seci-log

作者简介 朱林 资深开发人员，《Elasticsearch技术解析与实战》作者。有16年开发经验，11年安全产品开发经验，对安全技术、日志分析有较深的研究。于2013年创立南京赛克蓝德网络科技有限公司，公司专注于安全产品的开发，目前主要开发的产品是赛克蓝德日志分析软件。 导读 由于篇幅所限，遂将此文分为上下两篇，上篇侧重讲原理，下篇会结合原理讲述若干实际案例。 概述 从 Google 的 BeyondCorp 计划说起。 Google 的这项行动计划名为 BeyondCorp ，目的是为了彻底打破内外网之别。其基本假设是——内部网络实际上跟互联网一样危险，原因有两点： 一旦内网边界被突破，***者就很容易访问到企业内部应用。 现在的企业越来越多采用移动和云技术，边界保护变得越来越难。所以干脆一视同仁，不外区分内外网，用一致的手段去对待。 本文不深入阐述 Google 的这个方案是如何做的，从这个案例只想说明一个问题，随着信息安全漏洞层出不穷，而且利用手法也日益精妙，内部网络也会面临极大的风险(除非是完全物理隔离的内网)。所以需要同时关注内部网络和边界网络的安全。 一、原理篇 有段时间经常看中央一套的《今日说法》，其中有一个案件寻找破案线索的过程令我印象非常深刻。当时大概的案情是在一段没有监控的路上，有个女的被绑架了，这个时候寻找绑架作案的车辆就非常重要。 由于事发路段没有监控