Online data security

Abstract

Системы Linux настраиваемое обнаружение угроз на основе поведения пользователя Я думаю об автоматическом анализе собранных логов системы linux, создавая ваше продуманное подозрительное поведение, которое может помочь обнаружить и сообщить о потенциальных угрозах безопасности.

Система Linux имеет свой способ ведения журналов всего, что происходит в системе. Поэтому я пришел к идее определить конкретное поведение пользователя, которое, по моему мнению, может быть подозрительным или представлять угрозу для системы, и написать сценарии, которые будут запущены, чтобы сообщить об этих вещах. Давайте возьмем пример пользователь пробовал так много попыток войти в систему может быть в разные дни и позже я вижу, что пользователь успешен, но после попытки войти в систему по-разному в течение очень короткого времени.

Другой пример поведения: пользователь предпринял несколько попыток входа в систему до тех пор, пока они не увенчались успехом, после успешного входа пользователь устанавливает некоторые пакеты или загружает определенные файлы в систему, а затем система linux инициирует сетевую связь с одним и тем же исходным IP-адресом нескольких попыток входа. Поэтому я включаю скрипт, который может читать журналы и проверять такое поведение. Если он обнаруживает такое поведение то может быть записывает его в определенный файл отчета или базу данных

Таким образом , основная идея заключается в написании сценариев оболочки, которые будут периодически запускаться для чтения различных файлов журнала, выполнения анализа и предоставления отчета о внесенной в журнал информации. Здесь я даже могу решить не писать скрипты, а просто читать лог-файлы, отправлять их в веб-приложение для выполнения анализа и хранить отчет в базе данных для отчетности, и это становится непрерывным периодическим процессом

Поэтому в основном я думаю о подозрительном поведении пользователей и пишу код, который сможет анализировать и обнаруживать это поведение, где я могу определить несколько видов поведения. например, я мог бы сказать, что если пользователь обращается к командной оболочке из всемирно известных черных списков IP-адресов , это высокая вероятность атаки

Linux systems custom threat detection based on user behavior I am thinking about automatic analysis of linux system collected logs, creating your thoughtful suspicious behavior that may help to detect and report potential security threats.

Linux system has a way it keeps logs of everything that happens within the system. So i come up with an idea to define particular user behavior that i think can be suspicious or a threat to the system and write scripts that will be running to report these things. Lets take an example a user has tried so many attempts to login into the system may be on different days and later on me see that the user is successful but after trying to login in different ways in a very short time.

Another example of behavior: A user tried multiple attempts to login until successful, after successful login, the user installs some packages or uploads particular files in the system, and later on the linux system is initiating network communication to the same source IP of the multiple login attempts. So i include a script that can read the logs and check for this kind of a behavior. If it detects the behavior it may be records it in a particular report file or database

So the basic idea is writing shell scripts that will be running periodically to read various log files , do the analysis and provide report about the logged information. Here i can even decide not to write scripts, and just read the log files, send them to the web application to do the analysis and store the report in the database for reporting, and this becomes a continuous periodic process

So basically i think about suspicious user behaviours and write code that will be able to analyse and detect that behaviour where i can be able to define multiple behaviour. for example i might say if a user accesses the command shell from world known blacklisted IPs , this is a high probability of an attack