原本打算要實作 Elastic Endpoint Security 的部分,但是不知道為什麼在練習的環境一直無法連線到指定的路徑,嘗試很久之後還是沒辦法只好先放棄,之後有機會再補上這個部分好了QQ
接下來兩天,我們將了解 Elastic machine learning 的功能來幫助建構網路安全的行為模型,藉此可以幫助我們找出異常的資料。
本篇的主題包含有:
那我們就開始吧!
在機器學習中,有三大構成要素:方法、資料和問題,各又可以進一步細分成:
方法:
資料:
問題:
而異常偵測的問題,就算是機器學習中,分類問題中的其中一種!
網路威脅的分類中,比較大種類的大致上可分為 7 種:
這邊我們將使用異常偵測模型於 Intrusion 這類型的威脅。
因為下列這些原因,我們不得不朝向自動化:
而使用 ES 做網路異常偵測的目的就在於:自動地偵測攻擊行為。
在 Elatic 中,異常偵測的流程如下圖示,包含有:
如果再把中間的步驟,放大來看,可以看到:
可惡,不得不說實作練習真的蠻容易遇到未知的問題,看來這就是 TENET 吧!(剛好今天去看完了哈哈哈)
今天我們了解了異常偵測的基本觀念,明天就來實際操作吧!(希望不要再遇到問題了ㄎㄎ)