返回
基于大数据分析的网络攻击检测-奇虎360谭晓生.pdf

基于大数据分析的网络攻击检测-奇虎360谭晓生.pdf

ID:52452364

大小:2.47 MB

页数:49页

时间:2020-03-27

基于大数据分析的网络攻击检测-奇虎360谭晓生.pdf_第1页
基于大数据分析的网络攻击检测-奇虎360谭晓生.pdf_第2页
基于大数据分析的网络攻击检测-奇虎360谭晓生.pdf_第3页
基于大数据分析的网络攻击检测-奇虎360谭晓生.pdf_第4页
基于大数据分析的网络攻击检测-奇虎360谭晓生.pdf_第5页
资源描述:

《基于大数据分析的网络攻击检测-奇虎360谭晓生.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、基于大数据分析的网络攻击检测土人谭晓生2013年10月24日目录01网络安全挑战02基于大数据的网络攻击检测实践CONTENTS03大数据基础设施实践目录频频发生的安全事件•2013年10月,慧达驿站软件漏洞导致连锁酒店数据库拖库事件:2000万条开房记录泄露•2013年7月,JavaStruts2报高危漏洞,传某著名电商被拖库,超过5亿用户信息被盗•2013年3月20日,韩国3.2万台终端MBR被删除,3家电视台、2家银行系统瘫痪•2012年7月,雅虎服务器被黑45.3万份用户信息遭泄露•2012年6月,LinkedIn证实部分用户密码遭泄露需重置密码•2012年4月

2、,VMware确认源代码被窃•2012年4月,DNSChanger肆虐全球400万台电脑被感染•2012年1月,赛门铁克公告证实两款企业级产品源代码被盗•2012年1月,美国电子商务网站Zappos遭黑2400万用户信息被窃•2011年12月,CSDN用户信息泄漏,多个网站遭遇类似情况•2011年9月,日本三菱旗下军工企业遭黑客入侵•2011年4月,索尼PSN平台7700万用户数据泄漏•2010年,伊朗核电站遭受震网病毒攻击,伊朗核计划被延迟3年重要假设如何发现有漏找出哪些漏洞洞被利用/攻还没有修补,击行为检测?进行修补系统有系统有已发现的未发现的漏洞漏洞未修补如何发现

3、员如何发现系系统工的异常行统已经被渗员工为?透了?已经不可靠如何检测/拦清理截来自内网如何重现攻被渗透的攻击?击过程?如何溯源?目录01网络安全挑战02基于大数据的网络攻击检测实践CONTENTS03大数据基础设施实践目录一些数字•100GB•50TB•10S•4000亿Whatwillbetalked?•Web异常行为分类•一丁点http•web访问数字化•异常行为的识别Web异常行为分类•连接型攻击,比如扫描,cc攻击等•机器抓取,爬虫bot等•Web攻击常见的web攻击•XSS攻击•SQL注入攻击•文件包含攻击•Webshell访问•敏感信息探测一丁点http•H

4、ttp首部:–方法–协议–域名–请求URI–状态码–其他一丁点http•方法:–HEAD–PUT–GET–POST–TRACE–…一丁点http•状态码:–1XX信息–2XX成功–3XX重定向–4XX客户端错误–5XX服务器错误URI/read.php?page=1&tid=232&action=top&pro=0a212Path分隔符参数名参数值Web日志219.73.81.109--[06/Jul/2013:00:00:04+0800]"GET/favicon.icoHTTP/1.1"2001537"-""Mozilla/4.0(compatible;MSIE8.0

5、;WindowsNT5.1;Trident/4.0;.NETCLR2.0.50727;.NETCLR3.0.4506.2152;.NETCLR3.5.30729;360SE)”211.3.2.3IP--[time]methoduriprotrolretcodelenrefuser-agent"domainx-forward-ip上网行为记录Web访问数字化•访问源ip,domain,uri•合并访问到session•计算session里的访问特征1.访问次数2.访问深度3.访问宽度4.Agent个数5.Get文件访问比例6.静态文件访问比7.非200请求比访问次数•同一

6、个session内对相同域名的请求次数访问深度•URIPATH里“/”的数量•大部分访问深度都不会很深访问宽度宽度=2URI:•/a/b•/a/cabc静态文件访问比•Jpg•js•css•gif•bmp•ico•Tif•…etc非200访问请求比•大部分网站请求返回应该都是正常的•非200访问说明存在问题Scan扫描行为深度宽度静态文件比非2XX爬虫行为深度宽度静态文件比非2XX攻击行为URI:/pf/go.php?a=/go.php/component/1&e•不同域名下出现同一lements[tips]=%3C%21--URI次数%20php%20--%3E%3C

7、%21--%20print(md5(base64_decode(MzYwd2Vic2Nhbg)))%3B%20--%3E%3C%21--%20%2Fphp%20--•相同域名下不同URI出%3E现的相同value次数•相同域名下相同URI不同参数下出现相同值次数攻击特征识别攻击模式的识别访问行为分析网络流查询机器识别异常网络行为机器识别异常网络行为攻击位置与频度的展示机器识别异常网络行为机器分类学习•海量数据处理•分布式并行计算•半监督学习,SVM,决策树,神经网络目录01网络安全挑战02基于大数据的网络攻击检测实践CONTENTS03大

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。