大数据分析 | 用日志给攻击者“画”像

在大数据充斥网络空间的今天，利用数据分析系统从海量日志信息中挖掘信息，不但适用于现实生活中的方方面面，而且在网络攻击跟踪方面也是不可或缺的重要环节。

网络防御思维

利用网络行为已成为数据获取的主要途径。为防止数据泄漏需要对数据从三个方面做防护：

· 前期数据保护机制；

· 对目标系统的定期安全检查及网络安全防护能力；

· 对于数据获取过程中的通道创建链接，通信的监控，包括主机的恶意行为防护，网络安全防护等措施。

三个方面防御措施的有效结合基本可以探知、保护、防御数据信息，防止数据被盗取。

理想很丰满，现实很骨感

但是理想很丰满，现实很骨感。针对目标入侵行为，不但要能够保护目标，同时也要能够根据网络痕迹，采用取证系统和数据分析对攻击做跟踪，能够做到拔出萝卜带出泥的效果。对于网络攻击获取数据的防护，调查取证，也不仅仅简单的看作是对单点攻击事件的分析，更应该通过已掌握的信息来挖据更多的信息，从此彻底根除网络毒瘤。

没有最好

针对网络攻击中的调查取证及攻击跟踪溯源目前比较行之有效的方式是利用已缴获的攻击样本做深入分析，但是利用该方法去挖掘犯罪组织有两个显著的缺陷：

慢

1

利用样本分析来获取，跟踪网络犯罪组织相对比较慢，毕竟对于样本信息的挖掘，需要耗费更多的时间和精力。当出现大量样本时无法实时有效的跟踪所有的网络攻击行为。

少

2

利用的样本分析是在既有样本的前提下，但是不是所有的攻击行为都能够获取样本，这样在无样本的状态下就很难跟踪到样本的实施者。

只有更好

结合日志审计方案，利用大数据分析平台通过机器学习的思想对既有安全日志做事件、时间、性质方面的多维度分析，从而快速、全面的获取攻击画像。

接下来以前段时间爆出的Xshell高级后门的威胁事件为例来探讨如何利用安全日志和数据分析来获取更有价值的信息。

Xshell是一款免费终端模拟软件，最早在8月4日外国安全公司卡巴斯基发现Xshell软件存在后门。对于该后门的具体实现过程在这里不做过多的展开，从后门的整个实现过程来看内部采用多级加密技术，对于此类后门的分析和溯源相对来说要消耗更多的资源。如果从安全日志中利用数据分析的方式则更能方便，快捷的获取攻击行为及攻击者的信息。

下图为主干网中部署的几个监控点以天为单位在一段时间内的针对Xshell后门链接行为的数据采集。

下图是以小时单位针对在9月20日到9月26日之间的Xshell后门访问情况：

可以看出，Xshell后门爆发和工作时间基本吻合，即在工作时间刚好是Xshell后门爆发的高峰期，而在非工作时间相对要少很多。

该后门利用DGA算法生成域名，并将GUID、主机名和用户名等信息一个加密前缀和域名一起发送，下图是利用部署的监控点所探查到的数据监控行为：

从结果来看监控数据主要由两部分内容组成，一部分是就是由主机名、GUID、用户名等信息经过加密以后组成；另一部分是由DGA算法得到的域名构成。

下表是在这20日到26日之间采集到的利用DGA算法域名的网络行为监控：

在针对一些监控数据做了分析之后，就要利用通过自动化分析和绿盟威胁情报中心来识别出一些攻击源信息。

针对已经掌握的部分恶意IP，绿盟威胁情报中心对该IP做了进一步的确认和跟踪。

近期数据分析之后的结果：

9月5日至11月4日之间对域名的监控数据：

由以上可知，利用安全日志和大数据分析技术，通过自动化分析方式不但可以获取漏洞、恶意样本的攻击趋势、攻击范围、攻击的特征，而且能够深挖出一些更加有价值的信息。尤其在对于这些具有网络行为的特征的攻击行为，通过多点部署、多点监控、信息收集、数据统计、分析、数据挖掘等方式，在已知威胁的基础之上，获取更有价值的威胁信息。进而更加有效的提前防御未知威胁。

点击“阅读原文”查看完整内容

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP