ml-beaconing-connections
세션 패턴을 분석하여 비콘 통신을 탐지합니다.
문법
ml-beaconing-connections [schema=스키마] [from=yyyyMMddHHmmss] [to=yyyyMMddHHmmss] [duration=NUM{mon|w|d|h|m|s}] [threshold=임계값]
옵션
- schema=스키마
- 선택 옵션. 스키마 이름 (기본값: session)
- from=yyyyMMddHHmmss
- 선택 옵션. 시작 시간 (yyyyMMddHHmmss)
- to=yyyyMMddHHmmss
- 선택 옵션. 종료 시간 (yyyyMMddHHmmss)
- duration=NUM{mon|w|d|h|m|s}
- 선택 옵션. 시간 범위 (예: 1d, 1h)
- threshold=임계값
- 선택 옵션. 평균 간격 임계값 (초 단위, 기본값: 600)
출력 필드
| 필드 | 타입 | 이름 | 설명 |
|---|---|---|---|
| _table | 문자열 | 테이블 | 테이블 이름. 예: pfsession |
| src_ip | IP 주소 | 출발지 IP | 출발지 IP 주소. 예: 192.168.0.1 |
| dst_ip | IP 주소 | 목적지 IP | 목적지 IP 주소. 예: 8.8.8.8 |
| dst_port | 32비트 정수 | 목적지 포트 | 목적지 포트 번호. 예: 443 |
| protocol | 문자열 | 프로토콜 | 프로토콜. 예: TCP, UDP, ICMP |
| app | 문자열 | 애플리케이션 | 애플리케이션 이름. 예: ssl, ms-netlogon, incomplete |
| count | 32비트 정수 | 세션 수 | 세션 개수. 예: 10 |
| stddev | 64비트 실수 | 표준 편차 | 간격의 표준 편차. 예: 5.2 |
| avg | 64비트 실수 | 평균 간격 | 세션 간 평균 간격 (초). 예: 600.5 |
| sent_bytes | 64비트 정수 | 송신 바이트 | 총 송신 바이트. 예: 1024000 |
| rcvd_bytes | 64비트 정수 | 수신 바이트 | 총 수신 바이트. 예: 2048000 |
| first_seen | 날짜 | 최초 발견 | 최초 세션 시간. 예: 2025-01-01 00:00:00 |
| last_seen | 날짜 | 마지막 발견 | 마지막 세션 시간. 예: 2025-01-01 01:00:00 |