如何自行搭建一个威胁感知大脑 SIEM？| 硬创公开课

比较典型的就是db-proxy方式，目前百度、搜狐、美团、京东等都有相关开源产品，前端通过db-proxy访问后端的真实数据库服务器。SQL日志可以直接在db-proxy上搜集。

通过在数据库服务器安装客户端搜集SQL日志，比较典型的方式就是通过logstash来搜集，本文以客户端方式进行讲解，其余方式本质上也是类似的。

下载logstash https://www.elastic.co/downloads/logstash 目前最新版本5.2.1版

命令：bin/logstash -f mysql.conf

分析攻击特征，下列列举两个，更多攻击特征请大家自行总结：

使用联合查询枚举数据时会产生大量的NULL字段。

枚举数据库结构时会使用INFORMATION_SCHEMA，另外个别扫描器会使用GROUP BY x)a)

• 生产环境中的规则会比这复杂很多，需要你不断补充，这里只是举例
• 单纯只编写map会有大量的重复报警，需要开发reduce用于聚合
• 应急响应时需要知道SQL注入的是那个库，使用的是哪个账户，这个需要在logstash切割字段时补充
• 应急响应时最好可以知道SQL注入对应的链接，这个需要将web的accesslog与SQL日志关联分析，比较成熟的方案是基于机器学习，学习出基于时间的关联矩阵
• 客户端直接搜集SQL数据要求mysql也开启查询日志，这个对服务器性能有较大影响，我知道的大型公司以db-prxoy方式接入为主，建议可以在db-proxy上搜集。
• 基于规则识别SQL注入存在瓶颈，虽然相对web日志层面以及流量层面有一定进步，SQL语义成为必然之路。

这里介绍如何用图算法是被webshell。

webshell特征其实很多，从统计学角度讲，有如下特点：

• 入度出度均为0
• 入度出度均为1且自己指向自己

（编辑：西安站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!