[[172737]]

如今網(wǎng)絡(luò)安全事件的復(fù)雜程度不斷攀升，從傳統(tǒng)的病毒到蠕蟲(chóng)、木馬的過(guò)程，這是一種網(wǎng)絡(luò)威脅進(jìn)化的過(guò)程，你再用傳統(tǒng)的監(jiān)控工具就OUT了。要想對(duì)抗攻擊，首先需要發(fā)現(xiàn)攻擊，通過(guò)抓包的常規(guī)做法比較滯后，而且也只能發(fā)現(xiàn)局部問(wèn)題，已不滿足我們對(duì)可視化網(wǎng)絡(luò)安全運(yùn)維的需要,你選擇的多數(shù)軟件都無(wú)法滿足對(duì)網(wǎng)絡(luò)攻擊可視化的需求。若想更佳方便的發(fā)現(xiàn)網(wǎng)絡(luò)異常，這里我們還是使用OSSIM平臺(tái)，下面看幾個(gè)網(wǎng)絡(luò)常見(jiàn)的攻擊類型和OSSIM對(duì)策：

上圖中用System Compromise表示疑似被入侵或遭受損失的攻擊類型;

Exploitation表示含有漏洞，或出現(xiàn)漏洞利用的攻擊類型;

Delivery表示交付和攻擊類型;

Reconnaissance &Probing 表示偵測(cè)和探測(cè)，有試圖發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的行為;

Environmental表示政策違規(guī)，易受攻擊的或可以的通訊;

在我們的身邊，每一秒都有可能有一個(gè)惡意軟件新樣本產(chǎn)生，高達(dá)83%的企業(yè)遭受過(guò)高級(jí)持續(xù)威脅的攻擊…大數(shù)據(jù)不僅僅是客戶所面臨的挑戰(zhàn)，對(duì)安全產(chǎn)品供應(yīng)商也同樣。如果說(shuō)，風(fēng)險(xiǎn)等于威脅乘以資產(chǎn)再乘以漏洞，那么大數(shù)據(jù)時(shí)代，風(fēng)險(xiǎn)正變得更加諱深莫測(cè)。OSSIM把這一切難題變得更加簡(jiǎn)單易行。下面看幾個(gè)典型攻擊實(shí)例面對(duì)OSSIM的表現(xiàn)吧。

1. ICMP攻擊

主要包括利用大量ICMP Redirect包修改系統(tǒng)路由表的攻擊和使用ICMP協(xié)議實(shí)施的拒絕服務(wù)攻擊。

2.掃描攻擊- nmap掃描

聚合后的事件，如下圖所示。

在OSSIM中利用上面的攻擊圖和告警關(guān)聯(lián)工具可以結(jié)合在一起，進(jìn)行危害評(píng)估，告警關(guān)聯(lián)工具可將一些特殊的，多步攻擊(往往是APT)產(chǎn)生的零散報(bào)警，“憑湊”在一起，以便把攻擊者的意圖展現(xiàn)給分析人員。

3.特洛伊木馬攻擊

最早的Zeusbot通過(guò)直接與它的C&C服務(wù)器進(jìn)行通信來(lái)下載配置數(shù)據(jù)和上傳竊取的信息。

4.蠕蟲(chóng)攻擊，例如Win32.Koobface.AC

Win32.Koobface.AC是一種通過(guò)Facebook社交網(wǎng)站進(jìn)行傳播的蠕蟲(chóng).它通過(guò)發(fā)送信息到被感染用戶社交網(wǎng)站上的聯(lián)系列表進(jìn)行傳播。如您看不懂這些也可先查詢惡意代碼知識(shí)百科

5. 檢查出感染惡意軟件

6.發(fā)現(xiàn)掛馬攻擊 EK是ExploitKit的縮寫(xiě)，表示Angler釣魚(yú)工具套件或工具包

7.發(fā)現(xiàn)用指令控制服務(wù)器C&C(控制僵尸網(wǎng)絡(luò))

8.發(fā)覺(jué)疑似MySQL攻擊

9. 實(shí)現(xiàn)手法

這種識(shí)別技術(shù)源于旁路監(jiān)聽(tīng)，即采用將網(wǎng)卡設(shè)置為混雜模式接入Switch鏡像口的方式實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)局的實(shí)時(shí)旁路捕獲，并對(duì)所獲得的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行檢測(cè)，它的基礎(chǔ)就在于NIDS基本體制。在NIDS中采用了基于精細(xì)的協(xié)議解析分流網(wǎng)絡(luò)數(shù)據(jù)，通過(guò)一些小特征庫(kù)進(jìn)行并行匹配，由于在Snort時(shí)代是單線程處理，所以系統(tǒng)的效率瓶頸問(wèn)題一直是匹配速度問(wèn)題，目前升級(jí)到Suricata后情況有所緩解。NIDS檢測(cè)的速度和檢測(cè)顆粒度就跟協(xié)議解析深度、特征匹配的速度以及特征庫(kù)的質(zhì)量息息相關(guān)。從某種角度上看OSSIM是一個(gè)網(wǎng)絡(luò)病毒傳播的監(jiān)控系統(tǒng)，核心功能之一是在OSSIM中用到了關(guān)聯(lián)分析引擎搭配中間件和緩存系統(tǒng)輔助，要了解詳情請(qǐng)參考《開(kāi)源安全運(yùn)維平臺(tái)-OSSIM最佳實(shí)踐》一書(shū)。