用OSSIM可视化显示SSH异常行为

当遇到SSH异常行为时我们通常选择到日志服务器上被动查看和分析日志,这样往往无法实时发现可疑IP的异常行为,下面通过OSSIM平台大数据分析智能筛选出疑似Attack行为。

场景再现:
小张最近在使用某云服务器的过程中,被比特币Hacker光顾了服务器....,损失惨重。在备份好重要资料之后,重新安装了系统,没过多久服务器又挂了。
在随后的调查中,小张在服务器中发现了一些蛛丝马迹,auth.log文件有很多不明IP通过22端口尝试以ssh用户名密码的方式登录服务器....
#grep "Failed password " /var/log/auth.log | awk ‘{print $11}‘ | sort | uniq -c | sort -nr | more
2990 Failed
2208 222.186.50.190
654 94.102.3.151
303 106.186.21.162
299 115.239.248.90
... ... ...
... ... ...
通过日志分析很有可能SSH A t t a c k 。有什么办法能第一时间发现此类问题呢?
下面我们通过OSSIM报警平台实时观察到网络异常行为报警。

图1 网络异常行为可视化

点击气泡图中某天的一条报警聚合信息

图2 事件聚合

查看详细事件

图3 详细日志

查看疑似异常行为主机的网络信息以及IP地理位置信息

图4 IP定位


图5 关联分析所得到的Alarm

每一条Alarm中系统提供了此事件的知识库

图6 KDB 信息描述

关注OSSIM公众号可观看视频讲解

原文地址:https://blog.51cto.com/chenguang/2457339

时间: 2024-08-26 00:31:41

用OSSIM可视化显示SSH异常行为的相关文章

显示网络异常怎么办?

有时登录显示网络异常怎么办? 这个时候不要急,也不要慌! 等一会就好了,千万不要听小道消息乱操作! 正确的方法是,多点几下登录,有可能就上去了. 点了5下还是上不去,等2分钟再点!

GeoHash原理和可视化显示

最近在做附近定位功能的产品,geohash是一个非常不错的实现方式.查询资料,发现阿里的这篇文章讲解的很好.但文中并没有给出geohash显示的工具.无奈,也没有查到类似的.只好自己简单显示一下,方便自己理解. 项目地址:  https://github.com/Ryan-Miao/geohash-visualization geohash可视化显示 经纬度获取9宫格覆盖: https://ryan-miao.github.io/geohash-visualization/index.html

MBProgressHUD 显示方向异常

一直在iphone上使用MBProgressHUD做提示信息视图,一直都没有什么问题,但用在ipad上使用时,却有时会出现显示方向不正常,如ipad屏幕是横的,但当MBProgressHUD出现时却按照竖屏的方向进行显示,一直不解,仔细看了出现的情况,发现有2种情况会出现方向异常:1.用 presentViewController 出来的控制器,且方向固定,方向与设备方向不一致.2.当UIAlerView和MBProgressHUD一起出现的时候. 我们初始化MBProgressHUD时可能会用

iOS 地图线路动态可视化显示

之前有碰到过这样的问题,就是画出两点之间的距离,然后将线路显示在可视化的范围内,下面是一些主要代码: #pragma mark - 驾车线路检索 - (void)onGetDrivingRouteResult:(BMKRouteSearch*)searcher result:(BMKDrivingRouteResult*)result errorCode:(BMKSearchErrorCode)error { if (error == BMK_SEARCH_NO_ERROR) { //在此处理正

Jenkins Publish over SSH 异常:Connection reset by peer: socket write error

Jekins持续集成: 服务器时windows服务器: windows安装openssh服务: 安装包:https://github.com/PowerShell/Win32-OpenSSH/releases 开箱即用:步骤1 文件解压至C:\Program Files\OpenSSH 2 控制台cd至目录 3 执行powershell.exe -ExecutionPolicy Bypass -File install-sshd.ps1 启动服务ssh; 踩坑的地方:当时没有把文件放到C:\Pr

viewPager使用时加载数据时显示IllegalStateException异常,解决不了。。。。

从newsPager中得到newsDetailTitles标题的详细内容,这是通过构造器传过来的.打印日志78行能打印,45行打印出来共size是12.但是程序出现了异常java.lang.IllegalStateException: The application's PagerAdapter changed the adapter's contents without calling PagerAdapter#notifyDataSetChanged. 从网上查询的结果是adapter中的数

JAVA中FileReader类读取文件显示FileNotFoundException 异常的解决办法

最近在看一个生信JAVA小软件的源码,然后试着自己写一下,但是在读取文件的时候发现一直出现"找不到文件"的异常,检查了各种环境变量和目录,最后终于找到了问题所在.下面的具体的错误情况: import java.io.FileReader; public class Test{ public static void main(String[] args) { FileReader a = new FileReader("a.txt"); System.out.prin

【SSH异常系列】The Struts dispatcher cannot be found.

最近在SSH中使用ONGL表达式的时候一直报错,其根本的错误是:The Struts dispatcher cannot be found. 最后的解决方法是 将struts.xml中配置的过滤器类型改为 /* 用ONGL表达式的时候必须要使用/*. 版权声明:本文为博主原创文章,未经博主允许不得转载.

Qt 学习之路 :可视化显示数据库数据

前面我们用了两个章节介绍了 Qt 提供的两种操作数据库的方法.显然,使用QSqlQuery的方式更灵活,功能更强大,而使用QSqlTableModel则更简单,更方便与 model/view 结合使用(数据库应用很大一部分就是以表格形式显示出来,这正是 model/view 的强项).本章我们简单介绍使用QSqlTableModel显示数据的方法.当然,我们也可以选择使用QSqlQuery获取数据,然后交给 view 显示,而这需要自己给 model 提供数据.鉴于我们前面已经详细介绍过如何使用