网络攻防学习笔记 Day129

Elasticsearch+Logstash+Kibana（ELK）提供了一整套的从日志收集到日志存储再到日志展示的解决方案。

Logstash 主要是用来进行日志的搜集、分析、过滤的工具，支持大量的数据获取方式。一般工作方式为 C/S 架构，Client 端安装在需要收集日志的主机上，Server 端负责将收集到的各节点日志进行过滤、修改等，再一并发往 Elasticsearch。

Elasticsearch 是用 Java 语言开发的，并作为 Apache 许可条款下的开放源码发布，是一种流行的企业级搜索引擎。Elasticsearch 用于云计算中，能够实现实时搜索，稳定、可靠、快速、安装方便，可以将数据存放到 Elasticsearch 中再通过 Kibana 或 API 进行搜索。

Kibana 是一个开源的分析和可视化平台，经常和 Elasticsearch 一起工作。可以用 Kibana 来搜索、查看数据，并与存储在 Elasticsearch 索引中的数据进行交互。可以轻松地执行高级数据分析，并且以各种图标、表格和地图的形式可视化数据。Kibana 使得理解大量数据变得很容易。它简单的、基于浏览器的界面可供用户快速创建和共享动态仪表板，实时显示 Elasticsearch 查询的变化。

安全平台建设步骤：1.了解真实的安全需求及保护对象；2.建立整体安全建设视角；3.组建安全团队。

HMM 广泛应用于语音识别、文本处理以及网络安全等领域。HMM 模型完成训练后通常可以解决三大类问题：1）输入观察序列获取概率最大的隐藏序列，最典型的应用就是语音译码以及词性标注；2）输入部分观察序列预测概率最大的下一个值，比如搜索词猜想补齐等；3）输入观察序列获取概率，从而判断观察序列的合法性。

ATT&CK（Adversarial Tactics,Techniques and Common Knowledge）是一个站在攻击者的视角来描述攻击中各阶段用到的技术的模型，分为 PRE-ATT&CK、Enterprise 以及 Mobile 三个矩阵。PRE-ATT&CK 覆盖攻击链模型的前两个阶段（侦察跟踪、武器构建），Enterprise 覆盖攻击链的后五个阶段（载荷传递、漏洞利用、安装植入、命令与控制、目标达成），Mobile 主要针对移动平台。