網(wǎng)絡(luò)安全探針的介紹與使用記錄

上級為加強信息安全監(jiān)測為一些單位安裝了網(wǎng)絡(luò)安全探針，作者單位也是其中之一。

設(shè)備是某公司某監(jiān)測引擎。探針通過對Web流量和應(yīng)用進(jìn)行深度檢測，提供了全面的入侵檢測能力。能在攻擊到達(dá)Web服務(wù)器之前進(jìn)行檢測，并進(jìn)行實時的攻擊預(yù)警，解碼所有進(jìn)入的請求，檢查這些請求是否合法或合乎規(guī)定。它擁有對常規(guī)攻擊、已知漏洞攻擊、0day攻擊等的發(fā)現(xiàn)能力。探針通過對流量進(jìn)行深度解析，發(fā)現(xiàn)流量中的惡意攻擊，提供了全面的檢測和預(yù)警能力，通過關(guān)聯(lián)分析綜合判斷攻擊的行為和攻擊路徑。

網(wǎng)絡(luò)安全探針的功能介紹

安全探針有2個管理口，4個光電復(fù)用千兆口，2個萬兆光口，內(nèi)存64G，交換空間 32G，系統(tǒng)分區(qū) 32G，數(shù)據(jù)分區(qū)1.6T，探測器分區(qū)50G，入庫緩存分區(qū)1G。

圖1 安全探針的首頁

安全探針有以下能力：

1.一些高危的惡意代碼通常殺毒軟件是無法處理的，一旦進(jìn)入內(nèi)網(wǎng)影響較大，比如一些包含shellcode、勒索病毒的樣本，它可以快速的發(fā)現(xiàn)并預(yù)警這些攻擊。

2.內(nèi)置了一部分黑IP黑域名庫，同時通過沙箱提取樣本中包含的C&C IP/URL，實現(xiàn)動態(tài)的自學(xué)習(xí)更新黑IP黑域名庫，監(jiān)控內(nèi)部主機(jī)存在被控制回連的行為。

3.通過深度和全面的行為分析能力，可以發(fā)現(xiàn)網(wǎng)絡(luò)中的隱蔽攻擊威脅，避免內(nèi)網(wǎng)出現(xiàn)惡意代碼傳播和感染等危害。

4.不僅可以分析出當(dāng)前存在的威脅，還可以記錄威脅的來源、攻擊手段、攻擊過程、攻擊目標(biāo)、攻擊影響等信息，實現(xiàn)對攻擊的過程分析和溯源分析，確定內(nèi)部主機(jī)的遭受的威脅程度。

5.可以發(fā)現(xiàn)由內(nèi)向外的異常流量，定位內(nèi)網(wǎng)存在的僵尸主機(jī)，可以定位到具體的IP、MAC、區(qū)域等信息。

首頁如圖1，包括導(dǎo)航、分析、風(fēng)險、報表、探測器、配置、系統(tǒng)等菜單。

導(dǎo)航中主要顯示緊急事件，時間、感染主機(jī)、緊急事件，當(dāng)有緊急事件時其他風(fēng)險事件不出現(xiàn)，只有處理了緊急事件后才出現(xiàn)最新高風(fēng)險名稱。緊急事件中顯示感染主機(jī)的域名、地址、事件文件名及地址，及事件的類型。

分析中主要有緊急事件分、主機(jī)威脅分析、攻擊路線圖、流量分析等。

報表菜單里有惡性意威脅分析報告、總體風(fēng)險統(tǒng)計、郵件社工行為統(tǒng)計、惡意文件攻擊統(tǒng)計、其他惡意行為統(tǒng)計、受攻擊主機(jī)TOP100統(tǒng)計、攻擊源TOP100統(tǒng)計等。有多種時間范圍可選，也可以自定義時間。

配置菜單的引擎管理中啟用了Web特征檢測、惡意文件攻擊檢測、C&C IP/URL檢 測、Web后門訪問檢測、Web行為分析檢測、惡意木馬回連、非法數(shù)據(jù)傳輸、DGA域名請求、SMB遠(yuǎn)程溢出攻擊，有4個郵件相關(guān)的檢測沒啟用。

配置菜單的Web特征管理中有SQL注入35條，命令注入27條、跨站腳本42條、代碼注入9條、協(xié)議錯誤6條，全部啟用。

系統(tǒng)日志里有很多信息，如后臺控制臺日志文件長度1.01G，已經(jīng)超過門限值1024M，系統(tǒng)已經(jīng)自動壓縮、備份、清空此文件；即將重啟處理引擎：之前它可能已經(jīng)暫停處理數(shù)據(jù)等等信息。

圖2 緊急事件的基本信息

圖3 SAM認(rèn)證按IP查出的用戶名

圖4 設(shè)備才上線時的攻擊路線圖

操作日志有登錄信息，以及對緊急事件的處理記錄。

系統(tǒng)菜單里有自動清理功能，在線數(shù)據(jù)可占用文件系統(tǒng)最大比例80%,超過此值系統(tǒng)將一次性清理直到文件系統(tǒng)被占用比例70%，這能保障系統(tǒng)正常運行。

日常使用

1.當(dāng)有緊急事件時點開，可以看到基本信息如圖2，感染主機(jī)IP地址，然后到SAM認(rèn)證服務(wù)器查此IP地址對應(yīng)的用戶名如圖3，如果是認(rèn)證的基本可以查出來，如果不認(rèn)證的用戶無法查出用戶來，只能根據(jù)IP地址知道是某個樓，然后再通過MAC地址查出在某個接入交換機(jī)的端口號。通過IP地址查出用戶名后直接通過SAM發(fā)廣播，簡化緊急事件內(nèi)容發(fā)給用戶處理，同時通知相關(guān)部門。對查不到用戶名根據(jù)IP地址發(fā)給相應(yīng)的樓所屬的部門，同時在接入交換機(jī)上封殺此地址對外訪問。對服務(wù)器有問題直接發(fā)給相關(guān)管理員處理。

2.攻擊路線圖的功能，當(dāng)開始探針上線時看到的攻擊回歸線圖如圖4：顯示內(nèi)網(wǎng)的相互攻擊非常多，找出幾個可能是內(nèi)網(wǎng)攻擊源的IP地址，及時通知相關(guān)用戶整改，同時在出口上將此圖顯示攻擊源IP封殺，完成幾次后如圖5，這是現(xiàn)在攻擊路線圖，內(nèi)網(wǎng)相互攻擊明顯減少了，只是主要服務(wù)器的掃描、攻擊仍然較多，因為單位主頁等是公開的，沒辦法不讓別人來攻擊。再通過其他安全設(shè)備檢測如果發(fā)現(xiàn)攻擊太多的IP也會封殺訪問。配置菜單中有個WAF聯(lián)動，新增加單位的WAF（與安全探針是不同廠家的）地址及端口后狀態(tài)一直是斷開，可能需相同公司的產(chǎn)品或是其他原因。

3.在導(dǎo)航頁的攻擊源區(qū)域排名，在上線2個月左右長沙排名第一，共10萬多次，其他幾個顯示的國家名分別只有幾百次，這可能是因為參加了幾次攻防演練有關(guān)，也可能是真正的攻擊。

4.在導(dǎo)航頁的主機(jī)威脅TOP5第一名是單位主頁，排名第二位竟然是該安全探針，顯示的攻擊結(jié)束時間都是在半個月前，當(dāng)時在上網(wǎng)行為日志不良訪問排名靠前也是安全探針I(yè)P，當(dāng)時查安全探針I(yè)P地址的上網(wǎng)行為，基本只是訪問一個網(wǎng)頁u.3fwork.com，但這之后基本沒有了，可能是受到攻擊，原因不明。為上邊監(jiān)控管理安全探針做了外網(wǎng)映射，可以在公網(wǎng)上訪問，這有一定的風(fēng)險。

圖5 經(jīng)過一段時間的攻擊路線圖

5.每日查看報表，主要查看受攻擊主機(jī)TOP100統(tǒng)計，如圖6：對排名靠前的IP地址通知相關(guān)用戶要求查殺電腦病毒，要求用戶注意下載及訪問。查看攻擊來源TOP100統(tǒng)計，基本按周統(tǒng)計，對排名前列且攻擊次數(shù)特別多的IP地址有選擇性的封殺。在其他設(shè)備已經(jīng)封殺幾百個IP地址了，希望能有聯(lián)動系統(tǒng)自動添加封殺地址。因封殺使用的是出口的流表過濾及出口前的防火墻攔截，量太多的話會影響網(wǎng)絡(luò)速度，需要關(guān)注或使用其他方法封殺。

6.用戶反饋：有一次報告某IP有勒索病毒，在多種方法通知用戶后，用戶反映病毒沒有發(fā)作，同時馬上查殺電腦，確實殺出一批病毒，此IP后來再沒有報警了。有一臺上傳文檔的服務(wù)器有幾次都報上傳文檔有緊急事件，用戶對文檔查殺病毒，沒有發(fā)現(xiàn)問題，說是文檔都用了宏的原因?？串a(chǎn)品說明探針能發(fā)現(xiàn)傳統(tǒng)殺毒系統(tǒng)不能發(fā)現(xiàn)的問題，希望能有配套的殺毒系統(tǒng)查殺報警文件。

還有一次也是一個文檔報有緊急事件，是計算機(jī)行業(yè)用戶，且這個文檔是他做的模板文檔，里面有網(wǎng)絡(luò)安全方面內(nèi)容，文檔也有多種方法殺病毒過都正常，在有線網(wǎng)下載有報警，無線網(wǎng)下載無報警，有線網(wǎng)換臺電腦也無報警，只能回復(fù)可能是原來有線網(wǎng)下載的哪臺電腦有問題。

總結(jié)

網(wǎng)絡(luò)安全探針經(jīng)過不到2個月的上線運行，基本每天都有緊急事件發(fā)生，都將相關(guān)信息通知到相關(guān)用戶，要求用戶處理并注意下載及訪問，絕大部分用戶都能對電腦查殺病毒。

從攻擊路線圖上看內(nèi)網(wǎng)相互攻擊明顯減少，內(nèi)網(wǎng)的安全有了一定的提高，通過安全探針提供的信息對服務(wù)器進(jìn)行了加固、防護(hù)，但攻擊無時不在，網(wǎng)絡(luò)安全永遠(yuǎn)在路上。