引言

隨著《網(wǎng)絡(luò)安全法》正式成為法律法規(guī)，等級保護系列政策更新，“安全” 對于大部分企業(yè)來說已成為“強制項”。然而，網(wǎng)絡(luò)空間安全形勢日趨復(fù)雜和嚴(yán)峻。賬號安全，也在不斷的威脅著企業(yè)核心數(shù)據(jù)安全。

根據(jù)最新的 IBM 全球威脅調(diào)查報告《X-Force威脅情報指數(shù)2020》，受攻擊網(wǎng)絡(luò)中 60％ 的初始訪問都是利用以前竊取的憑據(jù)或已知的軟件漏洞，從而使攻擊者更少依賴欺騙來獲取訪問權(quán)限。

一、概述

以操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備運維視角設(shè)定賬號，這類賬號一旦設(shè)定，不能隨意刪除，因此，在員工離職、調(diào)崗等異動時不能通過刪除賬號來實現(xiàn)賬號權(quán)限回收。

特權(quán)賬號保管不善，導(dǎo)致登錄憑證泄露、丟失，被惡意攻擊者、別有用心者獲取，然后被攻擊者利用該登錄憑證非授權(quán)訪問業(yè)務(wù)系統(tǒng)，進而可能導(dǎo)致系統(tǒng)數(shù)據(jù)被刪除、惡意增加管理員權(quán)限、非法下載大量數(shù)據(jù)等。特權(quán)賬戶從創(chuàng)建、使用、保存、注銷等全過程更是面臨較大泄露風(fēng)險，比如有些特權(quán)賬戶需要進行多次流轉(zhuǎn)（從超級管理員到普通管理員傳遞），目前普遍采用郵件、微信的方式的進行傳遞，有些安全意識較高的可能還進行加密處理，有些安全意識差的或者應(yīng)急場景，密碼明文傳輸更是比比皆是。攻擊者若獲取部分的賬戶、密碼可能會對企業(yè)進行大范圍的橫向擴展攻擊，導(dǎo)致系統(tǒng)遭受大面積入侵。

基于異常賬號（黑名單賬號，失效賬號）和賬號異常行為（繞行登錄，單賬號多IP登錄，非上班時間登錄，高危操作和敏感文件訪問）維度分析，能及時發(fā)現(xiàn)某賬號的操作行為時間軸軌跡，形成立體畫像，及時檢測威脅，避免安全威脅進一步擴大化，有效降低安全損失。

二、賬號安全威脅檢測措施

1.黑名單賬號登錄

告警發(fā)生場景：源用戶賬號不在用戶指定的白名單賬號列表中，并且曾經(jīng)產(chǎn)生過一些攻擊、違規(guī)等行為的賬號可以列為黑名單賬號重點關(guān)注。

攻擊方式：以黑名單賬號登錄系統(tǒng)，產(chǎn)生攻擊、違規(guī)等風(fēng)險行為。

檢測思路：通過登錄日志查看賬號信息是否不在用戶自定義的白名單賬號列表中，將產(chǎn)生異常行為（繞行登錄，單賬號多IP登錄，非上班時間登錄，高危操作和敏感文件訪問）的賬號設(shè)置為黑名單賬號列表，賬號不在白名單且在黑名單列表中的觸發(fā)告警。如白名單賬號產(chǎn)生異常行為后，將轉(zhuǎn)成黑名單賬號。

日志來源：以 linux 系統(tǒng)登錄日志為例

Sep 2 15:47:10 localhost sshd[21996]: Accepted password for blackhat from 192.168.1.41 port 60982 ssh2 

人工分析：用戶在日常運維中可以建立資產(chǎn)賬號的黑白名單庫，白名單賬號為合法賬號，黑名單賬號為產(chǎn)生異常行為（繞行登錄，單賬號多IP登錄，非上班時間登錄，高危操作和敏感文件訪問）的賬號。通過查看登錄日志篩選出所有登錄賬號，比對是否不在白名單賬號中并屬于黑名單賬號。

工具分析：集中采集 linux 系統(tǒng)登錄日志，解析關(guān)鍵字段：事件類型為登錄，結(jié)果是否登錄成功，登錄賬號信息，通過自定義黑白名單賬號字典，賬號信息命中不在白名單賬號且在黑名單賬號即刻觸發(fā)告警，能大幅提升黑名單賬號風(fēng)險識別效率。

2. 失效賬號登錄

告警發(fā)生場景：源用戶賬號為失效賬號，失效賬號可能為離職員工賬號、已經(jīng)禁用/刪除或過期的賬號，正常不會用失效賬號登錄。

攻擊方式：以失效賬號登錄系統(tǒng)，產(chǎn)生攻擊、違規(guī)等風(fēng)險行為。

檢測思路：通過登錄日志查看賬號信息是否為失效賬號。

日志來源：以linux系統(tǒng)登錄日志為例

Sep 10 15:40:10 localhost sshd[21996]: Accepted password for invalid from 192.168.1.41 port 60982 ssh2 

人工分析：查看登錄日志篩選出所有登錄賬號，比對是否屬于失效賬號。

工具分析：集中采集linux系統(tǒng)登錄日志，解析關(guān)鍵字段：事件類型為登錄，結(jié)果是否登錄成功，登錄賬號信息，通過自定義失效賬號字典，賬號信息命中失效賬號字典即刻觸發(fā)告警，能大幅提升失效賬號風(fēng)險識別效率。

3.多賬號登錄同一重要資產(chǎn)失敗

告警發(fā)生場景：多個不同的賬號登錄同一個目標(biāo)資產(chǎn)失敗，可能存在有意的批量賬號猜測攻擊。

攻擊方式：以多個不同的賬號登錄同一個目標(biāo)資產(chǎn)嘗試進行密碼猜測暴力破解。

檢測思路：超過3個以上不同賬號登錄同一個目標(biāo)主機失敗。

日志來源：以linux系統(tǒng)登錄日志為例

Sep 10 15:40:10 localhost sshd[21996]: Failed password for userA from 192.168.1.41 port 60982 ssh2 
 
Sep 10 15:42:12 localhost sshd[6116]: Failed password for userB from 192.168.1.39 port 60982 ssh2 
 
Sep 10 15:43:15 localhost sshd[1828]: Failed password for userC from 192.168.1.21 port 60982 ssh2 

人工分析：需要查看同一臺目標(biāo)主機的登錄失敗日志，是否在短時間內(nèi)有多個不同的源IP、不同賬號登錄失敗。

工具分析：集中采集 linux 系統(tǒng)登錄日志，解析關(guān)鍵字段：事件類型為登錄，結(jié)果是登錄失敗，針對同一個目標(biāo)系統(tǒng)，在一段時間內(nèi)失敗超過 3 次即刻觸發(fā)告警，能大幅提升賬號風(fēng)險行為識別效率。

4.單賬號多 IP 登錄

告警發(fā)生場景：某賬號已登錄，在未退出的情況下從另一源 IP 地址成功登錄，可能密碼外泄或被破解。

攻擊方式：攻擊者獲取賬戶信息后從多個 IP 地址成功登錄，通過多 IP 干擾溯源取證。

檢測思路：通過多條日志關(guān)聯(lián)分析，登錄結(jié)果成功的賬戶為同一個賬戶，但是源IP不同，即可判定屬于單賬號多IP登錄事件，觸發(fā)告警。

日志來源：系統(tǒng)登錄日志

1）Linux 環(huán)境登錄日志查看

Linux 用戶登錄日志存放在 /var/log/secure 中，以 CentOS 7 為例，查看 secure.log，看到登錄日志樣例如下：

人工分析：目標(biāo)主機 192.168.1.161 在 2020-5-24 17: 13 登錄成功的源IP 有兩個：192.168.1.162 和 192.168.1.3，賬戶均為 root，在 192.168.1.162 登錄成功未退出的情況下，源用戶 root 又在 192.168.1.3 成功登錄，屬于單賬號多 IP 登錄，存在賬號密碼外泄的風(fēng)險。

2）Windows 環(huán)境登錄日志查看

例如，查看 Windows server 2012 服務(wù)器的登錄日志，通過菜單“工具”-“事件管理器”-“Windows日志”-“安全”可以發(fā)現(xiàn)登錄日志，原始登錄日志樣例如下：

可以看到事件 ID 為 4624，結(jié)果為審核成功，代表登錄成功。

點擊“詳細信息”，選擇“XML”視圖，可以看到詳細的 Windows server 登錄日志關(guān)鍵信息，包括登錄類型為 10，表示此次登錄是遠程桌面登錄，非本地登錄或文件共享登錄。

源 IP 為 192.168.1.162。除了 Windows server 2012 本地 IP 192.168.1.127 通過 Administrator 賬號登錄以外，同時還有通過源 IP 192.168.1.162 也是 Adminstrator 賬號的登錄成功記錄。

人工分析：目標(biāo)主機 192.168.1.127 在 2020-5-20 17: 39 登錄成功的源 IP 有兩個：192.168.1.127 和 192.168.1.162，賬戶均為 Administrator，屬于單賬號多 IP 登錄，存在賬號密碼外泄的風(fēng)險。

工具分析：通過日志分析工具統(tǒng)一采集系統(tǒng)登錄日志，解析關(guān)鍵字段：事件類型為登錄，結(jié)果是否登錄成功，設(shè)置多維度關(guān)聯(lián)告警規(guī)則觸發(fā)單賬號多IP登錄告警，即在登錄成功的前提下，多條日志中源用戶字段相同，源IP不同，表示通過同一賬號不同的源IP登錄系統(tǒng)成功。

5.非上班時間登錄

告警發(fā)生場景：員工在非上班時間登錄系統(tǒng)，比如在下班時間 22:00-4:00 登錄系統(tǒng)，這種情況比較危險，極有可能存在不法意圖。

攻擊方式：惡意員工或者黑客獲取員工賬號后，在非上班時間登錄系統(tǒng)。

檢測思路：可以通過人工查看原始日志分析，或者通過日志審計工具解析原始日志，獲取用戶登錄時間字段，命中非上班時間，并且能成功登錄系統(tǒng)就觸發(fā)非上班時間登錄告警。

日志來源：系統(tǒng)登錄日志

1）Linux 環(huán)境登錄日志查看

Linux 用戶登錄日志存放在 /var/log/secure 中，以 CentOS 7 為例，查看 secure.log，看到登錄日志樣例如下：

May 8 23:47:09 localhost sshd[1657]: Accepted password for root from 192.168.114.1 port 57115 ssh2 
 
May 8 13:14:49 localhost sshd[51628]: Failed password for root from 192.168.114.1 port 49237 ssh2 

人工分析：根據(jù)關(guān)鍵字“Accepted”判斷登錄成功，關(guān)鍵字“Failed”判斷登錄失敗。根據(jù)日志信息里的時間判定是否在非上班時間，如果在非上班時間，且登錄成功，則命中檢測規(guī)則，需要進行告警提示用戶當(dāng)前存在該風(fēng)險。如果在非上班時間，但登錄失敗的，則沒有命中檢測規(guī)則，不需要進行告警。

2）Windows 環(huán)境登錄日志查看

以 Windows10 為例，在“事件查看器-安全”中查看 Windows10 登錄日志，通過篩選關(guān)鍵字“審核成功”可查看登錄成功的日志，篩選關(guān)鍵字“審核失敗”可查看登錄失敗的日志。根據(jù)系統(tǒng)記錄時間判定是否在非上班時間內(nèi)。

人工分析：過濾出審核成功的登錄日志，根據(jù)日志信息里的時間判定是否在非上班時間，如果在非上班時間登錄成功，則命中檢測規(guī)則，需要進行告警提示用戶當(dāng)前存在該風(fēng)險。

通過人工分析日志，需要運維人員逐一登錄目標(biāo)資產(chǎn)收集原始日志，在海量日志場景中效率比較低，而且容易遺漏數(shù)據(jù)或者延誤，無法在第一時間發(fā)現(xiàn)系統(tǒng)安全威脅，有巨大的安全隱患。檢測思路可以復(fù)用到日志分析工具中作為告警規(guī)則，通過日志分析工具能夠在海量日志場景中基于告警規(guī)則即刻識別安全威脅， 解決人工分析痛點。

工具分析：日志分析工具基于日志采集-日志解析-告警觸發(fā)-報表展示的標(biāo)準(zhǔn)化流程，采集原始的 linux 和 Windows 登錄日志，根據(jù)日志樣例分別建立 linux 和 Windows 登錄日志解析規(guī)則，將非結(jié)構(gòu)化的日志信息中有價值的信息解析成關(guān)鍵字段，例如將事件類型解析為 login，登錄結(jié)果解析為成功或失敗，事件發(fā)生時間原樣記錄，定義非上班時間的時間范圍，如果發(fā)生時間命中非上班時間范圍，且登錄結(jié)果成功，則實時觸發(fā)告警展示，通過短信、微信、郵件等方式轉(zhuǎn)給運維人員及時處理。

6. 繞堡壘機登錄

告警發(fā)生場景：目前最主要的威脅來自內(nèi)部人員，防火墻等安全設(shè)備只能防御來自外部的攻擊，內(nèi)部人員安全管理必須通過堡壘機實現(xiàn)，堡壘機用于運維安全審計，解決多點登錄、分散管理、賬號共享難以定位責(zé)任人、人為操作風(fēng)險不可控等問題，一旦出現(xiàn)繞堡壘機登錄行為，攻擊者非法登錄繞過了堡壘機的審計，存在嚴(yán)重的安全威脅。

攻擊方式：攻擊者用非堡壘機IP登錄系統(tǒng)，繞過堡壘機審計。

檢測思路：可以通過人工查看原始日志分析，或者通過日志審計工具解析原始日志，獲取用戶登錄的源IP，登錄結(jié)果是否成功，如果登錄成功，且源IP不在堡壘機IP列表中，則觸發(fā)繞堡壘機登錄告警。

日志來源：系統(tǒng)登錄日志

1）Linux 環(huán)境登錄日志查看

Linux 用戶登錄日志存放在 /var/log/secure 中，查看 secure.log，看到登錄日志樣例如下：

May 8 09:47:09 localhost sshd[1657]: Accepted password for root from 192.168.114.1 port 57115 ssh2 
 
May 8 13:14:49 localhost sshd[51628]: Failed password for root from 192.168.114.1 port 49237 ssh2 

人工分析：Accepted 代表登錄成功，源 IP 192.168.114.1 不在堡壘機 IP 列表中，則屬于繞堡壘機登錄行為，觸發(fā)告警。Failed 代表登錄失敗，可以忽略此條登錄日志，不符合告警觸發(fā)條件。

2）Windows 環(huán)境登錄日志查看

例如，查看 Windows server 2012 服務(wù)器的登錄日志，通過菜單“工具”-“事件管理器”-“Windows 日志”-“安全”可以發(fā)現(xiàn)登錄日志，原始登錄日志樣例如下：

可以看到事件 ID 為 4624，結(jié)果為審核成功，代表登錄成功。

點擊“詳細信息”，選擇“XML”視圖，可以看到詳細的 Windows server 登錄日志關(guān)鍵信息，包括登錄類型為10，表示此次登錄是遠程桌面登錄，非本地登錄或文件共享登錄。源IP為 192.168.1.162。

人工分析：Windows server 登錄日志審核成功的代表登錄成功，通過過濾事件 ID 4624的登錄日志，查看詳細信息中找到源IP 192.168.1.162，發(fā)現(xiàn)該 IP 不在堡壘機 IP 列表中，則屬于繞堡壘機登錄行為，觸發(fā)告警。

通過人工分析日志，需要運維人員逐一登錄目標(biāo)資產(chǎn)收集原始日志，尤其是 linux 和Windows 跨平臺的日志無法統(tǒng)一處理，尤其比如 Windows server 登錄日志想要看到源IP，還需要進一步點擊詳情，在海量日志場景中效率非常低。檢測思路可以復(fù)用到日志分析工具中作為告警規(guī)則，通過日志分析工具能夠在海量日志場景中基于告警規(guī)則即刻識別安全威脅，解決人工分析痛點。

工具分析：通過日志分析工具統(tǒng)一采集各種類型資產(chǎn)的登錄日志，快速解析出關(guān)鍵信息：登錄結(jié)果以及源IP，檢測思路為登錄成功，且源IP不在堡壘機IP列表中，命中規(guī)則即刻觸發(fā)告警?；诟婢梢陨蓤蟊碚故?，方便運維人員及領(lǐng)導(dǎo)實時查看繞行風(fēng)險趨勢，及時處置，避免風(fēng)險擴大化。

樣例如下：

2020-05-20T17:39:25.486713+08:00 WIN-5GR4VO5INR0 Microsoft-Windows-Security-Auditing 492 - [seci-win-2008 Keywords="-9214364837600034816" EventType="AUDIT_SUCCESS" EventID="4624" ProviderGuid="{54849625-5478-4994-A5BA-3E3B0328C30D}" Version="1" Task="12544" OpcodeValue="0" RecordNumber="540" ThreadID="1472" Channel="Security" Category="登錄" Opcode="信息" SubjectUserSid="S-1-5-18" SubjectUserName="WIN-5GR4VO5INR0$" SubjectDomainName="WORKGROUP" SubjectLogonId="0x3e7" TargetUserSid="S-1-5-21-1283914313-648295371-1762289952-500" TargetUserName="Administrator" TargetDomainName="WIN-5GR4VO5INR0" TargetLogonId="0x521844" LogonType="10" LogonProcessName="User32 " AuthenticationPackageName="Negotiate" WorkstationName="WIN-5GR4VO5INR0" LogonGuid="{00000000-0000-0000-0000-000000000000}" TransmittedServices="-" LmPackageName="-" KeyLength="0" ProcessName="C:\\Windows\\System32\\winlogon.exe" IpAddress="192.168.1.162" IpPort="0" ImpersonationLevel="%%1833" EventReceivedTime="2020-05-20 17:39:26" SourceModuleName="eventlog" SourceModuleType="im_msvistalog"] 事件發(fā)生時間=2020-05-20 17:39:25 

7.密碼猜測

告警發(fā)生場景：攻擊者多次登錄服務(wù)器，通過暴力破解密碼、社工獲取密碼線索等方式猜測密碼，登錄失敗多次后登錄成功。

攻擊方式：攻擊者通過暴力破解密碼、社工獲取密碼線索等方式猜測密碼多次。

檢測思路：查看某段時間的登錄日志，多次連續(xù)登錄失敗，然后成功登錄系統(tǒng)，表示密碼猜測成功，觸發(fā)密碼猜測告警。

日志來源：系統(tǒng)登錄日志

1）Linux 環(huán)境登錄日志查看

Linux 用戶登錄日志存放在 /var/log/secure中，以 CentOS 7 為例，查看 secure.log，看到登錄日志樣例如下：

人工分析：發(fā)現(xiàn)在 2020-5-20 18:37，有連續(xù)登錄失敗日志，密碼錯誤鑒權(quán)失敗，在18:38 成功登錄，密碼猜測成功。

2）Windows 環(huán)境登錄日志查看

以 Windows server 2012 為例，查看 Windows server 2012 服務(wù)器的登錄日志，通過菜單“工具”-“事件管理器”-“Windows日志”-“安全”可以發(fā)現(xiàn)登錄日志，原始登錄日志樣例如下：

人工分析：發(fā)現(xiàn)在2020-5-20 18:48出現(xiàn)連續(xù)4次登錄失敗（事件ID為4625）,然后第5次登錄成功（事件ID為4624）,證明密碼猜測成功。

工具分析：通過日志分析工具統(tǒng)一采集各種類型資產(chǎn)的登錄日志，解析出關(guān)鍵信息：事件類型是登錄，結(jié)果。告警規(guī)則設(shè)定為多數(shù)據(jù)源時序關(guān)聯(lián)告警，在一定時間內(nèi)登錄失敗次數(shù)超過指定閾值后觸發(fā)子告警，基于該子告警以及后面登錄成功的日志作為多數(shù)據(jù)源時序關(guān)聯(lián)告警的數(shù)據(jù)源，通過源IP作為關(guān)聯(lián)字段，滿足子告警中的源IP=登錄成功日志中的源IP，即可觸發(fā)密碼猜測告警。

8.高危命令操作

告警發(fā)生場景：高危命令操作一般是比較危險的操作，如果攻擊者經(jīng)攻擊成功，進入了系統(tǒng)，在這種情況下一般要做的事情是清理現(xiàn)場，刪除日志增加一些配置等行為。如Linux高危命令rm –rf，一條命令就可以刪除一個目錄下所有文件，以及整個目錄，這種操作是比較危險的操作。自定義高危命令，記錄用戶操作行為，當(dāng)用戶有相關(guān)定義高危命令操作時，就是一條違規(guī)操作。黑客或內(nèi)部惡意人員通過高危命令惡意篡改或刪除文件或者數(shù)據(jù)庫表核心數(shù)據(jù)，造成數(shù)據(jù)被破壞，直接導(dǎo)致業(yè)務(wù)異?；虬c瘓。

攻擊方式：攻擊者通過針對文件或者數(shù)據(jù)庫的高危命令操作完成攻擊，例如常用的rm、init、reboot、umount、kill、cp、mv、reset、DELETE、DROP_TABLE、INSERT、UPDATE等命令。

檢測思路：通過查看主機或者數(shù)據(jù)庫日志，發(fā)現(xiàn)用戶操作執(zhí)行的命令，匹配預(yù)定義的高危命令集，如命中則屬于高危命令操作事件。

日志來源：主機日志或數(shù)據(jù)庫日志

以 Oracle 數(shù)據(jù)庫日志為例，查看 Oracle 數(shù)據(jù)庫日志，樣例如下：

BELONGAPP=||CLIENT_MAC_ADDRESS=||COMMAND=DELETE||CREATED_MONTH=5||CREATED_TIME=2020-05-11 10:24:13||DATABASE_NAME=jxcrm||DATABASE_PORT=2268||DATABASE_TYPE=1||EVENT_LEVEL=||EVENT_PRIORITY=||FULL_SQL=DELETE FROM rpl_table_T WHERE ROWID = 'AAOyrUANsAAA+gxAAA'||FULL_SQL_LOWER=delete from rpl_table_t where rowid = 'aaoyruansaaa+gxaaa'||FULL_TEXT1=DELETE FROM rpl_table_T WHERE ROWID = 'AAOyrUANsAAA+gxAAA'||FULL_TEXT2=||FULL_TEXT3=||GROUP_ID=||GUID=||ID=203610739||LOG_TIME=2020-05-11 10:27:17||OPERATE_NUM=1||ORG_ID_PATH=||OUTCOME=0||REASON=||RESOURCE_CLASS=1||RESOURCE_ID=||RESOURCE_IP=134.240.7.8||RESOURCE_NAME=||RESULT=1||SOURCE_IP=134.224.240.170||SUID=||TABLE_NAME=rpl_table_T||TARGET_ID=||TARGET_IP=130.75.3.6||TARGET_SLAVE=SF_RAOPANLI||USER_PRIMARY=raopl|| 
 
AUDIT_TYPE=2||BELONGAPP=||BELONGAPPCODE=0||COMMAND=INSERT||CREATED_MONTH=5||CREATED_TIME=2020-05-12 14:35:13||DATABASE_NAME=JXIOM||DATABASE_PORT=1521||DATABASE_TYPE=1||EVENT_LEVEL=||EVENT_PRIORITY=||FULL_SQL=insert into BB_UNI_ACCEPT_WAY_T (select * from BB_UNI_ACCEPT_WAY_T@iom2crm )||FULL_SQL_LOWER=insert into bb_uni_accept_way_t (select * from bb_uni_accept_way_t@iom2crm )||FULL_TEXT1=insert into BB_UNI_ACCEPT_WAY_T (select * from BB_UNI_ACCEPT_WAY_T@iom2crm )||FULL_TEXT2=||FULL_TEXT3=||GROUP_ID=||ID=209103545||LOG_TIME=2020-05-12 15:04:52||OPERATE_NUM=1||ORG_ID_PATH=||OUTCOME=0||REASON=||RESOURCE_CLASS=1||RESOURCE_ID=||RESOURCE_IP=134.240.7.7||RESOURCE_NAME=||RESULT=12||SESSION_ID=B23537025ADA46B398CD45A565AB812D||SOURCE_IP=2.0.4.154||TABLE_NAME=BB_UNI_ACCEPT_WAY_T@iom2crm,BB_UNI_ACCEPT_WAY_T||TARGET_ID=||TARGET_IP=134.224.248.22||TARGET_SLAVE=IOM_OWNER_USER||USER_PRIMARY=neusoft_xuyang|| 

人工分析：通過Oracle原始日志發(fā)現(xiàn)，COMMAND=DELETE以及COMMAND=INSERT代表如上兩條Oracle操作日志分別對應(yīng)DELETE和INSERT操作，屬于高危操作命令，極有可能威脅數(shù)據(jù)安全，需要及時預(yù)警處置。

工具分析：通過日志分析工具預(yù)定義高危操作命令集，通過原始日志解析出事件類型，如果是SELECT操作，屬于正常操作，如果符合DELETE、DROP_TABLE、INSERT、UPDATE等高危命令集，則觸發(fā)高危命令操作告警。

9.敏感文件訪問

告警發(fā)生場景：黑客或內(nèi)部惡意人員通過訪問數(shù)據(jù)庫或者系統(tǒng)敏感文件，造成數(shù)據(jù)泄露。網(wǎng)站管理后臺，數(shù)據(jù)庫文件，備份文件等都是一些敏感文件，一般不允許對其進行操作。如Linux敏感文件 /etc/passwd 文件，記錄所有用戶的密碼文件，一般是不允許對該文件做修改的。自定義敏感文件，記錄用戶操作行為，當(dāng)用戶有相關(guān)定義敏感文件操作時，就是一條違規(guī)操作。根據(jù)操作的文件是否是敏感文件，提取用戶對文件的操作，若含有訪問、修改權(quán)限、刪除、轉(zhuǎn)移、重命名等操作，則告警，敏感文件如.conf/.ini/.sys/.dll/ 數(shù)據(jù)庫敏感表等。

攻擊方式：攻擊者通過提權(quán)訪問敏感文件或數(shù)據(jù)庫中敏感的表，對敏感文件或敏感表進行刪除、修改或轉(zhuǎn)移等攻擊。

檢測思路：根據(jù)操作的文件是否是敏感文件或者操作的數(shù)據(jù)庫表是否為敏感表名進行檢測。

日志來源：主機日志或數(shù)據(jù)庫日志

以 Oracle 數(shù)據(jù)庫日志為例，查看 Oracle 數(shù)據(jù)庫日志，樣例如下：

BELONGAPP=||CLIENT_MAC_ADDRESS=||COMMAND=SELECT||CREATED_MONTH=5||CREATED_TIME=2020-05-12 14:40:10||DATABASE_NAME=CRM主機1||DATABASE_PORT=1521||DATABASE_TYPE=1||EVENT_LEVEL=||EVENT_PRIORITY=||FULL_SQL=DELETE FROM woaccept.BS_INFO_TYPE_T WHERE ROWID = 'AAAVbjAASAAAAGmAAK'||FULL_SQL_LOWER=delete from woaccept. BS_INFO_TYPE_T where rowid = 'aaavbjaasaaaagmaak'||FULL_TEXT1=DELETE FROM woaccept. BS_INFO_TYPE_T WHERE ROWID = 'AAAVbjAASAAAAGmAAK'||FULL_TEXT2=||FULL_TEXT3=||GROUP_ID=||GUID=||ID=203874146||LOG_TIME=2020-05-12 10:12:09||OPERATE_NUM=1||ORG_ID_PATH=||OUTCOME=0||REASON=||RESOURCE_CLASS=1||RESOURCE_ID=||RESOURCE_IP=192.168.1.162||RESOURCE_NAME=||RESULT=1||SOURCE_IP=192.168.1.164||SUID=||TABLE_NAME=BS_INFO_TYPE_T||TARGET_ID=||TARGET_IP=134.224.56.14||TARGET_SLAVE=SF_TUYUANWEN||USER_PRIMARY=wangyi|| 
 
BELONGAPP=||CLIENT_MAC_ADDRESS=||COMMAND=UPDATE||CREATED_MONTH=5||CREATED_TIME=2020-05-12 14:40:10||DATABASE_NAME=CRM主機1||DATABASE_PORT=1521||DATABASE_TYPE=1||EVENT_LEVEL=||EVENT_PRIORITY=||FULL_SQL=DELETE FROM woaccept.BT_ACT_SUBPROC WHERE ROWID = 'AAAVbjAASAAAAGmAAK'||FULL_SQL_LOWER=delete from woaccept.BT_ACT_SUBPROC where rowid = 'aaavbjaasaaaagmaak'||FULL_TEXT1=DELETE FROM woaccept.BT_ACT_SUBPROC WHERE ROWID = 'AAAVbjAASAAAAGmAAK'||FULL_TEXT2=||FULL_TEXT3=||GROUP_ID=||GUID=||ID=203874146||LOG_TIME=2020-05-12 10:12:09||OPERATE_NUM=1||ORG_ID_PATH=||OUTCOME=0||REASON=||RESOURCE_CLASS=1||RESOURCE_ID=||RESOURCE_IP=192.168.1.162||RESOURCE_NAME=||RESULT=1||SOURCE_IP=192.168.1.164||SUID=||TABLE_NAME=BT_ACT_SUBPROC||TARGET_ID=||TARGET_IP=134.224.56.14||TARGET_SLAVE=SF_TUYUANWEN||USER_PRIMARY=tuyw3|| 

人工分析：通過 Oracle 原始日志發(fā)現(xiàn)，DATABASE_NAME=CRM主機1，TABLE_NAME=BS_INFO_TYPE_T 以及 TABLE_NAME=BT_ACT_SUBPROC，COMMAND=SELECT以及COMMAND=UPDATE 代表如上兩條 Oracle 操作日志分別訪問以及更新了數(shù)據(jù)庫CRM主機1中的兩張敏感表BS_INFO_TYPE_T及BT_ACT_SUBPROC，極有可能導(dǎo)致敏感數(shù)據(jù)外泄或篡改，需要及時預(yù)警處置。

工具分析：通過日志分析工具預(yù)定義敏感數(shù)據(jù)庫及敏感表，通過原始日志解析出數(shù)據(jù)庫名及數(shù)據(jù)庫表名，同時對操作類型甄別（INSERT，UPDATE，DELETE，DROP_TABLE的操作作為重點專注對象），如果數(shù)據(jù)庫名及數(shù)據(jù)庫表名屬于預(yù)定義的敏感數(shù)據(jù)庫及敏感表集，則觸發(fā)敏感文件訪問告警。

三、總結(jié)

以上介紹了目前常用的賬號安全威脅檢測手段，包括：基于異常賬號（黑名單賬號，失效賬號）的檢測，基于賬號異常行為（繞行登錄，單賬號多IP登錄，非上班時間登錄，高危操作和敏感文件訪問）的檢測等。

通過這些檢測手段，再輔以工具，能及時發(fā)現(xiàn)賬號的異常操作行為，從而避免安全威脅進一步擴大化，有效降低安全損失。