網絡安全事件研判

🍅?點擊文末小卡片?，免費獲取網絡安全全套資料，資料在手，漲薪更快

研判（入侵檢測）研判我理解為人工層面對入侵檢測事件進行再分析，即借助已有的設備告警根據經驗判斷是否為真實action

網絡安全事件研判_網絡安全事件研判處置

研判工作要充分利用已有安全設備（需要提前了解客戶的網絡拓撲以及部署設備情況），分析其近期的設備告警，將全部流量日志（日志條件：源地址，目的地址，端口，事件名稱，時間，規則ID，發生次數等）根據研判標準進行篩選（像蠕蟲、virus、拒絕服務這類不太可能為紅方發起的action的事件，直接過濾掉，減少告警數量），一般情況下，真實action不可能只持續一次，它一定是長時間、周期性、多IP的進行action

對于告警結合威脅情報庫如：微步??https://x.threatbook.cn等對于流量日志的原?IP 地址進行分析，判斷其是否為惡意action，推薦使用微步的插件，如果確認為action行為或者不能確認是否為action行為，進行下一步操作，在之前準備好的表格中查找 IP 是否為客戶內網部署的設備，如果不是，繼續進行下一步，在事件上報平臺查看是否有其他人提交過，如果沒有，則上報

然后根據流量日志，對請求數據包和返回數據包分析判斷其是否為誤報，需要留意 X-Forwarded-For（簡稱XFF）和x-real-ip 可以了解些 webshell 工具的流量特征，尤其是免殺 webshell，有可能不會被設備識別

最后上報事件時，盡可能提供完整的截圖，包括源 ip、目的ip，請求包請求體，響應包響應體等重要信息，以方便后續人員研判溯源

注：不要任意忽略內網告警，適當情況下可以往前推排查時間

設備根據網絡情況可以分為三種：經典網絡、私有云、公有云

經典網絡

注：圖片來源于深信服官網

即客戶擁有物理的基礎設施（自建機房、自購設備、網絡）

NGAF/NGFW ：下一代 Web 應用防火墻（Next Generation Application Firewall，通防火墻和下一代防火墻的區別），聚合了以下功能

HIDS：基于主機的入侵檢測系統
HIDS：基于網絡的入侵檢測系統
HIDS+NIDS：基于混合數據源的入侵檢測系統

IPS：入侵防御系統
AV：反virus系統 EDR ：主機安全管理\終端檢測和響應 EDR：實時監測終端上發生的各類行為，采集終端運行狀態，在后端通過大數據安全分析、機器學習、沙箱分析、行為分析、機器學習等技術，提供深度持續監控、威脅檢測、高級威脅分析、調查取證、事件響應處置、追蹤溯源等功能，可第一時間檢測并發現惡意活動，包括已知和未知威脅，并快速智能地做出響應，全面賦予終端主動、積極的安全防御能力

簡單來說就是給內網環境中所有主機安裝管理軟件終端，可以在管理平臺集中管理和數據分析過濾，基本所有安全廠商都有自己的 EDR 產品

運維審計和管理平臺（堡壘機）

DAS ：數據庫安全審計平臺

LAS ：日志審計安全平臺

AC ：上網行為管理系統

偽裝欺騙系統（蜜罐、蜜網）

SIP ：安全態勢感知平臺

這個算是讓整套系統性能得到提升的靈魂了，定位為客戶的安全大腦，是一個集檢測、可視、響應處置于一體的大數據安全分析平臺。產品以大數據分析為核心，支持主流的安全設備、網絡設備、操作系統等多源數據接入，利用大數據、關聯分析、告警降噪等技術，實現海量數據的統一挖掘分析

云網絡云網絡包括私有云和公有云

云主機安全云防火墻云堡壘機云蜜罐云 DDOS 防護等等異常HTTP請求列舉下在分析 HTTP 請求中可能出現的異常點，好做判斷

正常的 HTTP 請求

正常的 HTTP 相應包

接下來分析那些 HTTP 數據包有可能會存在風險

請求URI過長請求數據過長（冰蝎3.0就使用超長請求數據包繞過檢測）異常請求數據，判斷是否存在 CRLF action、以及 HTTP 請求走私請求方法不合法，比如 HTTP 請求大小寫混用，服務器不支持的請求方法，類似tomcat put 文件上傳漏洞這種，以及未知的不存在的請求方法響應頭過長 HTTP 協議版本字段不合規 URI 字段不合規多余的請求頭部請求 chunk 塊 size 不合規（HTTP請求chunk塊size不以數字開頭或\r\n不完整，認為其不合規）請求 chunk 塊 body 不合規（HTTP請求chunk塊body結尾\r\n不完整，認為其不合規）請求 last chunk 塊不合規請求 URI 不可見字符請求 URI 解碼后不可見字符 Webshell分析actioner在入侵企業網站時，通常要通過各種方式獲取 webshell 從而獲得企業網站的控制權，然后方便進行之后的入侵行為

常見Attack mode有：直接文件上傳獲取 webshell、SQL 注入、文件包含、FTP、Redis 未授權，甚至使用跨站點腳本 (XSS) 作為action的一部分，甚至一些比較老舊的方法利用后臺數據庫備份及恢復獲取 webshell、數據庫壓縮等

webshell 通用功能包括但不限于 shell 命令執行、代碼執行、數據庫枚舉和文件管理

以 webshell 分析為例，其他漏洞如： SQL、文件包含等都大同小異

Webshell 的分類按協議分析

基于 TCP 的 Shell 基于 UDP 的 Shell 基于 ICMP 的 Shell（使用于內網主機主機只允許 ICMP 出入網即只能 ping 通的情況）基于 ICMP 的 Shell（具有較強的隱蔽性）按使用工具分析

Liunx bash 命令反彈 Shell NC 反彈 Shell Telnet 反彈 Shell SSH、iptables、sockets等工具端口轉發 AWK 反彈 Shell 鏈接各種編程語言的反彈 shell Webshell 的檢測 webshell 的檢測可以分為兩個方面一個是主機層面（既根據 webshell 的文件特征和行為特征行為特征進行分析），第二個層面是流量層面（根據webshell 的傳輸流量分析）

主機層面文件特征分析

一個 webshell 要執行必然會包含某些危險函數，以 PHP shell 為例，可能存在以下危險函數

存在系統調用的命令執行函數，如eval、system、cmd_shell、assert等存在系統調用的文件操作函數，如fopen、fwrite、readdir等字符串拼接執行操作存在數據庫操作函數，調用系統自身的存儲過程來連接數據庫操作通過自定義加解密函數、利用xor、字符串反轉、壓縮、截斷重組等方法來繞過檢測可以通過關鍵詞匹配腳本文件找出 webshell，D盾之類的webshell查殺工具也是利用這種原理，對源碼進行查殺

行為特征分析

webshell 在執行函數時這些對于系統調用、系統配置、數據庫、文件的操作動作都是可以作為判斷依據主機可以從以下方法進行分析

主機進程分析主機端口調用分析日志應用程序的事件日志系統調用日志（syscall）主機文件監控（系統文件、網站文件、配置文件）對搜索到的內容，可以手動查看是否是Wooden horse、查看網頁生成時間或者上傳至一些檢測的網站進行檢測（?http://www.virscan.org/、https://x.threatbook.cn、https://www.virustotal.com/gui/home/upload）

防御方面：Linux 中可以使用 chkrootkit/rkhunter 來定時監測系統，以保證系統的安全

chkrootkit 主要功能：檢測是否被植入后門、Wooden horse、rootkit

檢測系統命令是否正常（避免在入侵檢測分析時使用已被替換的命令）

檢測登錄日志

使用chkrootkit –n；如果發現有異常，會報出“INFECTED”字樣

rkhunter 主要功能：系統命令（Binary）檢測，包括Md5 校驗

Rootkit檢測

本機敏感目錄、系統配置、服務及套間異常檢測

三方應用版本檢測

流量層面流量層面和主機層面相輔相成

基于流量的檢測，是無法通過檢測構成webshell危險函數的關鍵詞來做檢測的，但webshell帶有常見寫的系統調用、系統配置、數據庫、文件的操作動作等，它的行為方式決定了它的數據流量中多帶參數具有一些明顯的特征，通過匹配行為的流量特征做檢測，這也是基于webshell入侵后行為特征進行檢測，當然也可以從系統層面webshell入侵行為進行檢測

可以參考之前發的對于菜刀、冰蝎、哥斯拉的分析，我是鏈接，其流量中即使加密后或多或少也具有一些特征，通過大量數據分析比對發現其流量特征（或者網上的已知特征）后進行阻斷攔擊

流量分析的好處在于，在 web 訪問日志中，是無法抓取 POST 方式的包，也就沒法分析 webshell 入侵后的行為，而流量很好的做到了這一點

還有就是對于常見的內網工具 CS 流量可以通過在流量層面其 IP 端口，心跳包等特征進行檢測

以及 N day 流量分析和明文敏感信息傳輸分析

其他入侵檢測方法

動態檢測（沙箱）統計學入侵檢測可以通過大數據和機器學習來強化設備

于常見的內網工具 CS 流量可以通過在流量層面其 IP 端口，心跳包等特征進行檢測

以及 N day 流量分析和明文敏感信息傳輸分析

其他入侵檢測方法

動態檢測（沙箱）統計學入侵檢測可以通過大數據和機器學習來強化設備

最后感謝每一個認真閱讀我文章的人，禮尚往來總是要有的，雖然不是什么很值錢的東西，如果你用得到的話可以直接拿走：