Datacon 大数据安全分析大赛,溯源分析积分赛第 [email protected]
使用数据处理、可视化分析。通过多维度的数据源体系化的描绘一个攻击者,设计并建立一套分析方法,综合各维度数据对攻击者进行分析,描绘出可能对大会威胁最大的攻击者,并分析攻击者之间是否存在关联关系。
#第一次分析这么庞大的数据量,学习到超级多知识点
文档说明: processAllLog:从开源WAF分割获得核心规则集,与流量日志做匹配,得到每条记录的恶意攻击标签; 不足:规则过于简单化,由于自身不熟悉流量攻击的正则,无法进行适当修改; processAllReLog:按ip统计恶意攻击得分以及恶意标签;
第二题攻击者关联分析: 根据ip各个维度的行为关联,如绑定的域名,投放过的恶意样本,终端指纹mid,解析过的dns;构建力导图发现社群 不足:限于笔者的能力和思维,没有充分利用流量日志,建立时间轴的行为分析,以及通过聚类等机器学习的方法分析各个IP间的相似度, 有兴趣的童鞋可以去看官方writeup,几乎将所有可分析的关联关系都有涉及,扩展了笔者很多思维。
第三题攻击者能力分析: 通过攻击者的网络攻击手法(攻击目标的目的:摧毁主机,注入后门等),攻击目标(攻击域名的行业类别),关联社区的情报分析,三个维度分析攻击者的能力