- 1、本文档共24页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
海量运维日志异常挖掘.pdf
Gdevops
全球敏捷运维峰会
海量运维日志异常挖掘
知道创宇高级安全研究员
G 全球敏捷运维峰会成都站 邓金城
目录
1 概述
2 异常类型
3 异常挖掘方法
4 我们的工作
G 全球敏捷运维峰会成都站 2
1 什么是海量运维日
志异常挖掘?
G 全球敏捷运维峰会成都站 3
什么是海量运维web 日志异常挖掘
1
对象:海量运维日志
几百GB ,甚至TB级
数据异构 2
数据稀疏 目标:有安全价值的异常信息
数据噪音
敏感数据泄露,网络资产暴
半结构化
3 露,应用漏洞,0day攻击,
挖掘方法 业务安全等等
统计分析
关联分析 4
机器学习 重要性
发现企业信息安全短板
安全预警不应急处理起点
理直气壮的甩锅
G 全球敏捷运维峰会成都站 4
2 常见的异常类型有
哪些?
G 全球敏捷运维峰会成都站 5
异常类型1-单点异常
单点异常
单独的数据实例是异常的
一个部署在内网的kibana,出现一条外网访问日志
G 全球敏捷运维峰会成都站
异常类型2-上下文异常
上下文异常
• 在一个上下文中单独的戒连续几个
数据实例是异常的
• 需要一个上下文的概念
账号系统里面的平权访问
G 全球敏捷运维峰会成都站
文档评论(0)