀 3597·2023-01-11 13:20