日志聚合与关联分析技术实例视频演示
目前在企业网中,网络安全问题高度关联,因此系统易受攻击的程度往往取决于整个网络的多个漏洞,攻击者可以综合利用这些漏洞,逐步渗透网络并破坏、威胁到关键系统,但做为管理员的你,或许还浑然不觉,这时或许你还在抱着一些传统的安全工具(因为它们缺乏一个统一的框架,来处理来自各方的安全相关信息的处理问题),来解决单一问题,看不见全局变化,又怎么能发现攻击中在综合利用漏洞发起网络攻击呢?不过话又说回来,即使你是一个经验丰富的安全分析师,也难以综合多个源(例如十多个、甚至几十个)的结果来分析复杂的多步攻击能利用的漏洞。要解决这个问题,你该怎么办?
各种网络应用日志如何预处理变成事件,各类事件又是如何经过聚合进行关联分析的技术已在《开源安全运维平台OSSIM最佳实践》一书进行了详尽的分析,下面就给大家展示,在大数据IDS机房环境中如何在海量日志中,快速定位SSH暴力破解攻击源,让你看得见网络攻击。
高清视频地址:
http://www.tudou.com/programs/view/uP0V9fQlzuo
下图展示了几张OSSIM中灵活的规则和策略管理界面
看过之后,感觉如何?ELK、Splunk系统能实现吗?这里我只是举了SSH的例子,可类似这种可视化分析方法在OSSIM中还有上千种类型,有兴趣的朋友可以阅读《OSSIM让网络攻击无所遁形》以深入了解。
本文转自 李晨光 51CTO博客,原文链接:http://blog.51cto.com/chenguang/1728514,如需转载请自行联系原作者
