用戶行為分析能力的構(gòu)建實戰(zhàn)
點擊上方“IT那活兒”公眾號����,關注后了解更多內(nèi)容,不管IT什么活兒��,干就完了?�。��?��!
近年來����,隨著國家大數(shù)據(jù)發(fā)展戰(zhàn)略加快實施�����,大數(shù)據(jù)技術創(chuàng)新與應用日趨活躍��,網(wǎng)絡安全問題迫在眉睫�����。
同時基于“要全面加強網(wǎng)絡安全檢查,摸清家底�,認清風險,找出漏洞���,通報結(jié)果�����,督促整改”的要求���,急需加快對相關業(yè)務系統(tǒng)登錄和訪問用戶信息及操作敏感數(shù)據(jù)日志進行行為分析預警。
由此���,客戶對現(xiàn)場運維團隊提出要求具備接入業(yè)務系統(tǒng)的各類用戶行為日志進行分析的能力�����。
具體包括以下方面:
集中采集安全軟硬件設備(WAF、IPS�、IDS、DDOS�、DLP、基線、弱口令�、防火墻、交換機��、主機����、數(shù)據(jù)庫、及中間件)等日志����,對采集到的數(shù)據(jù)實施清洗和過濾、標準化���、關聯(lián)補齊�����、添加標簽等處理����。
按照管控要求��,對各類日志進行相應的審計����。
對用戶行為進行各類分析��,包括行為分析����、網(wǎng)絡攻擊分析�����、系統(tǒng)安全分析�����、應用攻擊分析�����。
根據(jù)上述的能力建設要求�,我們分析所需要建設的平臺要具備的能力可以歸納為:
這里可以看到能力圍繞的目標都是日志,完全可以看做是一個日志管理平臺���。但是,目前基于ELK架構(gòu)的開源日志管理解決方案����,是在基于日志采集入庫之后再進行分析��,存在較大的時延性����,對于客戶所提出的要對潛在攻擊或異常用戶行為的即時預警能力方面力所不逮�����。
因此我們考慮在傳統(tǒng)日志管理平臺建設的基礎上�����,加入實時計算的能力���,以此來實現(xiàn)對異常事件的快速感知和告警輸出�。另外����,針對行為分析所需的場景,我們也增加了一些對應的數(shù)據(jù)處理和邏輯判斷能力����。
平臺主要建設了以下幾個方面的能力
1. 實現(xiàn)多類型數(shù)據(jù)的集成融合
由于平臺本身并不是安全設備平臺��,同時企業(yè)內(nèi)部已經(jīng)部署了各類安全設備�����,并可以支持吐出各類日志信息�。因此����,平臺要能直接對接其他平臺的日志輸出。但是對于其他平臺不具備的原始日志數(shù)據(jù)分析能力���,我們也需要平臺自身也要有采集各類數(shù)據(jù)的能力����。
根據(jù)調(diào)研各類安全設備�、主機、中間件���、業(yè)務應用的日志存儲和接口情況�����,確定本平臺需要具備的對接能力包括:
日志文件的采集����;
syslog采集�����;
接口調(diào)用采集��;
jdbc采集�����;
kafka管道采集這幾類���。
其中比較特殊的是文件采集和jdbc采集��。有個安全平臺的日志會將多類不同的日志吐到同一個syslog中�,不利于后續(xù)做分析�����,因此我們考慮在接收該日志時根據(jù)每條日志中標識的類型進行分解��,分類存放到多個文件中去�����,用python可以很容易實現(xiàn)。
另一個難點是有些業(yè)務系統(tǒng)對于用戶的行為存放在日志表中�,是使用一個字段存放了一個json字符串,包含多個關鍵信息�,因此需要對采集到的字段做二次分詞解析,來實現(xiàn)對關鍵信息的提取�����。這個功能我們考慮在日志分詞的功能上進行擴展實現(xiàn)�。
綜合以上分析,除了開源架構(gòu)所具備的日志采集能力外�����,需要擴展的功能如下:
通過jdbc采集接入數(shù)據(jù)庫表數(shù)據(jù)后的二次分詞
各業(yè)務系統(tǒng)存儲到數(shù)據(jù)表中的用戶行為日志數(shù)據(jù)����,存在存儲格式不一致的現(xiàn)象,且改造難度較大���,無法適用統(tǒng)一日志存儲的規(guī)范要求�����,部分日志存在單個字段中處存放json串格式存儲多個關鍵數(shù)據(jù)的情況���。
因此需要在實現(xiàn)jdbc方式對這類用戶行為數(shù)據(jù)進行采集后����,使用二次分詞的方式對單個字段進行進一步分詞處理����,分解出關鍵信息用于審計����、檢索、分析等需求�。
采集第三方系統(tǒng)吐出到kafka-topic的數(shù)據(jù)
支持對接第三方系統(tǒng)吐出到kafka-topic的數(shù)據(jù),并實現(xiàn)對原始數(shù)據(jù)的數(shù)據(jù)過濾�、數(shù)據(jù)加工、關鍵字分詞提取��、指標化數(shù)據(jù)分析及告警的處理流程�,并將原始數(shù)據(jù)按需要進行分類存儲,支持審計����、檢索等前端訪問的需求�。
實現(xiàn)多路實時數(shù)據(jù)的關聯(lián)并輸出
實現(xiàn)對各類網(wǎng)絡設備流量日志數(shù)據(jù)���、主機操作日志��、業(yè)務系統(tǒng)登錄日志����、操作日志數(shù)據(jù)等不同數(shù)據(jù)源類型的日志數(shù)據(jù)的關聯(lián)��。通過建立關鍵字段邏輯關聯(lián)�����,達到獲取單個用戶全行為操作數(shù)據(jù)匯聚的目的���。
實現(xiàn)實時數(shù)據(jù)與維表數(shù)據(jù)的關聯(lián)并輸出新數(shù)據(jù)
實現(xiàn)根據(jù)對各類日志數(shù)據(jù)中的關鍵字提取�,與一些數(shù)據(jù)庫維表數(shù)據(jù)建立實時關聯(lián)檢索�����,獲取數(shù)據(jù)庫維表數(shù)據(jù)的關鍵信息附加到日志數(shù)據(jù)的需求����。該功能需要滿足海量數(shù)據(jù)條件下的關鍵維表數(shù)據(jù)附加加工操作的性能要求�,避免出現(xiàn)大幅度的數(shù)據(jù)處理延時或積壓���。
2. 統(tǒng)一的用戶行為數(shù)據(jù)生命周期管理和訪問
根據(jù)需要將原始日志在線保存1年����,離線保存2年����。由于日志量大���,傳統(tǒng)的原始日志全部存放到ES庫的方案存在檢索效率低�,資源占用大的風險�����,因此我們考慮以ES+HBASE的復合存儲架構(gòu)來對原始日志數(shù)據(jù)進行保存��。
原始日志的檢索和審計功能在ELK的開源方案里是具備的�����,但因為我們的存儲架構(gòu)發(fā)生了變化,所以會需要針對該存儲架構(gòu)進行適配建設�。
針對存儲架構(gòu)的配合改造主要包括以下方面:
數(shù)據(jù)采集過程改造
通過客戶端采集到的日志文件、syslog日志��、第三方接口數(shù)據(jù)��、Kafka等消息管道數(shù)據(jù)�����,得到的用戶行為原始數(shù)據(jù)�����,為每條原始數(shù)據(jù)創(chuàng)建唯一索引編碼���,通過唯一索引編碼可映射對原始數(shù)據(jù)的檢索���。
構(gòu)建索引數(shù)據(jù)改造
不同的數(shù)據(jù)類型,在實時計算模塊中將審計字段���、業(yè)務檢索字段����、唯一索引編碼提取,生成索引數(shù)據(jù)����,使用該數(shù)據(jù)作為數(shù)據(jù)審計或檢索的關鍵信息。
索引數(shù)據(jù)存儲及適配改造
索引數(shù)據(jù)存儲到ES庫���,按日建索引�,構(gòu)建并支撐存儲1年��。超過1年以上的數(shù)據(jù)����,按月導出備份文件,存儲2年����。
原始數(shù)據(jù)存儲及檢索適配改造
原始數(shù)據(jù)分詞處理后的半格式化數(shù)據(jù)在ES庫中保留14天(可根據(jù)業(yè)務需要及存儲資源自定義)���,用于實時查看�、近期問題分析����、上下文檢索等分析需求�����。
審計及檢索配合改造
以唯一索引編碼為key�����,半格式化數(shù)據(jù)為value�,將數(shù)據(jù)存儲到HBASE庫中保存1年��,支持通過唯一索引編碼進行快速查找���。
3. 實時數(shù)據(jù)處理及分析計算過程可配置化和可視化
我們將數(shù)據(jù)的處理和計算需求歸納為格式化���、聚合計算、以及規(guī)則計算�����。要在平臺中提供可視化的處理配置能力���,通過數(shù)據(jù)處理流程的配置實現(xiàn)數(shù)據(jù)的自動處理執(zhí)行��。并在后臺提供計算組件的方式提供不同的計算能力�。數(shù)據(jù)處理中提供對過程數(shù)據(jù)的可觀測性,對各組件運行狀態(tài)�����、數(shù)據(jù)流量等關鍵信息進行展現(xiàn)���。
圖片來源于網(wǎng)絡
根據(jù)上述要求�,我們考慮在開源架構(gòu)基礎上�,增加實時計算框架,實現(xiàn)以下類型的數(shù)據(jù)加工處理規(guī)則或邏輯判斷規(guī)則:
數(shù)據(jù)處理類
日志類數(shù)據(jù)分詞
結(jié)構(gòu)化數(shù)據(jù)的二次加工�、屬性項新增、數(shù)值轉(zhuǎn)換等
非結(jié)構(gòu)化數(shù)據(jù)提取生成結(jié)構(gòu)化數(shù)據(jù)
指標計算類
簡單指標計算(最值計算��、均值計算����、分類統(tǒng)計等)
復合指標計算(對已生成指標或告警的二次統(tǒng)計計算)
關聯(lián)指標計算(實現(xiàn)對兩個或兩個以上指標做關聯(lián)生成新的指標)
加工指標計算(對指標的二次加工,如數(shù)值轉(zhuǎn)換����,key值轉(zhuǎn)換�����,key值新增等)
判斷規(guī)則類
閾值規(guī)則(固定閾值比對判斷)
同比環(huán)比規(guī)則(與歷史同期數(shù)據(jù)或時序前列數(shù)據(jù)的比對判斷)
動態(tài)基線比對規(guī)則(以歷史數(shù)據(jù)根據(jù)配置規(guī)則生成動態(tài)基線)
指標未生成規(guī)則(有基線數(shù)據(jù),無實時數(shù)據(jù)時產(chǎn)生)
規(guī)則清單包括以下統(tǒng)計計算規(guī)則和邏輯判斷規(guī)則
4. 用戶行為分析指標數(shù)據(jù)與資產(chǎn)關聯(lián)
針對主機����、網(wǎng)絡設備、安全設備等日志分析得到的的各類關鍵指標或告警數(shù)據(jù)��,由于目前只包含IP等物理關鍵信息��,而管理側(cè)需要進一步到CMDB等管理系統(tǒng)中去查找該IP的歸屬業(yè)務系統(tǒng)或歸屬管理責任人��。
這一動作在實際工作中非常影響對安全攻擊事件的處置效率�����。
因此需要以實時計算能力支撐對數(shù)據(jù)的格式化����,并建立和CMDB資產(chǎn)的關聯(lián)。這樣可以大大提升各類數(shù)據(jù)之間的關聯(lián)能力����,為數(shù)據(jù)分析應用打下良好基礎。自動能根據(jù)管理需要關聯(lián)得到對應的歸屬系統(tǒng)(歸屬責任人)信息并隨指標或告警一起輸出�,減輕管理人員的二次核查信息工作量,提升事件處置效率��。
5. 建立用戶日常行為基線及異常預警
針對用戶行為的分析,不只是基于簡單的閾值判斷����,不同的用戶有不同的操作習慣或行為需求,因此還需要根據(jù)實際用戶的行為習慣建立操作基線��,并以動態(tài)基線的形式來實現(xiàn)對異常的捕獲和預警能力���。
應用動態(tài)基線實現(xiàn)更精準的異常檢測優(yōu)化
根據(jù)不同時間段正常值建立動態(tài)基線����,然后根據(jù)被測時刻歷史數(shù)據(jù)的統(tǒng)計值與動態(tài)基線值的偏離程度建立動態(tài)臨界線�����,當某一時間段的值超過了臨界線�����,判定此時段為值異常時段�����。
實際進行動態(tài)基線異常監(jiān)測時����,對于一些行為操作數(shù)據(jù)量正常,但會高于固定臨界值而被誤判為異常的場景���,使用以動態(tài)基線為基礎的動態(tài)臨界機制����,即時所造成的正常值增加仍然會低于動態(tài)的臨界值�。而只有與流量基線明顯偏離的時段才會被視為異常值。
面向單個用戶建立日常行為操作范圍基準
通過對各類日志的關鍵信息提取�,實現(xiàn)對單個用戶登錄到內(nèi)網(wǎng)后的所有操作行為的匯聚及分析,包括用戶的VPN登錄日志����、4A登錄日志、網(wǎng)絡設備的流量日志�����、主機登錄日志�、主機操作日志、數(shù)據(jù)庫登錄日志���、數(shù)據(jù)庫操作日志����、中間件登錄日志����、中間件操作日志����、業(yè)務系統(tǒng)登錄日志、業(yè)務系統(tǒng)操作日志等�����,將這些日志數(shù)據(jù)分別提取用戶關鍵信息����、目標關鍵信息、場景關鍵信息�,并以單個用戶為分析目標,建立其日常行為基準����,對存在超出基準行為之外的異常動作進行預警和干預。
6. 前臺的靈活配置數(shù)據(jù)展現(xiàn)能力
平臺在構(gòu)建用戶行為分析場景時要支持以零代碼方式實現(xiàn)的�?;诂F(xiàn)場運維人員大多具備SQL能力這個現(xiàn)狀��,我們將分析場景的構(gòu)建能力定位為只要懂sql就能構(gòu)建場景這個目標���。
分析結(jié)果數(shù)據(jù)展現(xiàn)場景只需要配置sql腳本或參數(shù)配置,平臺要支持對各類可視化組件的拖拉拽方式布局�,并以拓撲圖、報表頁面�����、分析頁面形式展現(xiàn)����,通過零代碼開發(fā)生成場景功能頁面及實現(xiàn)各界面組件間的聯(lián)動、跳轉(zhuǎn)�����、下鉆等功能�。
用戶行為分析的對象是各類設備的日志數(shù)據(jù)。
除了對于運維人員來說習以為常的主機��、數(shù)據(jù)庫���、中間件�����、網(wǎng)絡設備等日志外��,在企業(yè)的IT環(huán)境中有大量用于各種用途的安全設備�,對于平時接觸較少的同學來說可能名字都比較陌生。這些安全設備主要以安全類攻擊和防護能力為主�,但是對于用戶行為的分析能力偏弱,特別是對于某些場景涉及多類日志的綜合分析的情況�����,單一設備平臺往往難以具備相關能力����,必須通過將這些設備的數(shù)據(jù)統(tǒng)一收集并進行關聯(lián)分析后得出更有價值的分析結(jié)果。
我們在最開始也一頭霧水����,經(jīng)過多次和安全相關部門的客戶或廠商接觸溝通后,才有了一些了解���,由于需要對這些安全設備平臺進行日志采集�,必須要對其有所了解,在此將網(wǎng)上收集到的一些信息整理供大家參考:
1. 動態(tài)應用防護系統(tǒng)
動態(tài)安全以動態(tài)防護技術為核心���,可對企業(yè)內(nèi)�、外網(wǎng)的應用提供主動防護�,不僅可以防護傳統(tǒng)攻擊行為,還可以有效防御傳統(tǒng)防護手段乏力的自動化攻擊����。
對企業(yè)內(nèi)�����、外網(wǎng)的應用提供主動防護��,不僅可以防護傳統(tǒng)攻擊行為�����,還可以有效防御傳統(tǒng)防護手段乏力的自動化攻擊�。
通過動態(tài)封裝、動態(tài)驗證����、動態(tài)混淆����、動態(tài)令牌等創(chuàng)新技術實現(xiàn)了從用戶端到服務器端的全方位“主動防護”�,為各類 Web、HTML5提供強大的安全保護���。讓攻擊者無從下手�,從而大幅提升攻擊的難度�����。
主要功能:
網(wǎng)站漏洞隱藏
使漏洞掃描攻擊無法獲取漏洞信息��,使漏洞利用工具無法執(zhí)行���,在網(wǎng)站未打補丁和補丁空窗期提供有效安全保護��;
網(wǎng)站代碼隱藏
對網(wǎng)站底層的代碼進行封裝��,使攻擊者無法分析網(wǎng)站應用的源代碼���;
傳統(tǒng)應用安全威脅防護
有效防止SQL注入、越權訪問�����、跨站攻擊、網(wǎng)頁后門等攻擊行為���;
自動化攻擊防護
有效防護攻擊者利用自動化攻擊腳本或工具對應用發(fā)起的攻擊行為���;
模擬合法操作攻擊防護
可有效應對攻擊者利用工具、合法身份��,模擬正常人工訪問的攻擊行為��;
數(shù)據(jù)防泄露
防止惡意人員使用工具或腳本程序通過前臺應用批量獲取數(shù)據(jù)的攻擊行為����。
2. DLP(數(shù)據(jù)安全防泄密系統(tǒng))
數(shù)據(jù)泄漏防護是通過一定的技術或管理手段�,防止企業(yè)組織的指 定數(shù)據(jù)或信息資產(chǎn)以違反安全策略規(guī)定的形式被有意或意外流出。數(shù)據(jù)防泄露產(chǎn)品(Data Leak Protection或Data leakage prevention)
1)數(shù)據(jù)防泄露系統(tǒng)-管理平臺
是基于Web界面的綜合管理平臺����,可配置基于用戶角色的訪問控制和系統(tǒng)管理選項。用戶通過管理平臺可依據(jù)內(nèi)置策略模板���,統(tǒng)一制定數(shù)據(jù)防泄露策略�,并集中下發(fā)到各安全模塊,從而對客戶敏感數(shù)據(jù)進行全方位的保護��。管理平臺可視化地呈現(xiàn)敏感數(shù)據(jù)分布狀況和安全態(tài)勢�,可生成泄露事件日志和報表,幫助用戶進行審核�����、審計和補救操作���。
2)數(shù)據(jù)防泄露系統(tǒng)-終端保護
終端保護客戶端掃描并發(fā)現(xiàn)電腦上的敏感信息分布和不當存儲�,監(jiān)控對敏感信息的使用并進行實時保護(如復制敏感信息到U盤等可移動存儲上�����,通過QQ��、微信�����、個人郵箱外發(fā)敏感信息等�,或者將其發(fā)至網(wǎng)盤、BBS等公共互聯(lián)網(wǎng)),排除數(shù)據(jù)從終端泄露的風險�。
3)數(shù)據(jù)防泄露系統(tǒng)-郵件保護
郵件保護監(jiān)控和掃描員工外發(fā)的電子郵件,包括信封�����、主題��、正文和附件���,對發(fā)現(xiàn)含有敏感信息的郵件進行隔離保護�����,交由相關人員審批��,并根據(jù)審批結(jié)果對郵件進行放行或者阻止,實現(xiàn)對通過企業(yè)郵箱泄露敏感信息的精確控制���。
4)數(shù)據(jù)防泄露系統(tǒng)-網(wǎng)絡監(jiān)控
網(wǎng)絡監(jiān)控通過鏡像旁路方式監(jiān)控捕獲來自多種網(wǎng)絡通道的外發(fā)數(shù)據(jù)�����,在確保不對網(wǎng)絡環(huán)境造成任何影響的情況下����,發(fā)現(xiàn)并記錄經(jīng)由網(wǎng)絡外發(fā)的敏感數(shù)據(jù)泄露事件,幫助客戶分析事件發(fā)生原因���,追蹤到相應責任人��,采取補救措施以消除影響�����,挽回損失并避免安全事故的再次發(fā)生��。
5)數(shù)據(jù)防泄露系統(tǒng)-網(wǎng)絡保護
網(wǎng)絡保護幫助用戶監(jiān)控��、阻止和保護敏感數(shù)據(jù)通過Web通道外泄�����。網(wǎng)絡保護同時支持HTTP�����、HTTPS和SMTP協(xié)議�,對網(wǎng)絡數(shù)據(jù)流量實時進行內(nèi)容恢復和掃描��,從而實現(xiàn)對通過Web方式泄露的敏感信息進行監(jiān)控和阻斷并上傳日志通知用戶。
6)數(shù)據(jù)防泄露系統(tǒng)-數(shù)據(jù)發(fā)現(xiàn)
數(shù)據(jù)發(fā)現(xiàn)亦叫網(wǎng)絡數(shù)據(jù)發(fā)現(xiàn)�,通過掃描網(wǎng)絡上的FTP服務器、文件服務器和郵件服務器中的數(shù)據(jù)�����,使用戶掌握敏感信息在網(wǎng)絡存儲設備上分布和不當存儲����,發(fā)現(xiàn)敏感信息泄露的潛在風險。
7)數(shù)據(jù)防泄露系統(tǒng)-應用系統(tǒng)保護
應用系統(tǒng)保護幫助用戶監(jiān)控���、阻止和保護通過web應用系統(tǒng)下載或上傳敏感信息����。應用系統(tǒng)保護支持HTTP和HTTPS協(xié)議��,對訪問web應用系統(tǒng)的流量實時進行內(nèi)容恢復和掃描����,從而實現(xiàn)對上傳到web應用系統(tǒng)和從web應用系統(tǒng)下載的敏感信息進行監(jiān)控和阻斷并上傳日志通知用戶���。
3. WAF(WEB應用防護系統(tǒng))
Web應用防護系統(tǒng)(也稱為:網(wǎng)站應用級入侵防御系統(tǒng)����。英文:Web Application Firewall,簡稱:WAF)�。利用國際上公認的一種說法:
Web應用防火墻是通過執(zhí)行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產(chǎn)品。
企業(yè)等用戶一般采用防火墻作為安全保障體系的第一道防線�。但是在現(xiàn)實中,Web服務器和應用存在各種各樣的安全問題��,并隨著黑客技術的進步也變得更加難以預防��,因為這些問題是普通防火墻難以檢測和阻斷的����,由此產(chǎn)生了WAF(Web應用防護系統(tǒng))。
Web應用防護系統(tǒng)(Web Application Firewall, 簡稱:WAF)代表了一類新興的信息安全技術����,用以解決諸如防火墻一類傳統(tǒng)設備束手無策的Web應用安全問題。與傳統(tǒng)防火墻不同����,WAF工作在應用層,因此對Web應用防護具有先天的技術優(yōu)勢���?;趯eb應用業(yè)務和邏輯的深刻理解,WAF對來自Web應用程序客戶端的各類請求進行內(nèi)容檢測和驗證���,確保其安全性與合法性��,對非法的請求予以實時阻斷���,從而對各類網(wǎng)站站點進行有效防護。
4. DDOS防御系統(tǒng)
防御DDOS是一個系統(tǒng)工程���,DDOS攻擊是分布��、協(xié)奏更為廣泛的大規(guī)模攻擊陣勢��,當然其破壞能力也是前所不及的�。這也使得DDOS的防范工作變得更加困難�����。
想僅僅依靠某種系統(tǒng)或高防防流量攻擊服務器防住DDOS是不現(xiàn)實的�,可以肯定的是,完全杜絕DDOS是不可能的�����,但通過適當?shù)拇胧┑钟?9.9%的DDOS攻擊是可以做到的����,基于攻擊和防御都有成本開銷的緣故,若通過適當?shù)霓k法增強了抵御DDOS的能力����,也就意味著加大了攻擊者的攻擊成本,那么絕大多數(shù)攻擊者將無法繼續(xù)下去而放棄�����,也就相當于成功的抵御了DDOS攻擊�����。
近年來隨著網(wǎng)絡的不斷普及����,流量攻擊在互聯(lián)網(wǎng)上的大肆泛濫,DDOS攻擊的危害性不斷升級����,面對各種潛在不可預知的攻擊,越來越多的企業(yè)顯的不知所措和力不從心��。單一的高防防流量攻擊服務器就像一個大功率的防火墻一樣能解決的問題是有限的,而集群式的高防防流量攻擊技術�����,也不是一般企業(yè)所能掌握和使用的��。
怎么樣可以確保在遭受DDOS攻擊的條件下���,服務器系統(tǒng)能夠正常運行呢或是減輕DDOS攻擊的危害性����?
對于企業(yè)來講�,這個系統(tǒng)工程往往要投入大量的網(wǎng)絡設備、購買大的網(wǎng)絡帶寬�,而且還需要把網(wǎng)站做相應的修改,還要配備相關人員去維護��,這個工程完成后����,能不能夠抵擋住外部攻擊可能還是未知數(shù)。
防御DDOS攻擊應綜合考慮到基于BGP的流量清洗技術的多層面���、多角度���、多結(jié)構(gòu)的多元立體系安全防護體系的構(gòu)建和從主動防御�����、安全應急、安全管理��、物理安全�、數(shù)據(jù)容災幾大體系入手,從而整合“高防服務器”“高防智能DNS”“高防服務器集群”“集群式防火墻架構(gòu)”“網(wǎng)絡監(jiān)控系統(tǒng)”“高防智能路由體系”����,從而實現(xiàn)智能的、完善的�����、快速響應機制的“一線式”安全防護架構(gòu)����。
1)攻擊方法
SYN/ACK Flood攻擊
這種攻擊方法是經(jīng)典最有效的DDOS方法,可通殺各種系統(tǒng)的網(wǎng)絡服務�����,主要是通過向受害主機發(fā)送大量偽造源IP和源端口的SYN或ACK 包,導致主機的緩存資源被耗盡或忙于發(fā)送回應包而造成拒絕服務�����,由于源都是偽造的故追蹤起來比較困難���,缺點是實施起來有一定難度����,需要高帶寬的僵尸主機支持�。
少量的這種攻擊會導致主機服務器無法訪問,但卻可以Ping的通�,在服務器上用Netstat -na命令會觀察到存在大量的SYN_RECEIVED狀態(tài)。
大量的這種攻擊會導致Ping失敗�、TCP/IP棧失效,并會出現(xiàn)系統(tǒng)凝固現(xiàn)象����,即不響應鍵盤和鼠標。普通防火墻大多無法抵御此種攻擊���。
TCP全連接攻擊
這種攻擊是為了繞過常規(guī)防火墻的檢查而設計的�����。
一般情況下�,常規(guī)防火墻大多具備過濾TearDrop、Land等DOS攻擊的能力����,但對于正常的TCP連接是放過的,殊不知很多網(wǎng)絡服務程序(如:IIS�����、Apache等Web服務器)能接受的TCP連接數(shù)是有限的�,一旦有大量的TCP連接�����,即便是正常的����,也會導致網(wǎng)站訪問非常緩慢甚至無法訪問,TCP全連接攻擊就是通過許多僵尸主機不斷地與受害服務器建立大量的TCP連接��,直到服務器的內(nèi)存等資源被耗盡而被拖跨�����,從而造成拒絕服務。
這種攻擊的特點是可繞過一般防火墻的防護而達到攻擊目的���,缺點是需要找很多僵尸主機�,并且由于僵尸主機的IP是暴露的�����,因此容易被追蹤�。
刷Script腳本攻擊
這種攻擊主要是針對存在ASP、JSP�、PHP、CGI等腳本程序���,并調(diào)用MSSQLServer�����、 MySQLServer��、Oracle等數(shù)據(jù)庫的網(wǎng)站系統(tǒng)而設計的��,特征是和服務器建立正常的TCP連接��,并不斷的向腳本程序提交查詢��、列表等大量耗費數(shù)據(jù)庫資源的調(diào)用����,典型的以小博大的攻擊方法。
一般來說����,提交一個GET或POST指令對客戶端的耗費和帶寬的占用是幾乎可以忽略的,而服務器為處理此請求卻可能要從上萬條記錄中去查出某個記錄��,這種處理過程對資源的耗費是很大的�,常見的數(shù)據(jù)庫服務器很少能支持數(shù)百個查詢指令同時執(zhí)行�����,而這對于客戶端來說卻是輕而易舉的����。
因此攻擊者只需通過Proxy代理向主機服務器大量遞交查詢指令,只需數(shù)分鐘就會把服務器資源消耗掉而導致拒絕服務����。常見的現(xiàn)象就是網(wǎng)站慢 如蝸牛、ASP程序失效、PHP連接數(shù)據(jù)庫失敗���、數(shù)據(jù)庫主程序占用CPU偏高�。
這種攻擊的特點是可以完全繞過普通的防火墻防護�����,輕松找一些Proxy代理 就可實施攻擊���,缺點是對付只有靜態(tài)頁面的網(wǎng)站效果會大打折扣�,并且有些Proxy會暴露攻擊者的IP地址��。
2)防御方案
異常流量的清洗過濾
通過DDOS硬件防火墻對異常流量的清洗過濾�,通過數(shù)據(jù)包的規(guī)則過濾、數(shù)據(jù)流指紋檢測過濾���、及數(shù)據(jù)包內(nèi)容定制過濾等頂尖技術能準確判斷外來訪問流量是否正常����,進一步將異常流量禁止過濾�����。單臺負載每秒可防御800-927萬個syn攻擊包。
分布式集群防御
這是網(wǎng)絡安全界防御大規(guī)模DDOS攻擊的最有效辦法����。
分布式集群防御的特點是在每個節(jié)點服務器配置多個IP地址,并且每個節(jié)點能承受不低于10G的DDOS攻擊��,如一個節(jié)點受攻擊無法提供服務���,系統(tǒng)將會根據(jù)優(yōu)先級設置自動切換另一個節(jié)點����,并將攻擊者的數(shù)據(jù)包全部返回發(fā)送點���,使攻擊源成為癱瘓狀態(tài)����,從更為深度的安全防護角度去影響企業(yè)的安全執(zhí)行決策���。
高防智能DNS解析
高智能DNS解析系統(tǒng)與DDOS防御系統(tǒng)的完美結(jié)合,為企業(yè)提供對抗新興安全威脅的超級檢測功能���。
它顛覆了傳統(tǒng)一個域名對應一個鏡像的做法�,智能根據(jù)用戶的上網(wǎng)路線將DNS解析請求解析到用戶所屬網(wǎng)絡的服務器。同時智能DNS解析系統(tǒng)還有宕機檢測功能��,隨時可將癱瘓的服務器IP智能更換成正常服務器IP��,為企業(yè)的網(wǎng)絡保持一個永不宕機的服務狀態(tài)��。
在建設了上述的的功能后��,我們需要圍繞客戶提出的場景需求來通過日志采集����、數(shù)據(jù)加工、數(shù)據(jù)統(tǒng)計���、規(guī)則判斷等實施工作來完成對用戶行為的分析及異常預警�。
下面我們梳理了幾個對主機日志進行分析��,并基于平臺能力實現(xiàn)的用戶行為分析場景作為平臺能力的應用示例���。
1. 賬號登錄異常
登錄時間異常
某重要資產(chǎn)或業(yè)務系統(tǒng)發(fā)現(xiàn)在夜間或非工作時間存在賬號短時間登錄行為�����,登錄結(jié)果為成功����,并且該行為持續(xù)時間較長;
登錄地點異常
某重要資產(chǎn)或業(yè)務系統(tǒng)發(fā)現(xiàn)大量非合法區(qū)域的IP登錄行為���,登錄結(jié)果為成功����;
在防火墻上這些IP的訪問動作為允許�,并且來自不同區(qū)域;
登錄賬號異常
某重要資產(chǎn)或業(yè)務1天內(nèi)有多個賬號登錄(正常業(yè)務除外)并且登錄結(jié)果是失?。?/span>
檢查新登錄的賬號是否在黑名單中�����,如果在名單中則觸發(fā)黑名單告警����;
非正常工作時間登陸、操作���。
1)需求分析
由于在其他場景中有針對業(yè)務系統(tǒng)的,所以與客戶溝通���,該場景的需求主要面向主機設備�����。
短時間的登錄成功次數(shù)限定����,暫定為10分鐘內(nèi)5次,后續(xù)建立動態(tài)基線后�����,以基線數(shù)據(jù)為準��。即當某個賬號在10分鐘內(nèi)登錄成功大于5次即產(chǎn)生告警�����。
合法登錄時間為每天的08:00-20:00����,由于工作外時間登錄較為常見,所以該限定條件只做記錄�,不做告警輸出。
一天內(nèi)多個賬號登錄失敗的條件限定為20個����,即一天內(nèi)超過20個用戶登錄失敗即產(chǎn)生告警���。
非合法區(qū)域的登錄成功,判定條件限定為1個����,即存在來源于非合法區(qū)域的登錄成功,即需產(chǎn)生告警�。
關聯(lián)賬戶黑名單列表,當出現(xiàn)黑名單賬戶登錄時即告警�。
2)依賴原始日志
3)依賴維度數(shù)據(jù)
4)輸出分析指標
單賬號登錄次數(shù)統(tǒng)計(簡單指標計算)
分組字段:賬號名、目標IP
過濾條件:登錄結(jié)果字段為“成功”
統(tǒng)計周期:10分鐘
計算規(guī)則:統(tǒng)計數(shù)量
告警條件:值大于5
非合法時間段登錄記錄清單(簡單指標計算)
分組字段:賬號名��、目標IP
過濾條件:登錄時間字段在08:00-20:00范圍外
統(tǒng)計周期:30分鐘
計算規(guī)則:獲取字段值(登錄時間字段)
告警條件:無
登錄失敗記錄清單(簡單指標計算)
分組字段:賬號名、目標IP
過濾條件:登錄結(jié)果字段為“失敗”
統(tǒng)計周期:30分鐘
計算規(guī)則:獲取字段值(登錄時間字段)
告警條件:無
登錄失敗賬號數(shù)統(tǒng)計(批量計算:登錄失敗記錄清單數(shù)據(jù)表SQL去重統(tǒng)計)
分組字段:賬號名���、目標IP
過濾條件:無
統(tǒng)計周期:當天
執(zhí)行周期:30分鐘
告警條件:大于20
非合法區(qū)域登錄(簡單指標計算,指標加工計算)
分組字段:賬號名����、目標IP
過濾條件:登錄結(jié)果字段為“成功”
統(tǒng)計周期:10分鐘
計算規(guī)則:獲取源IP字段
指標加工:關聯(lián)合法區(qū)域IP清單,增加“合法”標記
告警條件:指標加工后無“合法”標記
黑名單賬號登錄(簡單指標計算�,指標加工計算)
分組字段:賬號名、目標IP
過濾條件:無
統(tǒng)計周期:10分鐘
計算規(guī)則:獲取字段值(登錄時間字段)
指標加工:關聯(lián)黑名單賬戶清單�,增加“黑名單”標記
告警條件:指標加工后有“黑名單”標記
2. 賬戶提權
發(fā)現(xiàn)普通賬戶的權限被升級為管理員權限。
1)需求分析
2)依賴原始日志
3)依賴維度數(shù)據(jù)
4)輸出分析指標
3. 異常賬號登錄
1)需求分析
由于在其他場景中有針對業(yè)務系統(tǒng)的����,所以與客戶溝通,該場景的需求主要面向主機設備����。
維護一個賬號最新登錄時間記錄表作為維表,每日根據(jù)“單賬號登錄次數(shù)統(tǒng)計”指標數(shù)據(jù)做去重后更新���。
維護一個離職員工賬號表作為維表(手工維護或從相關系統(tǒng)同步)
將登錄成功賬號與賬號最新登錄時間記錄維表關聯(lián)����,關聯(lián)條件為查詢2個月內(nèi)有登錄記錄的賬號,如不能關聯(lián)到數(shù)據(jù)�,則產(chǎn)生沉默賬號登錄告警。
將登錄成功賬號與離職員工賬號維表關聯(lián)��,當關聯(lián)到離職員工賬號時產(chǎn)生離職員工賬號登錄告警���。
2)依賴原始日志
3)依賴維度數(shù)據(jù)
4)輸出分析指標
沉默賬號登錄記錄(簡單指標計算���,指標加工計算)
分組字段:登錄用戶�����、來源IP�、目標IP
過濾條件:登錄操作結(jié)果為“成功”
統(tǒng)計周期:30分鐘
計算規(guī)則:獲取登錄時間
指標加工:關聯(lián)賬號最新登錄時間記錄維表�����,獲取兩個月內(nèi)有登錄記錄的賬號,添加“非沉默賬號”標識
告警條件:對無“非沉默賬號”標識的記錄告警
離職員工賬號登錄記錄(簡單指標計算����,指標加工計算)
分組字段:登錄用戶、來源IP���、目標IP
過濾條件:登錄操作結(jié)果為“成功”
統(tǒng)計周期:30分鐘
計算規(guī)則:獲取登錄時間
指標加工:關聯(lián)離職員工賬號維表���,添加“離職賬號”標識
告警條件:對有“離職賬號”標識的記錄告警
