2. 程式人生 > >2018年9月杭州雲棲大會Workshop

2018年9月杭州雲棲大會Workshop

阿新 發佈:2018-12-10

基於日誌的安全分析實戰

背景

越來越多的企業開始重視構建基於日誌的安全分析與防護系統。我們會講述如何使用日誌服務從0到1收集海量日誌,並從中實時篩選、甄別出可疑操作並快速分析,進一步構建安全大盤與視覺化。並通過實戰方式,演練覆蓋幾個典型安全分析場景。

目標

  1. 瞭解日誌服務對於安全日誌分析的場景的支援。

  2. 通過演練,瞭解如何使用日誌服務進行典型安全場景的威脅識別與分析,包括:

    • 場景一:主機被暴力破解與異常登入識別
    • 場景二:資料庫被SQL攻擊與拖庫識別
    • 場景三:Web服務被CC攻擊的行為分析
  3. 瞭解如何構建安全大盤與視覺化。

議程

  1. 現場產品介紹(5~8分鐘)
  2. 準備工作(2分鐘)
  3. 實戰練習與問答(~20分鐘)

準備工作

  1. 您需要一臺能夠上網的筆記本

  2. 現場會發送【測試賬號】給各位

    • 注意:每一個獨立的測試賬號,都已經預先準備好了環境資料和部分參考配置,以便大家更高效的完成實戰。
  3. 開啟瀏覽器(推薦Chrome),跳轉到日誌服務控制檯,根據提示,輸入賬號資訊登入即可。

步驟

場景一:主機被暴力破解與異常登入識別

1. 檢視登入日誌

在查詢介面輸入如下,即可看到主機登入的日誌:

__topic__ : winlogin

日誌的結構如下:

__topic__:  winlogin         // 日誌主題:登入日誌為winlogin
client_ip:  197.210.226.56   // 登入客戶端IP
result:  success             // 登入結果:success / fail
target:  host4.test.com      // 被登入的機器
target_type:  server         // 機器型別 server(伺服器), normal
type:  ssh                   // 登入方式:ssh, rdp
user:  admin                 // 登入賬戶

2. 識別暴力破解

任務:通過SQL關聯分析,識別暴力破解邏輯:特定伺服器被連續失敗登入後有一個成功登入參考:可以參考預先配置好的【快速查詢】:暴力破解

3. 識別異常登入

任務:通過SQL地理函式與安全函式分析登入地址,識別異常登入邏輯:平時伺服器都是從中國區或者美國(VPN)登入,出現了從其他國外登入的IP,且改IP為感染IP。參考:可以參考預先配置好的【快速查詢】:異常登入

4. 構建登入安全大屏

任務:通過地圖圖表構建登入儀表盤,將潛在風險加入儀表盤參考:可以參考預先配置好的【儀表盤】:場景一:....

場景二:資料庫被SQL攻擊與拖庫識別

1. 檢視登入日誌

在查詢介面輸入如下,即可看到mysql的SQL執行日誌:

__topic__ : mysql

日誌的結構如下:

__topic__:  mysql      // 日誌主題:SQL執行日誌為mysql
sql:  SELECT * FROM accounts WHERE id >= 20000 
         and id < 30000 limit 10000   // 執行的SQL
target:  db1.abc.com   // 資料庫伺服器
db_name:  crm_system   // 資料庫
table_name:  accounts  // 表格
sql_type:  select      // SQL型別: select, update, delete等
user:  op_user1        // 執行SQL的使用者
client_ip:  1.2.3.4    // 連線執行的客戶端IP
affected_rows:  10000  // 影響的函式,例如返回的行數
response_time:  1210   // 執行的響應時間(毫秒)

2. 識別SQL攻擊

任務:通過SQL解析,識別SQL攻擊邏輯:黑客通過獲取了資料庫賬戶(或者通過SQL注入),執行了一系列的SQL語句,將病毒寫入伺服器磁碟。(例如dumpfile into參考:可以參考預先配置好的【快速查詢】:SQL攻擊

3. 識別拖庫

任務:通過SQL統計,識別SQL拖庫邏輯:黑客通過獲取了資料庫賬戶,執行了一系列的SELECT的SQL語句,將重要表格(例如賬戶、訂單資訊)拖出。參考:可以參考預先配置好的【快速查詢】:資料庫拖庫

4. 構建資料庫安全大屏

任務:結合前面的規則,構建自己的資料庫安全大屏參考:可以參考預先配置好的【儀表盤】:場景二:....

場景三:Web服務被CC攻擊的行為分析

1. 檢視登入日誌

在查詢介面輸入如下,即可看到DDoS高防的訪問與攻擊日誌:

__topic__ : ddos_access_log

參考DDoS高防訪問日誌格式.

2. 識別CC攻擊規則

任務:檢視CC攻擊目標站點與特點邏輯:CC攻擊的日誌通過cc_blocks > 0可以獲得參考:可以參考預先準備好的場景三:... DDoS的運營中心訪問中心儀表盤.

3. 檢視DDoS安全大盤

檢視現有儀表盤,修改並調整DDoS安全大盤:

預覽:  

1535613882645_07009efb_7aba_49f3_af1a_1f719015285a_jpeg

 

原文連結 本文為雲棲社群原創內容,未經允許不得轉載。

相關推薦

20189杭州大會Workshop

基於日誌的安全分析實戰 背景 越來越多的企業開始重視構建基於日誌的安全分析與防護系統。我們會講述如何使用日誌服務從0到1收集海量日誌,並從中實時篩選、甄別出可疑操作並快速分析,進一步構建安全大盤與視覺化。並通過實戰方式,演練覆蓋幾個典型安全分析場景。 目標 瞭

2018杭州-大會

媒體 園區 orien 數字 當前 標桿 開放 斯坦福大學 優化 每年的雲棲大會都有重磅發布。2016年雲棲大會,馬雲首次提出“五新”戰略(新零售、新金融、新制造、新技術、新能源);2017年雲棲大會,阿裏巴巴達摩院成立,3年投入1000億元,立足基

揭祕!2018杭州大會主視覺誕生背後的故事

夏天來了,萬物復甦,天空顯得格外的藍,每年到了這個時節,在中國的江南水鄉,總會有一群揹著雙肩包穿著格子襯衫的高智商生物,為了同一個目的千里迢迢從世界各地匯聚到一起。 如果說8年前的第一次開發者大會只是3000多名站長的大型聚會的話,那麼今天的雲棲大會,全球6個大洲81個國家及地區共十餘萬人次的狂歡,3萬

2018杭州大會參會總結

數字化、線上化、智慧化驅動數字中國 本次雲棲大會的主題是驅動數字中國,以阿里集團和阿里雲的先進技術幫助中國更多的中小企業實現數字化轉型,或者更好的利用資料、技術來提高自身的產能和行業競爭力。而傳統企業的數字化轉型的必經路線是:數字化 -> 線上化 -> 智慧化,根據這個主題,我們來看本次雲棲

2018杭州大會發布飛天2.0混合災備驚人亮相!

2018杭州雲棲大會重磅落地,集結了170多場前沿峰會, 2場主論壇的科技盛宴就此展開。其中阿里雲打造的混合雲容災方案驚喜亮相,並直接在現場進行了全過程的演示,凸顯出阿里雲技術的強大心智。 眾所周知, 在當下這個數字化時代,資料可以說是企業運營的重中之重。一旦

2018杭州·大會人臉識別閘機“刷臉”服務12萬人次【回顧篇】

2018杭州·雲棲大會人臉識別閘機“刷臉”服務12萬人次【回顧篇】 2018杭州·雲棲大會中,最讓人印象深刻的莫過於幾乎無處不在的人臉識別技術。 進入大會首先看到的就是一排整齊有科技感的人臉識別閘機,採用這一新技術線上完成實名認證的嘉賓,通過雲棲大會人臉閘機時,只需對著攝像頭刷一下臉,就

杭州大會2018開幕 黑科技亮相----人臉識別閘機

杭州雲棲大會2018開幕 黑科技亮相----人臉識別閘機 9月19日至22日,2018杭州·雲棲大會將在杭州雲棲小鎮舉辦。每一屆雲棲大會都是黑科技的競技場,今年又會有什麼黑科技亮18日下午,記者提前探營。 科技感的第一步從入場開始。基於釘釘的智慧會務,與會者在前期註冊環節就掃過

2018杭州大會,有哪些科技驚喜?

2018杭州·大會:一文直擊地表最強黑科技

2018年9月19日 雲棲小鎮杭州·雲棲大會正式揭開帷幕想了解更多大咖發言、重磅釋出還有眼花繚亂

2017杭州大會精華PPT

杭州 2017 雲棲大會 2017杭州雲棲大會精華PPT地址:https://github.com/Alibaba-Technology/hangzhouYunQi2017ppt 演講視頻在線觀看:https://yq.aliyun.com/promotion/377?spm= 2017杭州雲棲大

201895日第一貼

技術 初步了解 type img 2018年 mar 分享圖片 分享 安裝 初步了解會了安裝redhat7的虛擬機2018年9月5日第一貼

20189Python計算機二級復習攻略

讀寫 第三方 format 名稱 二分 參數 考試 計算機 內置 考試方式:   上機考試,考試時長 120 分鐘,滿分 100 分。   1. 題型及分值   單項選擇題 40 分( 含公共基礎知識部分 10 分)。   操作題 60 分( 包括基本編程題和綜合編程題

杭州大會阿裏放大招,8K遠程醫療會診引關註

ali 會有 alt 領域 超高清 tps 更多 實時 ref 摘要: 大家每天都會照鏡子,鏡子裏的一切都清清楚楚,足可亂真,可是你想過有一天看視頻直播就像照鏡子麽? 這不,在雲棲大會的C館裏,8K超高清直播體驗館前異常火爆,在這裏,很多參會者都圍著有110寸的屏幕,想要一

杭州·大會宣布多款核心產品降價,最高降幅達90%

雲計算 小時 更新 性能 調用鏈 國外 yun 基礎設施 計算 摘要: 2018杭州·雲棲大會,阿裏雲宣布開啟新一輪核心產品降價,再次用科技普惠廣大開發者和用戶,加速產業升級。本次降價涉及近20款產品,產品包括智能語音交互、圖像識別、性能測試PTS、雲數據庫RDS等,其中事

CSP考試 20189第1題 賣菜 C++實現

    #include <iostream> using namespace std; int a[1001]; int main() { int n; cin>>n; for(int i=0;i<n;i++) { cin

愛奇藝2018915日筆試程式設計題目AC程式碼

這幾天一直在關注著工作的事情,師兄們做筆試題,我也跟著在刷,包括華為,百度,騰訊,阿里等公司的筆試題都做了,基本上都幫助師兄拿到了面試的資格,但是因為密度太大,而自己還要整理leetcode的學習筆記,所以,很多題目沒有來得及整理,今天正好提前AC完成,就簡單分享一下愛奇藝的兩個題目。 第一個題

去哪網2018917號第二題AC程式碼

這道題是標準的騎士問題,但是當時沒有考慮其實和終止位置相同的情況,所以就浪費了好多時間。好在最後想出來了。 題目: AC程式碼: #include <iostream> #include <queue> using namespace std; void

2018926日Django的安裝以及建立第一個Django專案和子模組

python字串物件的find()和index()方法的區別? index()和find()函式都是用於查詢字串,但是index()在沒有找到子串的時候會有報錯丟擲異常,影響程式執行。find()在找不到目標子串時不會丟擲異常,而是會返回-1,因此不會影響程式的執行。   函式

2018925日TCP三次握手和四次揮手

  TCP三次握手和四次揮手: SYN: 表示建立連線 FIN: 表示關閉連線 ACK: 表示響應 PSH: 表示有 DATA資料傳輸 RST: 表示連線重置。 seq: 資料包本身的序列號 ack:是對收到資料包的確認以及期望對方繼續傳送的下一個資料包的序

201899日用HTML開發網頁的總結

今天學到的新單詞: relationship n關係 inherit v繼承 rel:relationship的英文縮寫·REL屬性用於定義連結的檔案和HTML文件之間的關係 註釋:rel屬性,描述了當前頁面與href所指定文件的關係. rel是relationship的英文縮寫 styleshe