行为引擎-暴力破解

需求分析：

这里暂不考虑http协议爆破，单独的场景。

我根据元数据的字段，将所有协议分为三种情况。

1. 第一种情况，可以解出用户名，密码，例如 ftp telnet pop3 imap 
2. 第二种情况，可以解出用户名，不能解出密码 例如 oracle mysql
3. 第三种情况，不能解出用户名和密码  例如 mssql （登陆失败有用户名，登录成功用户名加密无法获取）， ssh　　　

情况1

可以以1天作为统计周期，累加，达到阈值就告警。这样做的优点是这种情况既可以覆盖快速爆破，也可以覆盖慢速爆破。

告警逻辑：源目的ip汇聚，用户名和密码排列组合作为尝试次数统计的条件。

情况2

以一段时间作为统计周期，累加，达到阈值就告警。

告警逻辑：源目的ip汇聚，用户名和源端口排列组合作为尝试次数统计的条件。

情况3

以一段时间作为统计周期，累加，达到阈值就告警。

告警逻辑：源目的ip汇聚，源端口排列组合作为尝试次数统计的条件。

输入

1. ES index，2.0版本是1天一个index     2.X版本 1h1个index
2. 配置文件：线程监控

输出

Kakfa

case 攻击成功 

输出 攻击成功的时间，攻击成功的元数据 (源、目的ip、源、目的端口号、用户名、密码(如果有)，攻击次数)

cas