如何自行搭建一个威胁感知大脑 SIEM？| 硬创公开课(2)

ElasticSearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎，基于RESTful web接口。Elasticsearch是用Java开发的，并作为Apache许可条款下的开放源码发布，是当前流行的企业级搜索引擎。设计用于云计算中，能够达到实时搜索，稳定，可靠，快速，安装使用方便。

生产环境中，处理安全事件，分析入侵行为，我们需要尽可能多的搜集数据源，以下作为参考：

• linux/window系统安全日志/操作日志
• web服务器访问日志
• 数据库SQL日志
• 网络流量日志

常见的数据日志搜集方式有三种：

大多数数据库审计产品都支持这种模式，通过分析数据库流量，解码数据库协议，识别SQL预计，抽取出SQL日志

比较典型的就是db-proxy方式，目前百度、搜狐、美团、京东等都有相关开源产品，前端通过db-proxy访问后端的真实数据库服务器。SQL日志可以直接在db-proxy上搜集。

通过在数据库服务器安装客户端搜集SQL日志，比较典型的方式就是通过logstash来搜集，本文以客户端方式进行讲解，其余方式本质上也是类似的。

下载logstash https://www.elastic.co/downloads/logstash 目前最新版本5.2.1版

命令：bin/logstash -f mysql.conf

分析攻击特征，下列列举两个，更多攻击特征请大家自行总结：

使用联合查询枚举数据时会产生大量的NULL字段。

枚举数据库结构时会使用INFORMATION_SCHEMA，另外个别扫描器会使用GROUP BY x)a)

• 生产环境中的规则会比这复杂很多，需要你不断补充，这里只是举例
• 单纯只编写map会有大量的重复报警，需要开发reduce用于聚合
• 应急响应时需要知道SQL注入的是那个库，使用的是哪个账户，这个需要在logstash切割字段时补充
• 应急响应时最好可以知道SQL注入对应的链接，这个需要将web的accesslog与SQL日志关联分析，比较成熟的方案是基于机器学习，学习出基于时间的关联矩阵
• 客户端直接搜集SQL数据要求mysql也开启查询日志，这个对服务器性能有较大影响，我知道的大型公司以db-prxoy方式接入为主，建议可以在db-proxy上搜集。
• 基于规则识别SQL注入存在瓶颈，虽然相对web日志层面以及流量层面有一定进步，SQL语义成为必然之路。

这里介绍如何用图算法是被webshell。

webshell特征其实很多，从统计学角度讲，有如下特点：

• 入度出度均为0
• 入度出度均为1且自己指向自己

（编辑：ASP站长网）