以Splunk來進行大數據資料分析與統計
1. Kaggle資料集: 下載位置
資料集為csv資料檔,以逗號進行分隔。共有40000筆資料。
2. 每筆資料攻擊事件共有25個欄位資料:
- Timestamp
- Source IP Address
- Destination IP Address
- Source Port
- Destination Port
- Protocol
- Packet Length
- Packet Type
- Traffic Type
- Payload Data
- Malware Indicators
- Anomaly Scores
- Alerts/Warnings
- Attack Type
- Attack Signature
- Action Taken
- Severity Level
- User Information
- Device Information
- Network Segment
- Geo-location Data
- Proxy Information
- Firewall Logs
- IDS/IPS Alerts Log
- Source
3. Splunk分析結果,本次分析想要觀察3種attacks分別的資訊。
從上面的分析資料中可以發現,40000萬筆的資安事件中,DDOS攻擊事件數有13428筆,惡意程式攻擊事件數有13307筆,入侵攻擊事件由13265筆。 大約都是各1/3,下方為時序圖(Timechart),可以看到每個月份所收集到的攻擊事件量。
40000筆的攻擊事件的來源中,第一名攻擊來源是美國,第二名是來至於中國,第三名是日本,第四名為德國,第五名是英國,接著是南韓,巴西,法國,加拿大。
攻擊事件中,有13529筆被資安設備Blocked(阻擋),有13276筆資安設備忽略不處理,13195筆資安事件被紀錄Logged下來。
我對於被資安設備阻擋的資安事件,想要詳細研究發現,其中有4503是ICMP類型,4487筆資安事件是TCP類型,4539筆資安事件是UDP類型。
13529筆資安事件中,其中有4533筆是DDOS攻擊,4553筆是入侵攻擊,4443筆事件是惡意程式行為。
