图片

图片

图片

图片

图片

@路人甲:

先祝P牛五一劳动节快乐😎。最近在做webshell检测的工作，是我自己的小论文研究方向。想请教一下关于整个检测架构方面的经验，我想用docker搭建一个漏洞环境的靶机，比如说用vulhub的环境，然后用各类加密型webshell管理工具，比如蚁剑、哥斯拉、冰蝎（原版或魔改之后）去连接靶机环境，并做进一步的操作，同时用tcpdump去监听靶机的流量，接着把pcap包发给zeek和suricata解析，再发给filebeat和logstash过滤一下，拿到有关键字段的json格式的流量记录，再把这个json交给机器学习分类器（具体怎么做特征工程和训练这里就不展开探讨），最后通过可视化展现出来。之前我都是在本机上进行这些实验性的操作，后来发现这样可移植性太差了，并且样本也不够丰富，所以想重新构思一下，目前想的是用docker compose来编排，github上也有看到用k8s的，但是我可能对这些还是不太熟悉，有点抽象，不知道P牛有没有相关经验可以指导一下。（有些地方描述比较含糊还请见谅）