当遇到SSH异常行为时我们通常选择手动或者去日志服务器上被动查看和分析日志,这样往往无法实时发现可以IP的异常行为,下面通过OSSIM平台通过大数据分析智能的筛选出疑似Attack行为。
通过OSSIM报警平台实时观察到网络异常行为报警
图1 网络异常行为可视化
点击气泡图中某天的一条报警聚合信息
图2
查看详细事件
图3
查看疑似异常行为主机的网络信息以及IP地理位置信息
图4
来源:51CTO
作者:李晨光
链接:https://blog.51cto.com/chenguang/2457339