如何使用ELK进行主机黑客攻击企图的检测 (如何使用ENDNOTE进行个人参考文献管理)

审校 | 重楼

IDC.NET读者成长计划社群招募，咨询小助手（微信号：TTalkxiaozhuli）

使用ELK检测主机黑客攻击企图是增强企业安全态势的一种有效方法。ELK提供了日志收集、解析、存储、分析和警报功能的强大组合，使企业能够实时检测和响应主机黑客攻击企图。

1、什么是SIEM？

安全信息和事件管理（SIEM）是一个软件解决方案，可以实时分析由网络硬件和应用程序产生的安全警报。SIEM从网络设备、 服务器 和应用程序等多个来源收集日志数据，然后对这些数据进行关联和分析，以识别安全威胁。

SIEM通过提供跨整个IT基础设施的安全事件的集中视图，可以帮助企业改进其安全态势。它允许安全分析人员快速识别和响应安全事件，并为合规性目的提供详细的报告。

SIEM解决方案的一些关键特性包括：

（1）日志收集和分析。

（2）实时事件关联和警报。

（3）用户和实体行为分析。

（4）威胁情报整合。

（5）合规性报告。

SIEM通常与其他安全解决方案(例如防火墙、入侵检测系统和防病毒软件)一起使用，以提供全面的安全监控和事件响应功能。

2、什么是ELK？

ELK是一组用于日志管理和分析的开源软件工具的缩写：Elasticsearch、Logstash和Kibana。

Elasticsearch是一个分布式搜索和分析引擎，可以快速搜索，高效存储大量数据。它可以进行扩展，能够实时处理大量查询和索引操作。

Kibana是一个基于Web的用户界面，允许用户可视化和分析存储在Elasticsearch中的数据。它提供了一系列交互式可视化，例如折线图、柱状图和热图，以及仪表板和警报等功能。

这三个工具一起构成了ELK这个强大的平台，用于管理和分析日志和其他类型的数据，通常称为ELK堆栈或弹性堆栈。ELK堆栈广泛用于IT运营、安全监控和业务分析，以从大量数据中获得见解。

3、将SIEM数据输入ELK

对于希望将SIEM的安全事件管理功能与ELK的日志管理和分析功能结合起来的企业来说，将SIEM数据输入ELK堆栈非常有用。

以下是将SIEM数据输入ELK的高级步骤：

（1）配置SIEM将日志数据发送到Logstash，这是ELK堆栈的一部分。

（2）创建一个Logstash配置文件，定义SIEM数据的输入、筛选器和输出。

（3）启动Logstash并验证它正在正确地接收和处理SIEM数据。

（4）配置Elasticsearch以接收和存储SIEM数据。

（5）创建Kibana可视化和仪表板来显示SIEM数据。

以下是一个Logstash配置文件的例子，它接收来自SIEM的Syslog消息，并将它们发送到Elasticsearch：

input syslog type port filter if typegrok match add_field add_field output elasticsearch hosts index 

一旦Logstash配置并运行，SIEM数据将被输入Elasticsearch，并可以在Kibana中进行可视化和分析。确保适当的安全措施到位以保护SIEM和ELK环境，并监控和警报任何安全事件是很重要的。

4、检测主机黑客攻击

在ELK中使用SIEM检测主机黑客攻击企图涉及监视和分析系统日志和网络流量，以识别可能表明黑客攻击企图的可疑活动。以下是在ELK中使用SIEM设置主机黑客攻击企业检测的一些步骤：

配置主机，将系统日志和网络流量发送到集中的日志收集系统。

设置Logstash来接收和解析来自主机的日志和网络流量数据。

配置Elasticsearch存储解析后的日志数据。

使用Kibana分析日志数据并创建仪表板和警报，以识别潜在的黑客尝试。

以下是一些可用于检测主机黑客企图的特定技术：

通过实现这些技术并定期监控日志和网络流量，企业可以提高他们在ELK中使用SIEM检测和响应主机黑客攻击企图的能力。

5、在ELK中配置警报以检测主机黑客攻击企图

要在ELK中配置警报以检测主机黑客攻击企图，用户可以遵循以下常规步骤：

（1）在Kibana中创建一个搜索查询，过滤主机黑客攻击企图的日志。例如，用户可以使用以下搜索查询来检测失败的登录尝试：

 elasticsearch import Elasticsearch es  Elasticsearchsearch_query  res  esindex bodysearch_queryfor hit  resprinthit

（2）创建搜索查询后，将其保存为Kibana saved search。

（3）进入Kibana Kibana警报和操作界面，创建一个新的警报。选择在第2步中创建的保存的搜索作为警报的基础。

（4）将警报配置为当满足某个阈值时触发。例如，可以将警报配置为在5分钟窗口内有超过5次失败的登录尝试时触发。

（5）配置警报，在触发时发送通知，例如电子邮件或Slack消息。

（6）测试警报，以确保其工作如预期。

一旦配置了警报，它将在检测到主机黑客尝试事件时自动触发，例如登录尝试失败。这可以帮助企业高效地检测和响应安全威胁。定期检查和更新警报以确保它们检测到最相关和最重要的安全事件是很重要的。

结论

使用ELK检测主机黑客企图是增强企业安全态势的一种有效方法。ELK提供了日志收集、解析、存储、分析和警报功能的强大组合，使企业能够实时检测和响应主机黑客攻击企图。

通过监视系统日志和网络流量，并使用高级搜索查询和警报机制，ELK可以帮助企业检测广泛的主机黑客攻击企图，包括失败的登录尝试、可疑的网络流量、文件系统更改和可疑的进程活动。

使用ELK实现健壮的主机黑客攻击企图检测策略需要仔细的规划、配置和测试。比如，使用正确的专业知识和工具，企业可以创建一个全面的安全监控系统，提供对网络的实时可见性，改善事件响应时间，并帮助在安全漏洞发生之前进行预防。

原文链接：

UTM，IDS和防火墙，三者的区别，各有什么优缺点，都用于什么场合？

UTM:根据IDC的定义，UTM是指能够提供广泛的网络保护的设备，它在一个单一的硬件平台下提供了以下的一些技术特征：防火墙、防病毒、入侵检测和防护功能。 IDC的行业分析师们注意到，针对快速增长的混合型攻击（基于互联网的病毒已经开始在应用层发起攻击），需要一种灵活的、整合各种功能的UTM设备来防止这种攻击的快速蔓延。 IDS:IDS是Intrusion Detection System的缩写，即入侵检测系统，主要用于检测Hacker或Cracker通过网络进行的入侵行为。 无须网络流量流经它便可以工作。 IDS的运行方式有两种，一种是在目标主机上运行以监测其本身的通信信息，另一种是在一台单独的机器上运行以监测所有网络设备的通信信息，比如Hub、路由器。 防火墙:一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。 防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。 换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。 具有这样功能的硬件或软件,就是防火墙第一个是技术系统,第二三两个是可以是系统的组成,也可以单毒存在.应用场合:UTM只有大企业才会使用,IDS信息产业相关的中小型企业使用,防火墙几乎每个都会人用.组成属性来分,UTM包括IDS和防火墙等.在网络中,IDS位于防火墙之前.防火墙一般设置在网关,必要时过滤双向数据.

什么是缓冲区啊？

缓冲区溢出好比是将十磅的糖放进一个只能装五磅的容器里……　堆栈溢出（又称缓冲区溢出）攻击是最常用的黑客技术之一。 我们知道，UNIX本身以及其上的许多应用程序都是用C语言编写的，C语言不检查缓冲区的边界。 在某些情况下，如果用户输入的数据长度超过应用程序给定的缓冲区，就会覆盖其他数据区。 这称作“堆栈溢出或缓冲溢出”。 一般情况下，覆盖其他数据区的数据是没有意义的，最多造成应用程序错误。 但是，如果输入的数据是经过“黑客”精心设计的，覆盖堆栈的数据恰恰是黑客的入侵程序代码，黑客就获取了程序的控制权。 如果该程序恰好是以root运行的，黑客就获得了root权限，然后他就可以编译黑客程序、留下入侵后门等，实施进一步地攻击。 按照这种原理进行的黑客入侵就叫做“堆栈溢出攻击”。 为了便于理解，我们不妨打个比方。 缓冲区溢出好比是将十磅的糖放进一个只能装五磅的容器里。 一旦该容器放满了，余下的部分就溢出在柜台和地板上，弄得一团糟。 由于计算机程序的编写者写了一些编码，但是这些编码没有对目的区域或缓冲区——五磅的容器——做适当的检查，看它们是否够大，能否完全装入新的内容——十磅的糖，结果可能造成缓冲区溢出的产生。 如果打算被放进新地方的数据不适合，溢得到处都是，该数据也会制造很多麻烦。 但是，如果缓冲区仅仅溢出，这只是一个问题。 到此时为止，它还没有破坏性。 当糖溢出时，柜台被盖住。 可以把糖擦掉或用吸尘器吸走，还柜台本来面貌。 与之相对的是，当缓冲区溢出时，过剩的信息覆盖的是计算机内存中以前的内容。 除非这些被覆盖的内容被保存或能够恢复，否则就会永远丢失。 在丢失的信息里有能够被程序调用的子程序的列表信息，直到缓冲区溢出发生。 另外，给那些子程序的信息——参数——也丢失了。 这意味着程序不能得到足够的信息从子程序返回，以完成它的任务。 就像一个人步行穿过沙漠。 如果他依赖于他的足迹走回头路，当沙暴来袭抹去了这些痕迹时，他将迷失在沙漠中。 这个问题比程序仅仅迷失方向严重多了。 入侵者用精心编写的入侵代码（一种恶意程序）使缓冲区溢出，然后告诉程序依据预设的方法处理缓冲区，并且执行。 此时的程序已经完全被入侵者操纵了。 入侵者经常改编现有的应用程序运行不同的程序。 例如，一个入侵者能启动一个新的程序，发送秘密文件（支票本记录，口令文件，或财产清单）给入侵者的电子邮件。 这就好像不仅仅是沙暴吹了脚印，而且后来者也会踩出新的脚印，将我们的迷路者领向不同的地方，他自己一无所知的地方。 缓冲区溢出的处理你屋子里的门和窗户越少，入侵者进入的方式就越少……由于缓冲区溢出是一个编程问题，所以只能通过修复被破坏的程序的代码而解决问题。 如果你没有源代码，从上面“堆栈溢出攻击”的原理可以看出，要防止此类攻击，我们可以：1、开放程序时仔细检查溢出情况，不允许数据溢出缓冲区。 由于编程和编程语言的原因，这非常困难，而且不适合大量已经在使用的程序；2、使用检查堆栈溢出的编译器或者在程序中加入某些记号，以便程序运行时确认禁止黑客有意造成的溢出。 问题是无法针对已有程序，对新程序来讲，需要修改编译器；3、经常检查你的操作系统和应用程序提供商的站点，一旦发现他们提供的补丁程序，就马上下载并且应用在系统上，这是最好的方法。 但是系统管理员总要比攻击者慢一步，如果这个有问题的软件是可选的，甚至是临时的，把它从你的系统中删除。 举另外一个例子，你屋子里的门和窗户越少，入侵者进入的方式就越少

什么是DDoS网络流量攻击

比如网站的流量上限是20M，黑客用200台电脑同时去开这个网站造成网站无法服务那么多电脑而瘫痪掉