发现内网攻击

随着互联网快速发展，网络上各种攻击事件层出不穷，尤其是近年来不断曝光的世界500强、互联网知名企业物理隔离的内网专网丢失数据的事件，完全暴露出现有针对类似APT网络攻击行为的发现与处理技术和方法的不足。研究解决企业内网络攻击行为的解决方案刻不容缓。

现有技术现状及缺点

网络攻击大致可分为三个阶段：接触感染、探测传播、窃取破坏。接触感染阶段包括：社会工程学、恶意网站钓鱼、邮件欺诈、SQL注入、木马植入；探测传播阶段包括：跨站脚本攻击、主机端口扫描、网络监听、节点攻击、中间人攻击；窃取破坏阶段包括：病毒蠕虫爆发、0day漏洞利用、数据转移。现阶段针对单个攻击行为的防御手段基本成熟，出现了众多防御攻击事件发生的网络设备及安全设备，包括：邮件防火墙、Web防火墙、入侵检测/防御系统、终端准入系统、网页防篡改系统、网络防火墙、流量检测系统、终端防病毒、系统漏洞扫描系统、数据防泄漏系统等。

如此众多的安全设备构建的看似完备的安全防护体系，但实则收效甚微。其失败的原因并非是由于单个技术的失败，而是整体战略上的缺失。

1.各种安全系统只能识别域内安全问题，彼此之间没有关联，导致出现安全信息孤岛和各自为政的现象，无法从全局发现、识别跨域攻击行为。单个系统无法联系上下游设备共同处理网络位置、攻击步骤、攻击纬度有关系的攻击场景。

2.单个系统因缺乏全局考虑及技术等原因，容易形成防御空挡，形成被攻击者利用的通道。独立安全防御系统的开发者受限于技术壁垒、工程周期、知识库积累等问题在各自领域均有无法处置的技术难题，这样体现在产品上时会采用回避的策略，表现“所见即全部”的思想，从而错失了残留风险被观测、被分析到的机会。

3.众多设备所产生的海量事件无法及时处理，也无法从众多误报漏报信息中甄别出真正具有威胁的信息，进而导致防护手段失效。入侵检测/防御系统、网络防火墙、流量检测系统、系统漏洞等设备存在大量误报内容，单纯依靠人力识别不太可能。

解决方案

面对现有网络攻击行为发现与处理手段的不足，本文提出利用企业内网所有设备记录行为日志，相关资产、脆弱性，以及外部威胁情报等信息进行综合分析，并由安全人员对分析结果进行评估与研判，从而形成一整套应对攻击行为的解决方案。

1.收集所有分析所需的源数据，确保不遗漏任何攻击行为的蛛丝马迹。分析数据来源包括网络设备、安全设备、主机、数据库、中间件、应用系统日志信息，资产基础数据及各维度数据，设备漏洞信息，威胁情报信息，人员相关信息等。

2.更可靠的分析手段，以“资产暴露”程度进行排名，重点关注排名靠前的资产。提供一套“线索”体系，以“资产暴露”为主题，从攻击入口到核心资产，一个区域的资产只要被攻击过即使防御成功也认为“暴露”，再按照暴露程度排出解决优先级。

3.多层次分析，解决残余风险。建立防御体系的内外层次关系，当发现攻击已深入到体系内层时，否定外层防御成果，结合内外层防护设备及相关信息重新进行分析，从而达到“亡羊补牢”的效果。

4.通盘考虑、全局分析，提升分析结果的准确性。收集归纳各个防护设备的输出信息，并结合资产、漏洞、威胁情报等各种维度的数据进行关联分析，确保分析的准确性。

4.平台设计

依据解决方案，平台建设包括四部分：通过资产识别、信息补全，建立完善的资产信息库；收集所有防护设备、被攻击设备记录的日志，进行格式化、归并、降噪处理，找出有意义、真实的攻击信息；结合资产、事件等信息分析攻击过程，形成多维度有价值的分析结论；安全人员评估分析结果，并结合威胁情报等信息对攻击行为进行评判，为最终问题解决及后续网络安全建设提供依据。

资产是被攻击目标，是实施安全防护手段的目标对象，避免资产被攻击的前提是必须掌控所有资产基本情况，通过调研,梳理资产类型、资产公共属性，通过自动或人工方式发现、识别资产,然后结合调研的信息对资产进行补全，从而完善资产信息库。

自动或人工识别资产:

通过SNMP、ICMP协议主动探测活动资产；

通过路由表或者交换机地址转换表发现当前活动资产；

通过实时事件或流量数据发现未知资产；

通过人工录入或导入资产。

资产基本信息包括IP地址、发现时间、类型（初步识别）和名称等。

资产类型、公共属性维护:

收集用于目标组织规划时的业务区域划分和安全域划分采用的原则和方法，调研目标组织当前的业务和安全域的现状，重点关注有差异且未明确划分的部分。安全域包括：互联网、隔离区、接入区、维护区、服务器。

收集调研资产类型，包括业务系统、主机、数据库、网络设备、安全设备、应用软件、重要数据。其中网络设备包括路由器、交换机等。安全设备有邮件防火墙、Web防火墙、IPS/IDS、终端准入系统、网页防篡改系统、网络防火墙、流量检测系统、终端防病毒、系统漏洞扫描系统、数据防泄漏系统等。

梳理出各个资产的相关负责人，包括数据所有者、系统所有者、安全管理员等。

对资产进行信息补全，补全后的资产属性包括：资产ID、资产名称、IP地址、资产类型、业务系统、组织机构、安全域、资产管理员、安全管理员、数据所有者、资产创建时间、厂商、版本等。

资产漏洞信息采集：

定期采集资产漏洞信息，丰富资产属性。可通过人工导入或联动方式获取漏洞扫描设备的扫描结果，漏洞信息包括 括漏洞ID、漏洞名、简短描述、详细描述、修补建议、漏洞级别、影响平台、CNCVE号、CVE号、CVE描述、CVSS风险值。

日志采集、处理，析取真实有价值攻击信息

采集各类网络设备、安全设备、安全管理平台、设备资产的日志信息，输出统一格式的安全事件,协助攻击过程分析。

日志采集：

调研设备、系统的日志存储位置、获取方式、获取周期、完整性校验方式、时钟同步机制等；

通过被动或主动方式采集设备日志，被动采集支持 syslog、trap两种方式，可实时接收日志信息；主动方式支持 FTP、SFTP、JDBC、Webservice协议，可周期、准实时采集设备日志信息。

日志格式化：

结合事件知识、通过格式化引擎对设备原始日志信息进行解析和抽取，识别原始日志对应的安全事件分类，并按该分类所适用的属性字段析取相应的值，最终确定事件具体知识条目，生成疑似安全事件。

格式化后事件信息至少包括：事件名称、源IP地址、目的IP地址、报送设备IP、事件内容、事件级别、发生时间、发生次数。

事件过滤、归并，降噪处理：

对不具备分析意义的安全事件进行过滤，减少不可信、不重要的事件，析取出真实有价值的攻击信息。对重复发生、大部分属性相同的疑似安全事件，在不影响后续事件分析的前提下，应对个体进行合并，减少事件个体数量。

过滤、归并规则支持可对安全事件的所有属性进行条件判断，支持等于、不等于、大于、小于、包含、like、in等数据函数逻辑表达式，如：{事件属性:目的地址}like '192.168.10.%' and{事件属性:操作命令} in'rm,vi'。

分析攻击过程，输出分析结果：

通过资产、统计、行为等多重关联方式分析攻击过程，结合业务及数据所有者的参与分析,输出过程分析结果。

通过资产类型、攻击事件类型关联分析，判断资产暴露、被攻击的可能性。被攻击资产类型符合攻击事件攻击目标类型，被攻击可能性大，否则，被攻击可能性小。例如某台设备上运行Web服务和数据库，当发现有IDS设备发现的SQL注入攻击时，该设备被攻击的可能性非常大，安全管理员应予以足够重视。

通过资产存在的漏洞与攻击事件类型关联分析，判断资产暴露、被攻击的可能性。当资产发生的攻击事件针对的漏洞刚好在该资产上存在，该资产被攻击可能性很大。

分析被攻击资产单位时间内与其他设备的连接数，并通过资产IP关联出资产所处安全域，结合业务判断当前位置出现大量连接是否正常，对不正常的连接进行重点关注。

通过被攻击资产IP关联出攻击日志获取途径和日志报送设备的业务域或安全域，结合业务判断某类攻击对该区域是否有效，判断此处攻击是否为误报，并对疑似攻击行为进行重点关注。

通过统计分析，提供单位时间内按攻击类型和被攻击位置的攻击次数排名，以此判断入侵者的重点攻击目的及区域。如遭受最多攻击的是DMZ即非军事化区的DDoS攻击，其次是维护区ARP欺骗攻击。由此可知哪个区域最受攻击者关注。

通过统计分析,提供被攻击资产连接数和连接设备数排名，如设备A在1小时连接数为10000，连接设备数为3台，设备B在1小时连接数为20000，连接设备数为30台。可知设备A在连接数上存在问题，可能是被攻击对象或正在做资料转移；设备B在连接设备数上存在问题，可能为内网肉鸡。

通过统计、行为关联，提供被攻击资产之间存在的连接数排名。若干资产成为攻击目标，这些资产之间的连接就非常关键。可能是一台运行核心资产设备屏蔽了绝大部分攻击后，攻击者尝试通过其他设备为跳板连接这台设备，连接数多的可能是在尝试各种方法进行连接。

对被攻击资产之间存在的连接设备数进行排名。连接设备数多的可能是在尝试多个设备进行连接。

结合威胁情报等信息进行综合分析，为后续处理提供依据:

1.综合攻击过程分析结果，组合生成多维度报表或结果数据，为评测攻击情况提供数据支撑，例如服务器区域设备A部署了Web服务，服务区的设备B运行其Web服务的数据库，维护区的设备C是维护终端设备。设备A遭受了5种攻击，5种攻击获取途径和各自产生的安全域比较后发现部署到互联网与DMZ之间的Web防火墙上产生的SQL注入攻击值得关注，同时发现设备B常态下只与A有连接，近3日徒增很多内网连接，而与设备B连接的设备C近1周被部署在维护区的防病毒软件拦截过病毒事件。

2.利用可靠的威胁情报查找攻击者。从安全事件中发现外网的攻击源地址，利用威胁情报信息进行回溯，定位真正攻击的幕后黑手。

3.通过事件关联出资产，通过资产信息关联找出资产的数据所有者、系统所有者及安全管理员

数据所有者、安全管理员基于以上分析结果，结合业务及网络环境对问题进行下一步处理。

总结

本文提出通过人工或自动发现方式识别、补全并完善资产信息，采集所有设备日志，对日志进行格式化、去重、降噪等处理，对事件、资产等信息进行统计、行为方式关联分析，输出攻击过程信息及相关报表，结合威胁情报、资产相关信息进行综合分析，最终将分析结果提供给相关安全人员，安全人员基于以上分析结果，结合业务及网络环境对问题进行下一步处理，。从而形成一整套全新的网络攻击行为发现与处理的解决方案。