2018年9月杭州云栖大会Workshop - 基于日志的安全分析实战

基于日志的安全分析实战

背景

越来越多的企业开始重视构建基于日志的安全分析与防护系统。我们会讲述如何使用日志服务从0到1收集海量日志,并从中实时筛选、甄别出可疑操作并快速分析,进一步构建安全大盘与可视化。并通过实战方式,演练覆盖几个典型安全分析场景。

 

目标

  1. 了解日志服务对于安全日志分析的场景的支持。

  2. 通过演练,了解如何使用日志服务进行典型安全场景的威胁识别与分析,包括:

    • 场景一:主机被暴力破解与异常登录识别
    • 场景二:数据库被SQL攻击与拖库识别
    • 场景三:Web服务被CC攻击的行为分析
  3. 了解如何构建安全大盘与可视化。

议程

  1. 现场产品介绍(5~8分钟)
  2. 准备工作(2分钟)
  3. 实战练习与问答(~20分钟)

准备工作

  1. 您需要一台能够上网的笔记本

  2. 现场会发送【测试账号】给各位

    • 注意:每一个独立的测试账号,都已经预先准备好了环境数据和部分参考配置,以便大家更高效的完成实战。
  3. 打开浏览器(推荐Chrome),跳转到日志服务控制台,根据提示,输入账号信息登录即可。

  4. 跳转到预先准备好的项目yq201809-阿里云ID

    • 直达链接(需要替换掉阿里云ID):https://sls.console.aliyun.com/#/project/yq201809-阿里云ID/categoryList

  5. 跳转到预先准备好的日志库yq-demo的查询页面即可:

    • 直达链接(需要替换掉阿里云ID):https://sls.console.aliyun.com/next/project/yq201809-阿里云ID/logsearch/yq-demo

步骤

场景一:主机被暴力破解与异常登录识别

1. 查看登录日志

在查询界面输入如下,即可看到主机登录的日志:

__topic__ : winlogin

日志的结构如下:

__topic__:  winlogin         // 日志主题:登录日志为winlogin
client_ip:  197.210.226.56   // 登录客户端IP
result:  success             // 登录结果:success / fail
target:  host4.test.com      // 被登录的机器
target_type:  server         // 机器类型 server(服务器), normal
type:  ssh                   // 登录方式:ssh, rdp
user:  admin                 // 登录账户

2. 识别暴力破解

任务:通过SQL关联分析,识别暴力破解
逻辑:特定服务器被连续失败登录后有一个成功登录
参考:可以参考预先配置好的【快速查询】:暴力破解

3. 识别异常登录

任务:通过SQL地理函数与安全函数分析登录地址,识别异常登录
逻辑:平时服务器都是从中国区或者美国(VPN)登入,出现了从其他国外登入的IP,且改IP为感染IP。
参考:可以参考预先配置好的【快速查询】:异常登录

4. 构建登录安全大屏

任务:通过地图图表构建登录仪表盘,将潜在风险加入仪表盘
参考:可以参考预先配置好的【仪表盘】:场景一:....

场景二:数据库被SQL攻击与拖库识别

1. 查看登录日志

在查询界面输入如下,即可看到mysql的SQL执行日志:

__topic__ : mysql

日志的结构如下:

__topic__:  mysql      // 日志主题:SQL执行日志为mysql
sql:  SELECT * FROM accounts WHERE id >= 20000 and id < 30000 limit 10000   // 执行的SQL
target:  db1.abc.com   // 数据库服务器
db_name:  crm_system   // 数据库
table_name:  accounts  // 表格
sql_type:  select      // SQL类型: select, update, delete等
user:  op_user1        // 执行SQL的用户
client_ip:  1.2.3.4    // 连接执行的客户端IP
affected_rows:  10000  // 影响的函数,例如返回的行数
response_time:  1210   // 执行的响应时间(毫秒)

2. 识别SQL攻击

任务:通过SQL解析,识别SQL攻击
逻辑:黑客通过获取了数据库账户(或者通过SQL注入),执行了一系列的SQL语句,将病毒写入服务器磁盘。(例如dumpfile into
参考:可以参考预先配置好的【快速查询】:SQL攻击

3. 识别拖库

任务:通过SQL统计,识别SQL拖库
逻辑:黑客通过获取了数据库账户,执行了一系列的SELECT的SQL语句,将重要表格(例如账户、订单信息)拖出。
参考:可以参考预先配置好的【快速查询】:数据库拖库

4. 构建数据库安全大屏

任务:结合前面的规则,构建自己的数据库安全大屏
参考:可以参考预先配置好的【仪表盘】:场景二:....

场景三:Web服务被CC攻击的行为分析

1. 查看登录日志

在查询界面输入如下,即可看到DDoS高防的访问与攻击日志:

__topic__ : ddos_access_log

参考DDoS高防访问日志格式.

2. 识别CC攻击规则

任务:查看CC攻击目标站点与特点
逻辑:CC攻击的日志通过cc_blocks > 0可以获得
参考:可以参考预先准备好的场景三:... DDoS的运营中心访问中心仪表盘.

3. 查看DDoS安全大盘

查看现有仪表盘,修改并调整DDoS安全大盘:



预览:
 

1535613882645_07009efb_7aba_49f3_af1a_1f719015285a_jpeg


 

原文链接
本文为云栖社区原创内容,未经允许不得转载。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/521062.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

不服OceanBase跑分?今天起可到阿里云上一战

不服OceanBase跑分?今天起可到阿里云上一战

蚂蚁金服自研数据库OceanBase登顶TPC-C榜单的消息振奋人心&#xff0c;同时引起国内技术圈的广泛讨论&#xff0c;第一个云上跑出来的数据库分数含金量如何&#xff1f;其他数据库有没有可能更强&#xff1f; 针对这些疑惑&#xff0c;10月24日阿里云以一种最为直接的方式作出…
阅读更多...
张勇:新技术是阿里“五新战略”的引擎

张勇:新技术是阿里“五新战略”的引擎

9月19日&#xff0c;云栖大会再次在杭州开幕。上千位顶级学者、行业专家&#xff0c;来自64个国家的CEO和CTO齐聚云栖小镇。这已经是这个盛大的年度技术大会的第十年。 阿里巴巴集团CEO张勇在主论坛致辞中表示&#xff0c;“阿里巴巴永远是一家技术驱动&#xff0c;使商业有所…
阅读更多...
钉钉视频会议

钉钉视频会议

基于 DingTalk_v5.0.0.74版本制作
阅读更多...
图书馆管理系统怎么做_亚马逊erp管理系统有免费的吗?亚马逊erp管理系统怎么免费做...

图书馆管理系统怎么做_亚马逊erp管理系统有免费的吗?亚马逊erp管理系统怎么免费做...

我做跨境电商也有六年的时间了&#xff0c;在电商这个行业也有自己的一些经验。经验也许没有其他大卖家丰富&#xff0c;但会将我知道的都进行分享。如果有不懂得亚马逊问题可以我(V&#xff1a;772024802)。我这里给大家安排一堂直播课&#xff0c;可以系统的帮你解决做亚马逊…
阅读更多...
程序员去交友网站找女友,没想到找到了这个...

程序员去交友网站找女友,没想到找到了这个...

1024程序员节&#xff0c;CSDN旗下的码书商店为程序员放个“价”&#xff08;10月25日截止&#xff09;&#xff0c;全场所有书籍8折&#xff0c;电子产品可以拥有大额优惠券&#xff0c;购买前可加文末客服微信领取优惠券哦卫衣原价249元&#xff0c;1024活动价159元&#xff…
阅读更多...
云栖大会 | 马云提出“新制造”战略将影响全球

云栖大会 | 马云提出“新制造”战略将影响全球

9月19日&#xff0c;马云在“2018杭州•云栖大会”全面阐释对于新制造的思考。他表示&#xff0c;新制造很快会对全中国乃至全世界的制造业带来席卷性的威胁和席卷性的机会&#xff0c;所有的制造行业所面临的痛苦将远远超出想象&#xff0c;新制造为企业带来新机遇。 马云还特…
阅读更多...
win10 修改软件、应用、游戏安装的默认目录

win10 修改软件、应用、游戏安装的默认目录

阅读更多...
流言终结者- Flutter和RN谁才是更好的跨端开发方案?

流言终结者- Flutter和RN谁才是更好的跨端开发方案?

背景 论坛上很多小伙伴关心为什么闲鱼选择了Flutter而不选择其他跨端方案&#xff1f;站在质量的角度&#xff0c;高性能是一个很重的因素&#xff0c;我们使用Flutter重写了宝贝详情页之后&#xff0c;对比了Flutter和Native详情页的性能表现&#xff0c;结论是中高端机型上F…
阅读更多...
【独家揭秘】阿里怎么做双11全链路压测?| CSDN 博文精选

【独家揭秘】阿里怎么做双11全链路压测?| CSDN 博文精选

戳蓝字“CSDN云计算”关注我们哦&#xff01;作者 | 牛兔转自 &#xff5c; CSDN企业博客责编 | 阿秃阿里妹导读&#xff1a;全链路压测是阿里的首创&#xff0c;我们将从工作内容、操作过程、运行总结等多个方向来介绍下阿里内部典型电商活动&#xff08;如双11准备&#xff…
阅读更多...
Centos7 使用Docker 安装Oracle 截图+关键步骤说明

Centos7 使用Docker 安装Oracle 截图+关键步骤说明

yum install dockerdocker -v systemctl start docker systemctl status dockerdocker拉取镜像 docker pull registry.cn-hangzhou.aliyuncs.com/helowin/oracle_11g#查看拉去的oracle镜像 docker images创建Oracle容器 docker run -d -p 1521:1521 --name oracle_11g registr…
阅读更多...
阿里程序员深夜智救31楼跳楼邻居

阿里程序员深夜智救31楼跳楼邻居

“我妈跳楼了&#xff0c;快救救她&#xff01;”。 8月20日凌晨的四点半左右&#xff0c;我被一阵急促的锤门声音吵醒。 听到这句话&#xff0c;没来得及思考&#xff0c;我就冲出了门。 我们住在31楼&#xff0c;出事的地点在邻居家的主卧&#xff0c;当时女主人整个人都悬…
阅读更多...
数学建模亚太赛优秀论文_2019亚太地区大学生数学建模竞赛志愿者等级评定结果公布!...

数学建模亚太赛优秀论文_2019亚太地区大学生数学建模竞赛志愿者等级评定结果公布!...

2019亚太地区大学生数学建模竞赛志愿者通过赛氪官网招募&#xff0c;本届竞赛共招到来自193所高校的394名志愿者&#xff0c;根据志愿者邀请队伍数和志愿者任务的完成情况&#xff0c;共评选出344名志愿者&#xff0c;6个优秀组织社团。一路相伴&#xff0c;感谢有你~下面是志愿…
阅读更多...
看完秒懂的排序算法

看完秒懂的排序算法

戳蓝字“CSDN云计算”关注我们哦&#xff01;作者 | 奎哥责编 | 阿秃之前的文章咱们已经聊过了下图是常用排序算法的时间空间复杂度&#xff1a;排序算法这么多&#xff0c;这里先将排序算法做个简单分类&#xff1a;一、可以根据待排序的数据量规模分类&#xff1a;内部排序&…
阅读更多...
手把手教你创建容器服务Kubernetes集群

手把手教你创建容器服务Kubernetes集群

Kubernetes作为目前最流行的容器编排工具&#xff0c;被越来越多的用户所接受&#xff0c;目前也有越来越多的用户开始考虑使用Kubernetes集群来部署生产应用。那么&#xff0c;此时用户可能面临一个问题&#xff0c;如何规划和创建合适的Kubernetes集群呢&#xff1f; 接下来的…
阅读更多...
Navicat 12 连接oracle闪退问题

Navicat 12 连接oracle闪退问题

#首先查看自己oracle的版本 select * from v$version;然后去官网下载instantclient对应的版本instantclient 我的版本是instantclient-basic-windows.x64-11.2.0.4.0.zip 找到对应版本下载即可 最后解压&#xff0c;将解压的文件instantclient_11_2 直接放到安装Navicat的目录…
阅读更多...
python遗传算法计算实例_遗传算法python简单例子(详解)

python遗传算法计算实例_遗传算法python简单例子(详解)

# -*-coding:utf-8 -*- #目标求解sin(x)最大值 import random import math import matplotlib.pyplot as plt #初始化种群 生成chromosome_length大小的population_size个个体的种群 def species_origin(population_size,chromosome_length): population[[]] #one dimension re…
阅读更多...
四个变量的图表怎么做_品牌策划方案怎么做?5步图文帮你绘制专业策划图表...

四个变量的图表怎么做_品牌策划方案怎么做?5步图文帮你绘制专业策划图表...

品牌策划方案是指通过对目标对象、竞争对手等相关数据的收集及详细分析&#xff0c;创造性地提出的区别于其他竞争者&#xff0c;能够体现自身特色的名称或符号&#xff0c;用以识别某款产品。品牌策划方案需要策划人具备以下能力&#xff1a;高瞻远瞩&#xff0c;看得到品牌的…
阅读更多...
阿里云开放国内首个云端数据库测试平台,云已成为数据库新标准;华为5G随行WiFi发布;科大讯飞推出 AI 专用语音芯片系列……...

阿里云开放国内首个云端数据库测试平台,云已成为数据库新标准;华为5G随行WiFi发布;科大讯飞推出 AI 专用语音芯片系列……...

戳蓝字“CSDN云计算”关注我们哦&#xff01;嗨&#xff0c;大家好&#xff0c;重磅君带来的【云重磅】特别栏目&#xff0c;如期而至&#xff0c;每周五第一时间为大家带来重磅新闻。把握技术风向标&#xff0c;了解行业应用与实践&#xff0c;就交给我重磅君吧&#xff01;重…
阅读更多...
AWD-LSTM为什么这么棒?

AWD-LSTM为什么这么棒?

AWD-LSTM是目前最优秀的语言模型之一。在众多的顶会论文中&#xff0c;对字级模型的研究都采用了AWD-LSTMs&#xff0c;并且它在字符级模型中的表现也同样出色。 本文回顾了论文——Regularizing and Optimizing LSTM Language Models &#xff0c;在介绍AWD-LSTM模型的同时并…
阅读更多...
使用Navicat Premium 12 连接远程Oracle数据库

使用Navicat Premium 12 连接远程Oracle数据库

文章目录1. Nacicat premium 12.1.11下载2. 点击【连接】-【ORACLE】3. 输入连接信息异常解决方案1. Nacicat premium 12.1.11下载 Nacicat premium 12.1.11破解版 32/64位 2. 点击【连接】-【ORACLE】 3. 输入连接信息 #连接信息如下&#xff1a; Hostname: 192.168.1.101 …
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023