使用Machine Learning創建job來判斷是否遭到攻擊

OBT · May 2, 2022, 9:22am

我目前有一個想嘗試的東西是使用filebeat獲得伺服器的log file
再透過machine learing進行判斷並再遭到攻擊時傳送alert來警告
這邊附上我使用Slowloris攻擊Apache的log file

希望在這的大佬能給我一些方向或是幫助
或是有甚麼這方面的教程影片也希望能提供一下感恩

martinliu · May 4, 2022, 2:00pm

建议尝试一下这两个思路：

已知的可知论：从日志中可以看到在 10 分钟内收到了成千上万的攻击性访问，从访问模式上看，假如这就是一个我们需要捕捉的一种威胁信号，对此的威胁狩猎，可以使用 discovery 中的查询功能，统计 4xx 代码在 10 分钟内的数量，如果访问总数大于某个值，就可以认定是一次攻击行为的发生，这个查询可以用 Elastic Security 中的规则自动化动态捕获。也可以用 Kibana 的 Alert 的设置告警规则。
已知的未知论：这个日志在我们的生产环境中还有 n 多个未知的变种，我们怎么设置规则呢？这里机器学习就可以帮到我们了。首先你需要建立几个数据基线让让 Elastic ML 去学习：a）创建 filebeat-* 这个索引整个的机器学习作业，这个在 ML 的控制界面里就有。b）创建针对 apache 返回码数值的特别的 ML job。c）使用以上的情报创建其他可能多指标 ML job 做到更精确的预测。

参考视频：ElasticCC: 如何使用Elastic Stack规划和执行威胁狩猎 - 刘征 - YouTube

OBT · May 4, 2022, 4:31pm

感謝你的回覆
我現在換了個方式去抓取資料，使用的是packetbeat去抓取，不知道能不能使用你所說的那些方法去創建Elastic ML，因為我發現他所抓取到的資料跟我把Log file直接丟入後所產出的資料不太相同

martinliu · May 5, 2022, 2:01am

Packetbeat 的加入了会更好，又多了一种数据源，上面的两个思路是可以适用于任何数据源的。
happy hunting！

OBT · May 5, 2022, 10:20am

但我從Packetbeat所獲得的資料中似乎沒有看到有關server respond的部分，是否Packetbeat並不會抓取這個資料?

martinliu · May 6, 2022, 2:26am

packet 的参考文档见： Capture HTTP traffic | Packetbeat Reference [8.2] | Elastic

In addition, if [ send_response](https://www.elastic.co/guide/en/beats/packetbeat/current/common-protocol-options.html#send-response-option) option is enabled, then the HTTP body is exported together with the HTTP headers underresponseand if [send_request](https://www.elastic.co/guide/en/beats/packetbeat/current/common-protocol-options.html#send-request-option) enabled, thenrequest contains the entire HTTP message including the body.

希望这个对你有所帮助。