SIEM中基于多层网络分析引擎的安全威胁预警研究

在大年夜型企业临盆情况中,实现安然事故的处置惩罚和进击行径的阐发,必要尽可能多地网络各类安然设备的安然事故数据,例如:收集防火墙、WAF、办事器防护、VPN,、流量监控、APT检测、IDS、IPS、蜜罐等。然而,过多的安然事故日志(特定场景下,如天天40万条日志),将无法人工地进行阐发和处置惩罚,若何从中过滤出真正的渗透进击者,供安然运维职员和相应职员进行处置惩罚,是现有所有类SIEM设备所合营面临的寻衅。

在大年夜型组织内部支配了多种多半量不合厂商安然设备的情况中存在如下三个详细问题:

1、因为安然厂商设备能力问题及日志规范问题会呈现一台安然设备发出大年夜量同一攻事故相同光阴或者事故距离很小的大年夜量日志,人工无法判断这些日志是同一个进击者的重复行径照样安然设备的重复告警.

2、各家安然设备厂商对同一进击事故都邑告警,SIEM都收到类似日志,无法区分这个是一个IP的一个动作照样重复动作。

3、各家安然厂商的设备都邑存在误报,因为系统中的安然设备量表大年夜,是以误报的日志数量也很多,SIEM系统或者人工阐发都无法实时去过滤掉落这些误报。

是以无法经由过程简单经由过程进击日志的数量来筛选找出真实的渗透进击。

办理思路

在无自动化对象的支持下,人工的过滤事故数据,基础是弗成能实现的;现有SIEM类系统办理了多元异构数据的归一化问题,即将各类安然设备和主机办事器的日志统一网络,并按照统一标准对不合安然厂商的安然事故日志进行标准化,如下图所示:

标准化完成之后,根据安然营业模型对日志进行简单的关联形成告警,然后在系统中进行查询阐发和处置惩罚。在实际支配情况中,这种简单关联形成的告警将会孕育发生很多,结果造成告警退化为了安然事故,继而又再次无法有效处置惩罚。

为了真正实现有效告警的天生与处置惩罚,简单的关联模型是无法完成的;是以仿照安然运维阐发职员办理安然问题的思路和措施,采纳多层收集时序关联模型,利用多层收集技巧,推理出高层结论作为有效预警输出,能够实质上提升安然事故包括渗透进击的预警能力。可以办理如下的问题:

1、我们发明某些环境下,某安然设备不停对同一IP孕育发生重复的5K条告警日志,告警内容是该IP应用某2013年的软件破绽进击某办事器,实际上该办事器并未应用该软件。假如纯真应用数量统计,会发明大年夜量的此类重复(误报)事故,但这IP跟进击无关。多层收集时序关联模型可以有效的过滤掉落此类重复误报事故。

2、经由过程对安然日志的阐发发明,天天的日志中会有约上千的IP对内网考试测验了进击,比如某外网IP考试测验了对办事器进行了1次SQL注入,在3家不合厂商的设备中发清楚明了告警,察看日志后发明此IP确凿进行了1次注入考试测验( 应用‘and 1=1),然则后面再无此IP日志,是以虽然此IP进行了SQL注入,但我们不能是以就对此IP对运维职员告警,由于他并无后续的持续信息侦查和其他渗透手段。

实现设想

在大年夜数据情况下,实现多层收集推理引擎,将结合繁杂事故处置惩罚(Complex Event Processing,CEP)和行径模型识别引擎(Attacking Recognition Modeling Engine,ARME)技巧结合,前者处置惩罚实时发生的事故信息,供给需要的事故聚合和变换等,后者实现繁杂行径匹配营业逻辑。

ARME中应用的模型用JSON款式的领域说话DSL(Domain Specific Language)编写,支持值对照、逻辑运算、聚拢运算、光阴窗口和序关系测定等繁杂操作;ARME把模型编译为内部表达形式,编译历程中将处置惩罚逻辑、关联关系和事故触发都联系在一路. 当外部事故进入ARME时,将选择性履行事故相关联的一个或多个模型;大年夜致上模型履行阶段分为如下三个阶段:逻辑鉴定,确定模型是否相符前提引起后续操作;模型链反映,在某一条模型触发后,是否继承履行模型依附链中下一条模型;事故触发,是否向模型引擎之外输出事故消息。

为了处置惩罚重复日志聚合及有效进击筛选问题, MLS-CEP-ARME实现了多层收集架构光阴窗口时序处置惩罚引擎,经由过程多层收集告警处置惩罚模型让MLS-CEP-ARME实现对海量日志中进击行径的筛选,详细处置惩罚步骤:

第一级处置惩罚:

1、对日志同源同目的同手段日志简单光阴聚合,在某类型日志数量达到阈值后天生一级聚合事故并启动光阴窗口,在窗口未关闭前的光阴内所有相同前提日志也继承聚合到同一事故中。

2、对相符必然进击步骤的日志做时序聚合孕育发生一级时序聚合事故。

第二、三级处置惩罚:

模型引擎会将上一级中天生的简聚合事故再算作通俗事故发往所有对此事故感兴趣的模型工具,对付每一条模型工具来说聚合事故和日志事故是同一类工具.第二,三级聚合模型会继承根据模型对日志和聚合事故进行行径含义聚并天生新的弱行径含义告警。

第四级收集布局继承按模型序列及光阴窗口继承天生高行径含义告警,此时的告警不仅会聚合上一级的事故且会根据模型必要聚合随意率性层级的事故,终极输出我们必要找到的渗透进击IP告警,如下图所示:

模型是对渗透测试步骤及措施的模拟,可以经由过程安然职员寄托已知履历完成,也可以经由过程对已经的渗透进击进行机械进修完成,是以多层收集时序聚合模型终极找出跟渗透测试职员一样行动步骤的日志,假如某IP按必然光阴顺序考试测验了某些渗透步骤,那我们鉴定此IP为渗透进击IP,通俗的误报或者无意的造访考试测验触发的安然设备日志,或者强度不敷的渗透扫描,从数量,步骤时序,目标特征等上面都无法满意模型,即通俗的单一的POC扫描及安然设备误报最多孕育发生第一二级聚合事故,由于行径不存在步骤性,即便数量异常多也只会天生一条一级聚合并不会孕育发生第4级告警。

[1] [2]下一页

实际测试效果-预警渗透进击

(因为必要对用户信息保密已抹去真实信息)

用户实际收集中支配MLS-CEP-ARME后,现其实1天的40W日志中仅孕育发生2个4级告警,百条级2,3级事故,2K条1级聚合事故,选择此中一条要挟告警进行阐发,可以看到此进击IP的4级告警应用了统共64条日志:

这个4级告警由4条3级事故聚合,此中每条3级聚合又由N多初级事故聚合而成。因为未对该IP进行封堵。以是我们继承阐发该IP流量后发明,该IP成功上传文件名为tett.asp的一句话后门,如下图:

可以看到MLS-CEP-ARME告警的IP确凿是进击者。

总结

颠末一段光阴的测试,发明MLS-CEP-ARME不存在误报,实际上触发4级告警的IP异常少。

然则存在漏报的环境,阐明安然设备日志处置惩罚也只是在某些特定场景下有效,一但碰到:

1、进击者应用新破绽安然设备无法告警

2、其他环境下渗透测试者能在少步骤内成功渗透进入系统

3、其他未知的告警异常少的环境下,此日志处置惩罚模型也不会生效。

同时还发明因为现在应用的整个安然设备日志,会碰到如下问题:

1、因为只有安然设备的日志,是以损掉了很多紧张信息。

2、没有纵深防御,一旦进击者冲破界限安然设备,SIEM就不会再给出告警提示。

3、安然设备对进击的告警类型不准确导致进击识别模型对告警识别差错。

下一步筹备进一步钻研若何MLS-CEP-ARME和设备(非安然设备)日志来检测已经成功进入到内网的要挟。

上一页[1] [2]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包