海量运维日志异常挖掘.pdf

Gdevops 全球敏捷运维峰会 海量运维日志异常挖掘 知道创宇高级安全研究员 G 全球敏捷运维峰会成都站 邓金城 目录 1 概述 2 异常类型 3 异常挖掘方法 4 我们的工作 G 全球敏捷运维峰会成都站 2 1 什么是海量运维日 志异常挖掘？ G 全球敏捷运维峰会成都站 3 什么是海量运维web 日志异常挖掘 1 对象：海量运维日志 几百GB ，甚至TB级 数据异构 2 数据稀疏 目标：有安全价值的异常信息 数据噪音 敏感数据泄露，网络资产暴 半结构化 3 露，应用漏洞，0day攻击， 挖掘方法 业务安全等等 统计分析 关联分析 4 机器学习 重要性 发现企业信息安全短板 安全预警不应急处理起点 理直气壮的甩锅 G 全球敏捷运维峰会成都站 4 2 常见的异常类型有 哪些？ G 全球敏捷运维峰会成都站 5 异常类型1-单点异常 单点异常 单独的数据实例是异常的 一个部署在内网的kibana，出现一条外网访问日志 G 全球敏捷运维峰会成都站 异常类型2-上下文异常 上下文异常 • 在一个上下文中单独的戒连续几个 数据实例是异常的 • 需要一个上下文的概念 账号系统里面的平权访问 G 全球敏捷运维峰会成都站