用OSSIM可视化显示SSH异常行为

最新推荐文章于 2024-07-24 16:56:04 发布
最新推荐文章于 2024-07-24 16:56:04 发布
阅读量329 收藏
点赞数
分类专栏: 网络安全 文章标签: SSH
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lcgweb/article/details/103478260
版权

当遇到SSH异常行为时我们通常选择到日志服务器上被动查看和分析日志,这样往往无法实时发现可疑IP的异常行为,下面通过OSSIM平台大数据分析智能筛选出疑似Attack行为。

场景再现:


小张最近在使用某云服务器的过程中,被比特币Hacker光顾了服务器....,损失惨重。在备份好重要资料之后,重新安装了系统,没过多久服务器又挂了。


在随后的调查中,小张在服务器中发现了一些蛛丝马迹,auth.log文件有很多不明IP通过22端口尝试以ssh用户名密码的方式登录服务器....

在SHELL中输入以下命令
#grep "Failed password " /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more
2990 Failed
2208 222.186.50.190
654 94.102.3.151
303 106.186.21.162
299 115.239.248.90
... ... ...
... ... ...
通过日志分析很有可能SSH A t t a c k 。有什么办法能第一时间发现此类问题呢?
下面我们通过OSSIM报警平台实时观察到网络异常行为报警。


用OSSIM可视化显示SSH异常行为
图1 网络异常行为可视化

点击气泡图中某天的一条报警聚合信息
用OSSIM可视化显示SSH异常行为
图2 事件聚合

查看详细事件
用OSSIM可视化显示SSH异常行为
图3 详细日志

查看疑似异常行为主机的网络信息以及IP地理位置信息
用OSSIM可视化显示SSH异常行为
图4 IP定位

用OSSIM可视化显示SSH异常行为
图5 关联分析所得到的Alarm

每一条Alarm中系统提供了此事件的知识库
用OSSIM可视化显示SSH异常行为
图6 KDB 信息描述

用OSSIM可视化显示SSH异常行为

用OSSIM可视化显示SSH异常行为

关注OSSIM公众号可观看视频讲解
用OSSIM可视化显示SSH异常行为

网络安全方向相关课题和材料
AI拉呱,专注于人工智与网络安全方面的研究,关注一起学习。
10-30 1513
搜集大量网络安全行业开源项目一个是关注互联网企业/团队的安全开源项目,经企业内部实践,这些最佳实践值得借鉴。一个是来自企业安全能力建设的需求,根据需求分类,如WAF、HIDS、Git监控等。这个收集是一个长期的过程,我在GitHub创建了这个项目,专门用来收集一些优秀的甲方安全项目。还有很多很好的免费开源项目可供选择,下面列出的还只是其中很少的一部分,我将持续更新这个项目,欢迎Star。
ossim
security_yj的博客
09-07 778
AlienVault® OSSIM™, Open Source Security Information and Event Management (SIEM), provides you with a feature-rich open source SIEM complete with event collection, normalization and correlation.
OSSIM介绍
热门推荐
Alan Zhuang的博客
02-01 1万+
(一)OSSIM 介绍:     OSSIM (OPEN Source Sevurity Informatiion System):开源安全信息管理系统,由美国的Alien Vault公司开发,是目前一个非常流行和完整的开源安全架构体系。Ossim通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台,能够实现收集分类日志,识别并解决重大安全事件(优先级,标识出有问题的日
OSSIM Alarm 控制台讲解
Alan Zhuang的博客
01-04 1328
(一)Alarm控制台,在Syslog的日志级别中,有一种叫做Alert(警报)的日志,出现Alert意味着马上采取行动的事件。     Alert是可视化网络攻击报警Alarm分析。图形化Alarm报警由关联指令经关联分析(交叉关联,序列关联)引擎生成,根据来源于Snort以及OSSEC等数据源进行报警。    (二)Alarm生成步骤: (1)       日志收集到OSSIM
VMware下OSSIM 5.2.0的下载、安装和初步使用(图文详解)
weixin_33768481的博客
01-29 890
  入门阶段不建议选用最新的版本。 采用OSSIM 4.11 到 OSSIM5.0.3 之间任何版本做实验,sensor的状态都会是“V”。   建议,入门,采用OSSIM5.0.0   下载: 链接:https://pan.baidu.com/s/1eSsVXvG 密码:ukyk   疑问:那我现在入门若安装OSSIM5...
OSSIM安装使用教程(OSSIM-5.6.5)
ITSM/ITIL/网络安全/IT运维
11-05 2800
一、说明 1.1 相关概念说明 SEM,security event management,安全事件管理,指对事件进行实时监控,收集信息差展生通知和告警的行为。 SIM,security information management,安全信息管理,指对SEM收集和产生的数据进行长期保存以供历史和趋势分析的行为。 SIEM,security information and event management,安全信息和事件管理,即SEM和SIM的结合体。 SOC,security operati...
Ossim主要功能实战
ITSM/ITIL/网络安全/IT运维
11-09 779
OSSIM通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台将Nagiso,Ntop,Snort,Nmap等开源工具集成在一起提供综合的安全保护功能,而不必在各个系统中来回切换比较麻烦,而且统一了数据存储,人们能得到一站式的服务,这就是OSSIM给我们带来的好处。当Ossim系统安装完毕后,我们在输入Web地即可打开主界面,下面的例子我们暂用ossiim3.x为平台讲解,看看它给我们提供了那些实用的功能。 一、安装 安装Ossim和普通Linux发行版没有什么区别,在企业环境部署的时候.
手动打造Snort+barnyard2+BASE可视化报警平台
binyanang3804的博客
08-29 1648
背景 大家在安装基于Snort NIDS系统, 感觉很难,总是出错,其他安装Snort并不难,难的是准备工作做得不充分,如果你做的不好,在配置可视化报警时会遇到各种问题,例如: 为什么Snort编译总报错? 为什么启动Snort后会立刻退出? Snort不报警怎么办? MySQL数据库里无法存储Snort报警怎么办? 浏览器打开ACID,里面一片空白怎么办?看着别人安装成功了,我却怎么也装不上?...
《开源安全运维平台OSSIM最佳实践》实验环境下载
weixin_34161032的博客
07-28 868
《开源安全运维平台OSSIM最佳实践》实验环境下载  由清华大学出版社首发、当当、京东自营店、天猫、亚马逊均有销售。                                          OSSIM开源安全交流QQ群: 179084574       经多年潜心研究开源技术,历时三年创作的《开源安全运维平台OSSIM最佳实践》一书已出版。该书用100多万字记录了,作者10多年的IT行业...
教你分析针对SSH服务的暴力破解日志
weixin_34383618的博客
04-06 220
    你所看到的SSH日志,显示出时间、IP、端口,一条重复着一条,总是那么单调,仅凭日志展现的这些信息,远不能判定故障真想,怎么办?下面这段视频可以让大家了解OSSIM展示SSH***的可视化功能:http://www.tudou.com/programs/view/uP0V9fQlzuo ...
OSSIM 安全信息管理系统
ITSM/ITIL/网络安全/IT运维
10-09 308
管理和监控安全相关 OSSIM即开源安全信息管理系统(OPEN SOURCE SECURITY INFORMATION MANAGEMENT)是目前一个非常流行和完整的开源安全架构体系。OSSIM通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台。 它的目的是提供一种集中式、有组织的,能够更好地进行监测和显示的框架式系统。 OSSIM明确定位为一个集成解决方案,其目标并不是要开发一个新的功能,而是利用丰富的、强大的各种程序(包括Snort、Rrd、Nmap、 Nessu...
使用用户行为实体分析和数据可视化的异常检测
一智哇的博客
11-13 2342
Anomaly Detection using User Entity Behavior Analytics and Data Vsualization 使用用户行为实体分析和数据可视化的异常检测 1.背景
开源摄影测量与遥感处理软件OSSIM简介
weixin_34310785的博客
10-18 656
OSSIM简介 收藏自LiangXu Wang的博客 http://wlx.westgis.ac.cn/311/ 前一段作遥感影像几何经纠正的模块,尝试过多种实现途径,最终放弃自己写多项式以及重采样而用了GDAL库做了。这几天听同学说起OSSIM,相见恨晚了。找到这个中文的介绍转贴过来备用。没有深入研究,粗粗的感觉就是其强大相当于GRASS在开源矢量GIS中的地位吧。 什么是O...
OSSIM服务器内存开销问题
weixin_34066347的博客
06-11 127
 谈OSSIM服务器内存开销问题 OSSIM经历十多年发展,目前已经成为最优秀的开源安全事件信息管理平台,它在我国的应用才刚刚起步。多年前,在国外考查时我意外发现了这款优秀的软件系统,并不断改进之后开始在国内开始推广应用OSSIM,在我撰写的《Unix/Linux网络日志与流量监控》一书中花费30%的笔墨,讲述了OSSIM部署及应用技巧。但初学者往往多这种系统的硬件要求之高并不理解,本文就谈谈到底...
开源安全信息和事件管理(SIEM)平台OSSIM
最新发布
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
07-24 1105
OSSIM,开源安全信息和事件管理(SIEM)产品,提供了经过验证的核心SIEM功能,包括事件收集、标准化和关联。OSSIM作为一个开源平台,具有灵活性和可定制性高的优点,允许用户根据自己的特定需求进行配置和扩展。它能够从各种来源收集安全事件,并通过标准化的过程使这些事件变得易于理解和分析。此外,OSSIM还能够自动关联这些事件,帮助安全团队识别潜在的安全威胁和攻击模式。更多OSSIM相关的信息可以参考官方网站。
OSSIM5.8.11学习&测试
网安小白的博客
04-22 1620
OSSIM5.8.11学习及功能测试~
OSSIM开源安全信息管理系统(十六)
m0_47470899的博客
12-21 330
2021SC@SDUSC 本周继续对OSSIM系统中,关联分析部分进行源码分析。 关联分析部分源码目录:\ossim\alienvault-ossim\src\alienvault-ossim\os-sim\src gboolean sim_directive_backlog_match_by_not (SimDirective *directive): 该函数的主要功能是检查指令中的所有节点规则 gboolean sim_directive_backlog_match_by_not (SimDir
OSSIM开源安全信息管理系统(十七)
m0_47470899的博客
12-22 843
2021SC@SDUSC 七、Agent部分源代码分析 1、Agent 简介 OSSIM Agent中所有脚本采用 Python 编写,负责从安全设备采集相关信息(比如报警日志等),并将采集到的各类信息统一格式,最后将这些数据传至 Server。从采集方式上看,Agent 属于主动采集,可以形象理解为由OSSIM Server 安插在各个监控网段的“耳目”,由它们收集数据,并主动推送到 Collector 中,然后 Collector 又连接着消息队列系统、缓存系统及存储系统。 Agent 相关目录在
OSSIM开源安全信息管理系统(一)
m0_47470899的博客
09-27 4988
2021SC@SDUSC 一、OSSIM简介 OSSIM即开源安全信息管理系统(OPEN SOURCE SECURITY INFORMATION MANAGEMENT),由美国的Alien Vault公司开发,是一个非常流行和完整的开源安全架构体系。OSSIM通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台。 它的目的是提供一种集中式、有组织的、能够更好地进行监测和显示的框架式系统。 OSSIM定位于一个集成解决方案,其目标并不是要开发一个新的系统,而是利用丰富的,强大的各种程序,包括:
OSSIM开源安全管理系统详解与实践
OSSIM是一个由Alienvault开发的成熟、稳定的安全系统,以资产为核心,集成开源安全工具,提供可视化管理界面,支持关联分析,部署快速且成本低。它提供了资产管理、漏洞扫描、入侵检测和日志分析等功能,有助于提升...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值