15、网络异常相关安全分析场景
转载公众号《微言晓意》,仅用于个人学习
在大数据安全分析里,威胁情报关联(查看文章:威胁情报相关的安全分析场景)、账号异常分析(查看文章:账号异常相关安全分析场景)两类效果比较好,除此之外网络异常分析效果也比较好。
网络异常相关安全分析场景非常的多,归纳起来大致分为三类:1、网络端口扫描异常;2、安全攻击后网络连接异常;3、单一网络流量异常。下面按这三类列举了典型分析场景。
网络(特定)端口扫描相关场景
▼▼场景一:内网主机发起网络端口扫描
- 场景描述:通过内网主机发起网络端口扫描,判定内网主机被恶意控制或者感染病毒。
- 分析方法-1:特定时间内(如5分钟内),同一内网主机对同一目的主机发起连接的目的端口超过一定数量(如超过50)。
- 分析方法-2:特定时间内(如5分钟内),同一内网主机对特定网络连接(如icmp)目的主机超过一定数量(如超过50)。
- 数据源:FW、NTA
-
解决方案:确认主机是否被恶意攻击者控制,并及时进行病毒查杀,修复漏洞。
- 场景描述:通过内网主机发起特定网络端口(如445、3389等)扫描,判定内网主机被恶意控制或者感染病毒。
- 分析方法-1:特定时间内(如5分钟内),同一内网主机特定目的端口(如445、3389等)被连接超过一定数量(如超过50)。
- 分析方法-2:特定时间内(如5分钟内),同一内网主机特定目的端口(如445、3389等)连接目的主机超过一定数量(如超过50)。
- 分析方法-3:同一内网主机被大量特定目的端口(如445),短时间内(如5分钟内),向超过一定数量(如如超过50)的其它主机发起大量特定目的端口(如445)扫描。
- 数据源:FW、NTA
-
解决方案:确认主机是否被恶意攻击者控制,并及时进行病毒查杀,修复漏洞。
安全攻击与网络异常关联场景
▼▼场景三:服务器被植入webshell后发起大量连接
- 场景描述:通过webshell与网络连接关联,判定特定主机被成功植入webshell。
- 分析方法:应用服务器发生webshell安全告警(事件A),特定时间(如30分钟)内,该主机发起大量网络连接事件(事件B)。A目的地址等于B源地址。
- 数据源:WAF,中间件日志/FW/NTA
-
解决方案:确认网络连接是否为恶意行为,屏蔽该主机对内部服务的访问、同时对发生告警主机进行webshell查杀。
- 场景描述:通过we攻击与网络连接关联,判定特定主机被攻击成功。
- 分析方法:服务器发生web攻击告警(事件A)后,特定时间内(如10分钟内),该服务器对外网发起网络连接(事件B)。事件A.目的地址=事件B.源地址and事件A.源地址=事件B.目的地址。
- 数据源:WAF/IPS/IDS,FW/NTA
-
解决方案:检查该主机服务器是否为恶意行为,屏蔽该地址对内部服务的访问,确认该服务器是否已经被攻击者控制。
单一网络流量异常相关场景
▼▼场景五:内网主机服务器遭受DDOS拒绝服务攻击
- 场景描述:通过对内网主机发起网络连接源IP地址数量,判定内网主机遭受DDOS拒绝服务攻击。
- 分析方法-1:特定时间内(如1分钟内),对同一内网主机对发起的网络连接(协议类型为TCP/UDP/ICMP)的源IP地址超过数量(如超过1000)。
- 分析方法-2:特定时间内(如1分钟内),对同一内网主机对发起的网络连接(目的端口为80、443、8080、11211)的源IP地址超过数量(如超过1000)。
- 数据源:FW、NTA
-
解决方案:屏蔽攻击者IP,加强被攻击机器DDOS防护
- 场景描述:通过对内网主机发送网络流量异常,判定内网主机被恶意控制或者感染病毒。
- 分析方法:特定时间内(如10分钟内),同一内网主机发送的网络流量总和超过网络流量阈值(如超过2G)。
- 数据源:FW、NTA
-
解决方案:确认主机是否被恶意攻击者控制,并及时进行病毒查杀,修复漏洞。
浙公网安备 33010602011771号