一、前言

伊朗2010年被報出核工廠遭受“超級工廠”(Stuxnet)病毒攻擊，蠕蟲通過多個漏洞潛伏在工控系統(tǒng)近兩年未被發(fā)現(xiàn)。相信諸如上述案例中的伊朗核工廠，大多網(wǎng)絡(luò)中都會部署有各種形形色色的安全產(chǎn)品，殺毒軟件,waf或IDS。但為什么那么大范圍的攻擊卻依然久未被察覺?大型網(wǎng)絡(luò)怎樣才能更有效的做好入侵檢測呢?本文講介紹一些建設(shè)經(jīng)驗。

二、監(jiān)測體系

2.1、架構(gòu)選擇

常規(guī)的安全產(chǎn)品可能是一個殺毒軟件，一個IDS，一個WAF，這能解決一個單點(diǎn)安全問題，但如果沒有全局的信息匯聚與分析，很難實現(xiàn)對全局態(tài)勢的感知。

云計算與云安全是常被提起的概念，在大型網(wǎng)絡(luò)中，因應(yīng)用服務(wù)器對于性能消耗較為敏感，很多復(fù)雜的安全分析邏輯不易被業(yè)務(wù)部門接受，部署于主機(jī)和網(wǎng)絡(luò)上的設(shè)備只被限制在實現(xiàn)提取數(shù)據(jù)功能。分析與計算在后端也就是所謂的云端來實現(xiàn)。

同時，采集與計算的分離帶來了諸多優(yōu)點(diǎn)：

1. 假設(shè)(幾乎是必然出現(xiàn))單點(diǎn)系統(tǒng)被黑客攻陷，安全策略不易被逆向與竊取，避免因策略失竊帶來的，對手針對性研究繞過手法;

2. 可快速更新檢測策略，減少對各子節(jié)點(diǎn)和探測設(shè)備的變更，避免干擾業(yè)務(wù)系統(tǒng)的穩(wěn)定;

3. 原始數(shù)據(jù)的短時存儲，便于對事件演變過程的重現(xiàn)，方便追溯審計，以及預(yù)研新檢測邏輯的驗證。

2.2、功能模塊

大型網(wǎng)絡(luò)的安全監(jiān)測產(chǎn)品通常有各類SOC系統(tǒng)，分布式安全產(chǎn)品，以及云安全產(chǎn)品。產(chǎn)品形式千變?nèi)f化，但功能模塊這里將其簡化如下歸納:

圖 1 入侵檢測體系模塊

2.3、態(tài)勢感知能力

通常SOC系統(tǒng)會收集各種日志，各種NIDS\HIDS 都有數(shù)據(jù)采集功能。盡可能多的采集數(shù)據(jù)對于入侵分析是很有幫助的。

但我們面對入侵事件時，常常面臨兩種尷尬局面：

2.3.1、數(shù)據(jù)很少：僅有部分系統(tǒng)\應(yīng)用默認(rèn)日志

如偵探破案一般，發(fā)現(xiàn)入侵事件最重要的是有證據(jù)。通常系統(tǒng)默認(rèn)的日志等數(shù)據(jù)無法滿足入侵事件分析需求，必須開發(fā)專門的探測器。先需要梳理場景對抗需求，搞清楚檢測某類攻擊所需數(shù)據(jù)類別與緯度，并將此作為數(shù)據(jù)采集系統(tǒng)的開發(fā)需求。

2.3.2、數(shù)據(jù)很多：大型網(wǎng)絡(luò)中各類數(shù)據(jù)很多，甚至多至無法記錄。

數(shù)據(jù)并非越多越好，特別是大型網(wǎng)絡(luò)的海量數(shù)據(jù)，如全部匯集存儲是難以支撐的。且大量的噪音數(shù)據(jù)也只會帶來硬件與人力成本的增加。真正流入最后存儲與分析系統(tǒng)的數(shù)據(jù)，必然是經(jīng)過精簡與格式化之后的。

2.4、數(shù)據(jù)分析

有了數(shù)據(jù)不等于有檢測能力，首先第一個問題就是如何理解你獲得的數(shù)據(jù)，這就是數(shù)據(jù)格式化。

如何定義格式化數(shù)據(jù)：

1) 分析規(guī)則決定數(shù)據(jù)緯度

2) 關(guān)聯(lián)邏輯定義字段擴(kuò)展

有了格式化好的數(shù)據(jù)，就實現(xiàn)了數(shù)據(jù)自動化分析的第一步，接下來才是分析引擎與規(guī)則建設(shè)。#p#

三、分析能力

但凡有一點(diǎn)滲透經(jīng)驗的人，對于無論是殺毒軟件還是waf\ids 系統(tǒng)都知道使用各種逃避檢測的手段?，F(xiàn)在我們面對的是有一定反檢測能力的攻擊者，特別是高級APT攻擊通常較為隱蔽不易觸發(fā)單點(diǎn)的安全策略和檢測，需要更多緯度和大視角的數(shù)據(jù)分析。

美國《2013年財年國防授權(quán)法案》:國防部下一代主機(jī)安全系統(tǒng)不能再是殺毒軟件或任何基于簽名的技術(shù)傳統(tǒng)安全產(chǎn)品單純依靠特征庫的檢測模式，效果已大打折扣。黑客工具千變?nèi)f化，攻擊手法層出不窮，但他們的目的不變，行為就是殊途同歸的。所以，在原有特征檢測技術(shù)之外，用行為模型能更好的檢測入侵，我們提出以下檢測模型：

3.1、單點(diǎn)事件描述數(shù)據(jù)的行為分析

例如一個進(jìn)程的啟動，進(jìn)程自身的行為與環(huán)境信息。

圖4 異常進(jìn)程

這里你看到了什么?以下均可作為惡意進(jìn)程檢測規(guī)則。

1) 父進(jìn)程為IE;

2) 進(jìn)程運(yùn)行在IE緩存目錄;

3) 進(jìn)程PE信息：加殼，未簽名，多個PE頭部等

3.2、上下文事件關(guān)聯(lián)分析

例如：一個進(jìn)程狀態(tài)的變化，以及父子進(jìn)程狀態(tài)的變化。

圖5 ProFTPD 漏洞

這是ProFTPD的一個遠(yuǎn)程緩沖區(qū)溢出漏洞攻擊后的結(jié)果，從pstree可以看到proftpd進(jìn)程派生了一個bash子進(jìn)程。正常情況下bash通常只會從系統(tǒng)登錄后的sshd\login等進(jìn)程啟動，這可作為一個異常告警邏輯。大家再想想這個場景還會有那些特征?

規(guī)則描述

3.3、多數(shù)據(jù)緯度關(guān)聯(lián)分析

例如：NIDS與HIDS的數(shù)據(jù)聯(lián)動分析。

圖 6 多系統(tǒng)數(shù)據(jù)關(guān)聯(lián)

IDS上出現(xiàn)來至非正常業(yè)務(wù)邏輯的文件上傳事件，于此幾乎同時，HIDS出現(xiàn)一個CGI文件生成事件，可作為可疑webshell上傳行為規(guī)則。上傳漏洞千變?nèi)f化，導(dǎo)致入侵者能上傳webshell的原因也千奇百怪，我們勿需為每一個web漏洞建立檢測規(guī)則，形成臃腫的規(guī)則庫，只要符合上述行為特征，就能被發(fā)現(xiàn)。

總結(jié)上訴架構(gòu)與分析邏輯，我們得出以下整體架構(gòu)圖。

圖7 入侵檢測系統(tǒng)簡化架構(gòu)

#p#

四、實戰(zhàn)推演

前面洋洋灑灑那么多，還是實戰(zhàn)來得實際。下面我們通過對一個確切的攻擊場景實現(xiàn)檢測能力來實踐前面的思路。

4.1、場景分析

在黑客入侵過程中，通常有一個環(huán)節(jié)，就是通過漏洞對自身擁有的權(quán)限進(jìn)行提升，簡稱提權(quán)。常見的提權(quán)手法是，發(fā)現(xiàn)系統(tǒng)存在的漏洞，執(zhí)行漏洞利用程序，exp利用漏洞獲取一個高權(quán)限的shell。

圖8 提權(quán)行為分析

4.2、檢測思路

通過對上述漏洞的分析和測試，我們會發(fā)現(xiàn)一個提權(quán)攻擊中的特點(diǎn)，那就是exploit工具自身在執(zhí)行時是低權(quán)限，而得到的shell是高權(quán)限。

有了對場景的清晰認(rèn)識，檢測邏輯也就很清楚了：

某個高權(quán)限(system?uid=0?)進(jìn)程(bash?cmd.exe?)的父進(jìn)程為低權(quán)限，則告警。

4.3、系統(tǒng)實現(xiàn)

數(shù)據(jù)采集需求:根據(jù)前面大節(jié)中的思路，我們有了場景有了規(guī)則，可以考慮采集那些數(shù)據(jù)以及數(shù)據(jù)緯度了。在這個場景中，規(guī)則分析至少需要用到幾個必備的進(jìn)程數(shù)據(jù)緯度：進(jìn)程權(quán)限;進(jìn)程ID;父進(jìn)程ID

規(guī)則邏輯：

以上檢測規(guī)則基本上能滿足多數(shù)提權(quán)場景，但實際運(yùn)用中還有一些細(xì)節(jié)需讀者自己去思考完善：

1、同樣滿足父進(jìn)程權(quán)限低，子進(jìn)程權(quán)限高的正常場景有哪些，如何去除誤報?

2、數(shù)據(jù)關(guān)聯(lián)分析中，分析流程向前追溯還是向后追溯更易實現(xiàn)，更符合你自己分析系統(tǒng)的架構(gòu)?

3、提權(quán)攻擊除了上述提到的場景，還有那些?

我們可以看到，從行為描述很容易刻畫攻擊場景，從而實現(xiàn)檢測，縱使攻擊手法千變?nèi)f化，而關(guān)鍵路徑是不易改變的。通過行為模型實現(xiàn)檢測能力，避免了各自漏洞技術(shù)細(xì)節(jié)差異帶來的規(guī)則庫冗余(且影響安全系統(tǒng)性能)，也避免因檢測規(guī)則過分針對細(xì)節(jié)(特征庫\漏洞庫)可能導(dǎo)致的被繞過。

五、總結(jié)

本文是在實際入侵對抗實踐中，根據(jù)公司網(wǎng)絡(luò)自身環(huán)境，外部威脅特點(diǎn)不斷總結(jié)出來一些淺顯經(jīng)驗?？偟臍w納為：入侵事件數(shù)據(jù)化、入侵檢測模型化、事件分析平臺化。

在不同網(wǎng)絡(luò)環(huán)境，安全威脅形勢，對抗要求時，還須結(jié)合自身情況作不少優(yōu)化和變化。個人認(rèn)為前述無論是架構(gòu)還是數(shù)據(jù)分析模型，是在現(xiàn)有網(wǎng)絡(luò)海量數(shù)據(jù)、業(yè)務(wù)環(huán)境苛刻、外部威脅多變的情況下一種較為經(jīng)濟(jì)易行的入侵檢測思路。