恶意软件整体数据流向
2022-04-10 21:02:04 3 举报
恶意软件整体数据流向
作者其他创作
大纲/内容
ETL入库:恶意车联网模块配置文件:vehicle_57census_text.jsoninput:/data/parsenodeftp/evercm/EventsParse/etl/des_57/insert
APP脱壳
32960协议提取数据脚本:gbt32960.sh配置文件:gbt32960.confoutput_dir:/data/input/caiot_vehicle_gb_t_32960
ETL入库:车联网32960协议模块配置文件:etl-gbt32960.configinput_dir:/data/input/caiot_vehicle_gb_t_32960
ETL入库:恶意样本话单配置文件:cm_sample_log.jsoninput:/data/parsenodeftp/evercm/EventsParse/etl/sample/insert
文件服务(ftp,minio)
Portaloutput1:/data/evercm/toApp(离线样本描述txt话单目录)output2:/data/evercm/ftp4app( 离线样本上传及研判报告导出使用的FTP信息)
restore.yaml——样本还原- file-restore: enable: yes period: 150 compress: no writer: flowlog@restore restore-format: 5 max-dedup: 10000
newiup(output2)
restore.yaml——监测事件- events: enable: yes version: comm-v2 writer: translog@events57
ETL入库:车联网808协议模块配置文件:etl-t808.configinput_dir:/data/input/caiot_vehicle_t_808
restore.yaml——处置事件- events: enable: yes version: comm-v2 writer: translog@evt57
基础研判
研判结果数据库Mongodb集群
dex研判
NTA-P7
API、病毒、关键字、元数据
AI
newiup
样本解析:配置文件:application.propertiesinput:/data/parsenodeftp 1 2 3output1:/data/parsenodeftp/evercm/EventsParse/etl/sample/insert(datafilepath:命中任意特征库(恶意样本,黑灰白等任何一个)的输出完整话单,入大数据)output2:/home/data/toApp(sampleresource:未命中任何特征库库的样本,输出待研判文件,传给app进行研判)output3:/home/data/harmFile(harmSamplePath:msg-type=1输出恶意样本数据,后续环节上报)output4:/home/data/maliceFile(datafiletarpath:msg-type=2输出指令恶意样本,后续环节上报指令结果)output5:/home/data/unjudgedsamlemd5/(dastatistics:未命中任何库的样本,临时输出不完全话单(不含研判结果)使用的目录,数据入了mysql)
自动化研判
905协议提取数据脚本:jtt905.sh配置文件:jtt905.confoutput_dir:/data/input/caiot_vehicle_jtt_905
消息中间件(kafka)
人工研判
ETL入库:恶意处置模块配置文件:etl-czsj.jsoninput:/data/parsenodeftp/evercm/EventsParse/etl/jcsj/insert
newiup(output)
ETL入库:车联网905协议模块配置文件:etl-jtt905.configinput_dir:/data/input/caiot_vehicle_jtt_905
808协议提取数据脚本:t808.sh配置文件:t808.confoutput_dir:/data/input/caiot_vehicle_t_808
APP样本收集:app-dispatch-serviceinput: /home/cmDa(mongodb初始化指定path,为sca话单(APP样本收集)txt的文件目录)
DA:配置文件:configinput:/home/da/source/output:/home/da/edb
clickhouse集群
中间件服务
ETL入库:恶意监测模块配置文件:etl-jcsj.jsoninput:/data/parsenodeftp/evercm/EventsParse/etl/jcsj/insert
动态引擎
静态引擎
任务下发状态回填
newiup(output1)
研判调度output:/home/evercm/unjudge/(portal系统管理的unjudgesavefilepath一致)
样本文件获取研判结果返回结果文件存储任务下发、特征库更新
0 条评论
下一页