本文是Chinavis2018挑战赛的获奖论文节选,主要探讨了如何利用可视分析方法找出网络异常事件。作者通过流量分析界面和异常威胁界面,揭示了员工离职意向、潜在的数据泄露行为,以及不寻常的系统登录模式等威胁情报。例如,1487号员工试图盗取他人账号,并在离职前泄露公司机密信息。此外,还关注了其他异常活动,如root账号登录次数减少和大文件上传到github的行为。
接着上篇,接下来是问题三:
挑战 1.3:找出至少 5 个异常事件,并分析这些事件之间可能存在的关联,总结你认为有价值的威胁情报,并简要说明你是如何利用可视分析方法找到这些威胁情报的。
(1)解决方案
1.“流量分析”界面
“流量分析”界面主要用于分析 tcp 流量中出现的异常,分为左、中、右三部分。
中间在题二旭日图的基础上增加气泡图,以便显示在 login 中 id:ip 的 1:N 关系。
右边是 tcp 流量分析热力图。包含源 ip 和目的 ip 选项卡,选项卡内可选择“上传流量”、“下载流量”、 “上传流量最大值”、“下载流量最大值”,用于控制下面热力图最值范围。同时热力图包含 ip、day、all 三种 模式,用于切换视图节点热度度量方式:ip 模式下对单个 ip 数值大小进行比较,day 模式下比较同一天的 数值,all 模式下对全局所有值进行比较。可用于显示某个ip在某天的上下传流量大小。
左边是平行坐标图,有 dip、sip、day、hour 几个维度的轴。当用户点击中间视图的节点,显示 login 中的连接变化,当用户点击右边视图的节点,显示 tcpLog 中的连接变化。 可用于检测某一日各个时间段内tcp连接情况。
2.“异常威胁”界面介绍
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
