基于大数据的攻击行为关联分析.pdf
攻击万花筒 从大数据里挖掘攻击背后的故事 About Me 董方 (Vin Dong) 日志宝创始人(www.rizhibao.com) http:/weibo.com/vindong xy780sec.com Design PHP Lua PM Data Visualization Company Logo 提纲 360网站卫士数据概况 360网站卫士数据平台 360网站卫士数据可视化 攻击案例分析 尾声 Q&A 数据之美 Tatiana Plakhova http:/www.complexitygraphics.com http:/www.blurb.com/books/4363577- biosphere 360网站卫士数据概况 16.85 TB 360网站卫士数据概况 81.24 GB 360网站卫士数据概况 3,100,000,000 Request 360网站卫士数据概况 300,000 Web Vul Attack 360网站卫士数据概况 68,000,000 CC Attack 360网站卫士数据平台 1、实时数据分析平台 Scribe+Storm+Inotify+Rsync 2、离线数据分析平台 Scribe+Hadoop+M/R 360网站卫士数据平台 数据导入 数据拆分 DB Task1 Task2 Task3 Task4 Task5 分布式处理 持久化数据同步 线上流量实时采集 分析结果入 库 异常数据恢复 Scribe+Storm+Inotify+Rsync http:/storm-project.net 实时数据分析平台 360网站卫士数据平台 4台Storm服务器:CPU24核,64G内存,2T硬盘 4个spolt,16个bolt Attack.log Attack module Storm Cache hit Routine CC 360网站卫士数据平台 360网站卫士数据平台 Scribe+Hadoop https:/github.com/facebook/scribe http:/hadoop.apache.org/ 360网站卫士数据平台 360网站卫士数据平台 360网站卫士数据可视化 360网站卫士数据可视化 每天拦截 50,000+ 攻击IP 360网站卫士数据可视化 2013/6/12013/6/82013/6/152013/6/222013/6/292013/7/62013/7/132013/7/202013/7/272013/8/32013/8/102013/8/17 近3月Web漏洞攻击趋势 攻击不是没有发生,只是你不知道 攻击案例分析 http:/struts.apache.org/release/2.3.x/docs/s2-016.html http:/struts.apache.org/release/2.3.x/docs/s2-017.html 2013年7月17日 暴风雨前夕 攻击案例分析 2013-07-17 00:00:00 至 2013-08-17 59:59:59 拦截2,689,287 次Struts2漏洞攻击 共1,897个网站被攻击 最多一个网站遭受51,939次攻击 攻击案例分析 Apache Struts2漏洞攻击走势 60 228 11947 46869 31816 30636 19283 15236 12071 12556 82896 25730 96587 45282 13203 83070 691933 450344 105623 13053 2622 1527 5632 731 113294 285472 260108 231478 2013/7/17 2013/7/18 2013/7/19 2013/7/20 2013/7/21 2013/7/22 2013/7/23 2013/7/24 2013/7/25 2013/7/26 2013/7/27 2013/7/28 2013/7/29 2013/7/30 2013/7/31 2013/8/1 2013/8/2 2013/8/3 2013/8/4 2013/8/5 2013/8/6 2013/8/7 2013/8/8 2013/8/9 2013/8/10 2013/8/11 2013/8/12 2013/8/13 2013/8/14 2013/8/15 2013/8/16 2013/8/17 攻击案例分析 让攻击开花 “工头”VS “散户” 规律? Apache Struts2 Attackflower 攻击案例分析 抓大放小 攻击案例分析 继续抓大放小 攻击案例分析 “工头”VS“散户”攻击方式 对比 攻击案例分析 很多熟悉的攻击参数 攻击案例分析 先来聊聊工头们 struts&(a)('u0023_memberAccess.allowStaticMethodAccessu003dtrue')(z)&(b)(' u0023context'xwork.MethodAccessor.denyMethodExecution'u003dfalse')(z)&( c)('u0023_memberAccess.excludePropertiesu003d')(z)&(d)('u0023a_stru003 d'814F60BD-F6DF-4227-'')(z)&(e)('u0023b_stru003d'86F5- 8D9FBF26A2EB'')(z)&(n)('u0023a_respu003dorg.apache.struts2.ServletAction ContextgetResponse()')(z)&(o)('u0023a_resp.getWriter().println(u0023a_stru0 02Bu0023b_str)')(z)&(p)('u0023a_resp.getWriter().flush()')(z)&(q)('u0023a_res p.getWriter().close()')(z) redirect%3A%24%7B%23a_str%3Dnew%20java.lang.String%28%27814F60BD-F6DF- 4227-%27%29%2C%23b_str%3Dnew%20java.lang.String%28%2786F5- 8D9FBF26A2EB%27%29%2C%23a_resp%3D%23context.get%28%27com.opensymphony. xwork2.dispatcher.HttpServletResponse%27%29%2C%23a_resp.getWriter%28%29.printl n%28%23a_str.concat%28%23b_str%29%29%2C%23a_resp.getWriter%28%29.flush%28 %29%2C%23a_resp.getWriter%28%29.close%28%29%7D 攻击案例分析 220.181.165.133 *.com.cn /ligou/gbm.asp SQL Injection attack id=1218143B52%bf%20or%2011=11%20-%20 referrer “http:/*.com.cn/ligou/gbm.asp?id=1218143Binf-ssl-duty-scan ” User-agent&Referrer : inf-ssl-duty-scan 攻击案例分析 散户那点儿事儿 攻击案例分析 攻击案例分析 攻击案例分析 攻击案例分析 被攻击网站分类 攻击案例分析 攻击案例分析 攻击案例分析 Community Vendor Product & Security Hacker Whitehat Scriptkidz Exp Poc 漏洞传播辐射 攻击案例分析 漏洞发 现 公开研究 公开利用 安全厂商有责任和义务对用户进行持续、及时的漏洞预警! 一天足矣 利用期3至6个月 最多长达数年 漏洞利用阶段 尾声 Q&A 360网站卫士 http:/wangzhan.360.cn Q&A 网站加速、防黑客、防CC、防DDOS 网站快到这里来!