如果有一条告警流量你会怎么分析,请详细说明?

最新推荐文章于 2024-04-29 11:24:50 发布
最新推荐文章于 2024-04-29 11:24:50 发布
阅读量582 收藏 7
点赞数
文章标签: 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AmeV_ll/article/details/129916021
版权
文章关注于网络安全,通过分析攻击源和目的IP,特别是内网IP,来判断是否遭受恶意攻击。内网沦陷可能由于盗版软件或第三方应用中的木马和病毒。同时,通过检查响应包状态码如200、302、404/403以及数据详情,可以进一步确认攻击情况,甚至通过生成HTML在浏览器中复现问题。
摘要由CSDN通过智能技术生成

先要判断攻击有没有成功,是攻击成功的告警,还是攻击不成功但是真实的攻击,看规则的告警的名称,分析攻击源IP和目的IP,如果攻击源IP是内网的话,则可能为有关键特征的业务系统,被判为恶意攻击内网可能沦陷,已被入侵可能是设备使用盗版软件或者第三方软件中有木马或病毒安全部门在做日常测试。分析响应包的状态码200 302 404/403,看数据包详情,请求包和响应包,通过对响应包的数据进行复制,生成HTML,用浏览器打开

李啊嘿
关注
2023HVV日记(第1-15天)
Nolen_Alice的博客
08-11 5633
记录一下HVV的一些个人收获
论文研究-骨干通信网络流量告警信息关联分析.pdf
07-22
提出一种以骨干通信网络流量特征参数告警信息为基础的关联分析方法,首先提取通信网络中多个与异常事件相关的相对粗粒度的流量特征参数,将这些特征参数看做是随时间变化的信号(以下称为流量特征信号),通过流量特征信号分析获得异常事件的多个告警信息;然后采用Apriori算法进行告警信息关联分析,获得告警信息与异常事件的关联规则。实际网络流量数据的分析表明:使用上述规则能有效地发现骨干通信网异常事件。
告警流量特征分析(护网蓝初面试干货)
Welcome To Myon'Blog !
06-09 6773
一、流量特征 1、SQL注入 2、XSS 3、挖矿行为 二、webshell流量特征 1、中国菜刀 2、蚁剑 3、冰蝎 三、对告警流量分析 1、信息泄露 2、SQL注入 3、文件上传 4、XSS 5、代码执行
基于流量分析IPS告警&误报
LainWith的博客
04-29 3459
目录前言实现逻辑代码设计效果演示一些建议 前言 开发这个工具主要还是工作中碰到了一些问题。 问题描述:收到一些数据,拿过来在IPS设备上测试出现了一些告警。如何判断测试的这些数据中,有哪些数据告警了,又有哪些数据存在误报? 实现逻辑 分析:公司的IPS设备有日志功能,也有取证功能。那么可以利用取证功能来解决问题。(下文中:取证告警的数据是同一个意思;tid号是规则的编号) 工具原理: 首先读取一个取证,然后去遍历测试的所有数据: 如果某个测试的数据的内容,含了取证的内容,就认为测
流量监测分析(一)
胖虎的博客
07-26 701
2、关注攻击源是内部还是外部,如果是外部攻击内部,建议在服务器段查看系统日志,有没有异常登录情况,提醒用户注意密码强度,及时更换密码,如果是内部攻击内部或外部,需要考虑是否有主机感染病毒失陷的情况。常见的告警类型:sql注入、webshell上传、webshell上传访问,跨站脚本攻击,中间件攻击、反序列化漏洞、weblogic反序列化漏洞、java反序列化、框架漏洞、扫描行为、代码执行等等。2、对攻击者的攻击语句进行分析,对告警量最大的sql语句重点关注,可在授权的情况下使用sqlmap对参数进行测试。
基于流量分析安全检测解决方案
securitypaper的博客
10-02 1004
近年来,具备国家和组织背景的 APT攻击日益增多,例如:2010 年攻击伊朗核电站的 “震网病毒”、针对 Google 邮件的“极光攻击”、2013 年韩国金融和电视媒体网络 被大面积入侵而瘫痪等等,2014 年 APT攻击的主要目标行业是金融和政府,分别高达 84% 和 77%。2020 年初,奇安信威胁情报中心发布了《中国高级持续性威胁(APT)2019 年报告》。
监控和告警 | 网站被攻击了?
TCB_CloudBase的博客
05-17 338
前段时间,我的网站疑似被攻击了,今天带大家一起来事故现场看看,并且分享事故分析思路和事后防控手段。 孽起 先看看我是怎么发现网站被攻击的吧。 通常,为了保证线上网站和后台服务的稳定运行,我们需要给项目添加监控告警功能,出现意外情况时,系统第一时间向管理员发送通知。 由于我的项目使用 腾讯云云开发 来部署,默认提供了额度监控和告警,可以防止资源消耗过多,非常方便。 但光有告警还不够,真出了问题,靠什么去分析呢?必须给故障排查提供一些线索。 腾讯云云开发默认为云函数、云托管等提供了监控和日志记录,一行代码都
网络安全日志分析告警处理实战
网络安全日志分析的重要性 网络安全日志分析在当今的信息安全领域中扮演着至关重要的角色。通过对网络系统产生的各种日志进行收集、存储、分析和处理,可以帮助企业及组织及时发现网络威胁和安全事件,更好地保护...
Nmap流量分析和入侵检测绕过
江湖
01-22 3931
最近产品提了个新需求,需要检测端口扫描行为,提到端口扫描必须绕不开端口扫描之王——Nmap。所以除了基于流量五元组统计建立统计模型的检测方案之外,识别Nmap的流量特征就成了关键了。 Nmap是网络安全人员常用的信息收集工具,主要用来探测主机、扫描端口和服务,内置了多种扫描方式。每种方式的工作原理不同,其数据和通讯特征也不尽相同。 端口扫描,通常是指在信息收集阶段利用TCP、UDP等方式,去检测操作系统类型及开放的服务,为进一步的攻击做好准备。通常蠕虫病毒、网络攻击等常见的影响网络安全的行为,都是从扫
秒懂边缘云 | CDN基础入门:CDN监测、计量与告警
Maxineeez的博客
09-05 980
在通过CDN对外提供服务时,您需要关注当前加速域名的流量和带宽、回源流量和回源带宽、请求次数和QPS、命中率情况、HTTP状态码和回源HTTP状态码的情况,帮助您更好地评估CDN的运行状况,并针对业务自身情况设置告警规则,及时发现业务上的突发异常情况。本章节将为您重点介绍「CDN的监控查询及告警」配置的相关功能。
Go日志监控告警:log集成告警机制的5个最佳实践
![Go日志监控告警:log集成告警机制的5个最佳实践]...**Go日志监控告警**作为确保服务质量和快速响应问题的重要
Web安全安全事件的分析思路详解(安全设备)
weixin_44431280的博客
03-18 3285
Web安全安全事件的分析思路详解(安全设备) 分析思路: 一:判断事件真实性和准确性分析 a.判断事件是否是正常业务触发的告警 b.判断事件真实性,是否存在误报(是否存在恶意payload) 二:判断攻击是否成功 借助响应,关联事件,相关话日志(HTTP访问日志和话日志)判断攻击者当次攻击是否成功 三:判断主机是否有异常行为 以被攻击IP为源IP进行事件查询,查看是否存在异常行为或对其他主机的攻击行为 ...
溯源 - 记一次简单安全事件分析之溯源02
战神/calmness的博客
01-29 2527
背景 某公司组织的一次攻防对抗演习,涉及多家安全厂商联合作战。作为某部门的防守队员的他进行了一次次的事件分析,从中分析过来的异常数据信息。 内容 某攻击事件 攻击时间:2021年 l攻击IP:2.1.4.1 l常用攻击手法:暴力破解、Fastjson反序列化漏洞攻击、致远OA漏洞攻击、文件上传、弱口令攻击、Java攻击、伪协议攻击、代码上传攻击 (1)SOC查看: 可以清晰地看到严重等级信息和攻击事件信息; 其中源地址2.1.4.1对目的地址1.3.1.1...
告警分析、应急响应流程
tlucky的博客
04-16 3525
1.威胁情报类告警分析流程 1.确认事件的真实性 2.查询IOC的情报信息——IOC的时效性、相关的情报信息等 3.定位受害ip,确定攻击ip是在内网还是外网 4.排除误报,排除因内部人员操作引起的误报 5.关联分析——定位被扩散的资产,攻击源是否进行了横向渗透,进行了哪些相关的操作,造成了何种后果 6.溯源分析 把时间向前推进5-10分钟,是攻击者首次攻击的时间,分析攻击者是以哪种漏洞进行攻击的,什么方式,何种手段攻击进来的,我们要以何种方式去解决 7.提出处置建议+出报告 2.应急响应流程 应急响应流程
护网|蓝队防猝死手册(新手必知必
MachineGunJoe666
08-04 4875
在HVV期间,蓝队主要就是通过安全设备看告警信息,后续进行分析研判得出结论及处置建议,在此期间要注意以下内容。
网络攻击之-信息泄露流量告警运营分析
村中少年的专栏
12-26 1304
从信息泄露的定义,多个数据示例,suricata规则,告警研判,处置建议等个方面阐述如何通过NDR等流量平台的告警线索,开展安全运营工作,挖掘有意义的安全事件。
zabbix 应用日志监控报警
皓阳当空-博客
08-21 3210
zabbix 应用日志监控报警 zabbix可监控日志文件,比如zabbix-agent日志/var/log/zabbix-agent/zabbix_agentd.log等。当一个日志文件含特定的字符或者字符模式时,zabbix向用户发送报警信息。 新建模板或选择已有模板 我这里选择已有的模板Template OS Linux 新建应用集或选择已有应用集 我这里选择模板Template OS Linux下的已有应用集Filesystems 新建监控项 键值为要监控的日志文件,创建监控项到应用集File
2022护网日记,护网工作内容、护网事件、告警流量分析
君逍遥o
10-31 9853
护网日记,护网工作内容、护网事件、告警流量分析
告警疲劳】海量安全告警数据,如何甄别真实告警
最新发布
yamgyutou的博客
04-29 1228
政企单位也越来越重视自身安全能力的“建设“,为了提升自身「感知攻击威胁」的能力,根据「需求」部署各种各样的安全设备资产在内部。从而导致需要分析处置的告警日志剧增,如果按照中小规模的政企单位来算的话,单日安全设备所产生的告警日志量就有可能达到十几万,遇到特殊时期告警日志量甚至高达百万,而其中真正关键的却可能只有几十条甚至更少。本文从安全研究人员处理海量告警的角度出发,提出了告警优化的方式,目的是减少告警的数量,并且能够让安全研究人员更快的找到有效的告警,减低人工成本并提升发现高级威胁的能力。
"应用动态防护技术-RASP分析告警应对
"QXA椒图流量告警分析.pdf" 是一份关于应用动态防护技术-RASP的报告。RASP(Runtime Application Self-Protection)是一种运行时程序自我保护的技术,它嵌入到运行时环境中,工作于ASP、PHP、Java等脚本语言解释器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李啊嘿

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值