网络异常相关安全分析场景
网络(特定)端口扫描相关场景
▼▼场景一:内网主机发起网络端口扫描
场景描述:通过内网主机发起网络端口扫描,判定内网主机被恶意控制或者感染病毒。 分析方法-1:特定时间内(如5分钟内),同一内网主机对同一目的主机发起连接的目的端口超过一定数量(如超过50)。 分析方法-2:特定时间内(如5分钟内),同一内网主机对特定网络连接(如icmp)目的主机超过一定数量(如如果50)。 数据源:FW、NTA 解决方案:确认主机是否被恶意攻击者控制,并及时进行病毒查杀,修复漏洞。
场景描述:通过内网主机发起特定网络端口(如445、3389等)扫描,判定内网主机被恶意控制或者感染病毒。 分析方法-1:特定时间内(如5分钟内),同一内网主机特定目的端口(如445、3389等)被连接超过一定数量(如超过50)。 分析方法-2:特定时间内(如5分钟内),同一内网主机特定目的端口(如445、3389等)连接目的主机超过一定数量(如超过50)。 分析方法-3:同一内网主机被大量特定目的端口(如445),短时间内(如5分钟内),向超过一定数量(如如超过50)的其它主机发起大量特定目的端口(如445)扫描。 数据源:FW、NTA 解决方案:确认主机是否被恶意攻击者控制,并及时进行病毒查杀,修复漏洞。
安全攻击与网络异常关联场景
▼▼场景三:服务器被植入webshell后发起大量连接
场景描述:通过webshell与网络连接关联,判定特定主机被成功植入webshell。 分析方法:应用服务器发生webshell安全告警(事件A),特定时间(如30分钟)内,该主机发起大量网络连接事件(事件B)。A目的地址等于B源地址。 数据源:WAF,中间件日志/FW/NTA 解决方案:确认网络连接是否为恶意行为,屏蔽该主机对内部服务的访问、同时对发生告警主机进行webshell查杀。
场景描述:通过we攻击与网络连接关联,判定特定主机被攻击成功。 分析方法:服务器发生web攻击告警(事件A)后,特定时间内(如10分钟内),该服务器对外网发起网络连接(事件B)。事件A.目的地址=事件B.源地址and事件A.源地址=事件B.目的地址。 数据源:WAF/IPS/IDS,FW/NTA 解决方案:检查该主机服务器是否为恶意行为,屏蔽该地址对内部服务的访问,确认该服务器是否已经被攻击者控制。
单一网络流量异常相关场景
▼▼场景五:内网主机服务器遭受DDOS拒绝服务攻击
场景描述:通过对内网主机发起网络连接源IP地址数量,判定内网主机遭受DDOS拒绝服务攻击。 分析方法-1:特定时间内(如1分钟内),对同一内网主机对发起的网络连接(协议类型为TCP/UDP/ICMP)的源IP地址超过数量(如超过1000)。 分析方法-2:特定时间内(如1分钟内),对同一内网主机对发起的网络连接(目的端口为80、443、8080、11211)的源IP地址超过数量(如超过1000)。 数据源:FW、NTA 解决方案:屏蔽攻击者IP,加强被攻击机器DDOS防护
场景描述:通过对内网主机发送网络流量异常,判定内网主机被恶意控制或者感染病毒。 分析方法:特定时间内(如10分钟内),同一内网主机发送的网络流量总和超过网络流量阈值(如超过2G)。 数据源:FW、NTA 解决方案:确认主机是否被恶意攻击者控制,并及时进行病毒查杀,修复漏洞。
扩展 · 本文相关链接
赞 (0)