导航

Gdevops峰会 知道创宇分享海量运维日志异常挖掘经验(2)

2017-05-15 17:16  飞象网
 
  l基于已有的外部数据与日志的关联性进行挖掘
 
  l例如高危IP库的IP的正常访问日志,代理IP库的IP的正常访问日志,某个通用组件或应用漏洞公开后的使用该组件或应用的网站日志等等

    4.异常挖掘方法4-基于内部数据关联挖掘

    l通过分析Web日志的内部关联性进行异常挖掘

    l例如通过分析Referer与URL二元关系组以及IP与URL二元关系组,挖掘低频访问且是孤立节点的页面

  5.异常挖掘方法5-基于WAF规则的异常挖掘
 
  l将每条WAF规则转换成多个语句的逻辑条件组合,并给予每个子条件一定的rank,然后对每条日志数据进行评分,根据最后评分以及设定阈值来判定日志是否异常
 
  l常用于WAF Bypass未知漏洞挖掘
 
  6.异常挖掘方法6-基于网站画像的异常挖掘
 
  l根据网站的目录结构、动静态页面分布及页面参数类型等信息而抽象出的一个多维度的标签化的描述网站合法访问范围的画像模型。通过判断单条日志数据是否在网站画像中,来判定日志是否为异常
 
  l适用于单个网站的日常持续分析
 
  l每个网站可以根据其应用特性和业务特征构建个性化的网站画像
 
  邓金城在演讲最后,还进行了在知道创宇工作的案例展示:“2016年,知道创宇从为客户发现了大量的异常,分析和报告了大量安全事件,其中高危近千个,其中,服务器入侵35%、数据泄漏39%、账号安全14%、其他12%,为用户补齐网站安全的短板,完善网站安全机制提供关键数据,同时还收获了几十个0day。这几年,我们取得了不少成绩,帮助某法院网服务器集群发现潜伏的安全问题、协助公安定位黑客个人信息等等。未来,知道创宇将会朝着可用性监控、应用性能监控、故障根源分析、安全审计、业务分析及用户数据挖掘等方向继续深入发展,为客户、合作伙伴提供更完善的服务。”

[责任编辑:毛青青]
分享到:
资讯 区域 市州 读报 宠物 观点 科技 养花