1.日志分析
id="ngtos" version="2.0" time="2020-03-22 19:38:45" dev="MASTER" pri="information" type="conn" recorder="session" vsid="0" vsys_name="root_vsys" src="219.239.227.113" dst="123.58.39.146" sport="43252" dport="1433" protoname="tcp" op="delete" appname="unknown" trans_sip="219.239.227.113" trans_dip="123.58.39.146" trans_sport="43252" trans_dport="1433" rcv_pkt="0" send_pkt="3" rcv_bytes="0" send_bytes="0" duration="28"
灌入数据的模型产生的结果无法解释,感觉数据包的流量的字段比较多,找不到主要的字段用于分析,解决的思路如下,找论文看看别人的研究是怎么做的
- 解决了什么问题
- 首先通过哪些字段分析的
- 其次字段的主要作用是什么/为什么使用这些字段解决
- 用什么办法解决的(技术细节)
- 为什么要用这些方法
- 解决的效果如何
针对局域网中的网络安全问题
1.1 僵尸网络
控制者和被感染主机之间所形成的一个可一对多控制的网络
攻击者——>跳板——> 一对多
1.2 ddos
使很多的计算机在同一时间遭受到攻击,使攻击的目标无法正常使用
多对一/多对多
1.3 病毒
病毒会访问特定的域名
1.4 撞库
已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。
利用了用户在不同网站使用的是相同的帐号密码
{n,s}
1.5 扫描
一对多,流量相似度高
2.正则表达式
使用正则表达式初步处理小部分数据,学习正则表达式的语法。
3.其他
1.甲骨文公司的opensoc,开源,可以关注。大数据安全分析平台,集合了众多优秀的开源架构和软件
2.SIEM(安全信息和事件管理)是一个由不同的监视和分析组件组成的安全和审计系统,商用的已经有很多了
