20210316 -
(本人非專業人士,請謹慎參考文章內容)
從這部分來說,能夠有研究的人,應該是真實有資料的廠商或者企業,畢竟這種資料一般來說,如果不脫敏,很難拿到資料,這也可能是學術研究缺失的乙個原因。
之前的時候,看了一篇文章《【攻擊意圖評估:序】誤報太多?談海量告警篩選》,今天重新翻出來,同時加深自己的思考,感覺挺有收穫。
企業中為了安全,都會部署特別多的安全防護軟體或者裝置,那麼這些軟體裝置每天的告警就會特別多;之前我在內網的網路出口部署過乙個ids,採用的規則集是網上公開的規則集,這個內容每次告警都特別多,實際上這些並不是真正的威脅,而且都是誤報,搞得我只能把這些規則全部都取消。從這個角度不難看出,對於ids來說,存在誤報的可能性。
在文章[1]中,沒有具體提這個內容,從他的文章內容上來看,對於報警的內容是值得信任的,誤報不是重點關注物件,而是說,由於規則的敏感度問題,導致了大多數告警可能並不具備攻擊性,或者說僅僅是一些試探性的內容。
上圖中,就展示了這部分內容,可以從圖中看出,真實的有危險度的告警資訊,數量一般會比較少。而本篇文章的主旨,就是找到真正找到需要人工介入來進行分析的,有價值的告警資訊。
注:個人認為,對於乙個規則經過仔細調優的ids裝置來說,雖然有些告警的價值不高,比如一些初級攻擊者的資訊刺探,或者一些殭屍網路的掃瞄流量也好,這些對於ids或者防護裝置也好,他們已經完成了自己的工作,盡到了自己的職責。而對於人工分析的過程來說,這些告警資訊太多太多,無法介入太多人力來進行分析,而真正的攻擊也的確可能存在於這些攻擊中,所以,告警關聯或者說告警日誌挖掘,目的就是,如果從這些日誌資訊中找到更重要的資訊,從而減少人工消耗的時間。在文章[1]中,由同一條規則引發了兩個事件來入手,兩條規則得到的結果雖然都是高危,但是只有其中一條是真正的攻擊內容。由此引出了目前的一些方法的缺陷。例如基於危險度的篩選方法。
但這些方法也或多或少存在缺陷,導致無法在企業中落地。威脅情報篩選法雖然的確能夠解決很多問題,但是受到情報源的限制,情報是否準確,情報是否完備。當然,這部分的資訊是非常值得參考點,通過這一點,能夠共享一些安全研究成果。
文章的最後,提出了作者的猜想,從告警日誌中,推理出攻擊背後的意圖。從而引出了將攻擊過程對映到攻擊鏈的想法,關於具體的內容在作者的後續文章中進行分享。
從這個角度而言,其實也是一種關聯的過程,只不過,這種手法加入了抽象的概念。
最後,我覺得,告警篩選的過程,如果乙個企業沒有專門的安全部門,僅僅是部署了各種裝置,那麼這種被告警淹沒是必然的事情。必須對規則調優,同時加入對日誌分析的階段。
之前的時候也提到過,在美團的一篇入侵檢測文章中,減少企業暴露的攻擊面,這一步很關鍵。
[1]《【攻擊意圖評估:序】誤報太多?談海量告警篩選》
入侵檢測之基於主機入侵檢測系統
一般主要使用 作業系統的審計 跟蹤日誌 作為資料來源,某些也會主動與主機系統進行互動以 獲得不存在於系統日誌中的資訊 以檢測入侵。這種型別的檢測系統不需要額外的硬體 對網路流量不敏感,效率高,能準確定位入侵並及時進行反應,但是占用主機資源,依賴於主機的可靠性,所能檢測的攻擊型別受限。不能檢測網路攻擊...
IDS入侵檢測
ids是英文 intrusion detection systems 的縮寫,中文意思是 入侵檢測系統 專業上講就是依照一定的安全策略,對網路 系統的執行狀況進行監視,盡可能發現各種攻擊企圖 攻擊行為或者攻擊結果,以保證網路系統資源的機密性 完整性和可用性。我們做乙個形象的比喻 假如 防火牆是一幢大...
入侵檢測系統
網路入侵概念 入侵檢測 通過計算機網路或計算機系統的關鍵點收集資訊並進行分析,從中發現網路或系統中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測系統 ids 入侵檢測是軟體與硬體的組合,是防火牆的合理補充,是防火牆之後的第二道安全閘門。檢測的內容 試圖闖入,成功闖入,冒充其他使用者,違反安全策略,...