网络异常相关安全分析场景

在大数据安全分析里,威胁情报关联(查看文章:威胁情报相关的安全分析场景)、账号异常分析(查看文章:账号异常相关安全分析场景)两类效果比较好,除此之外网络异常分析效果也比较好。
网络异常相关安全分析场景非常的多,归纳起来大致分为三类:1、网络端口扫描异常;2、安全攻击后网络连接异常;3、单一网络流量异常。下面按这三类列举了典型分析场景。

网络(特定)端口扫描相关场景

▼▼场景一:内网主机发起网络端口扫描

  • 场景描述:通过内网主机发起网络端口扫描,判定内网主机被恶意控制或者感染病毒。
  • 分析方法-1:特定时间内(如5分钟内),同一内网主机对同一目的主机发起连接的目的端口超过一定数量(如超过50)。
  • 分析方法-2:特定时间内(如5分钟内),同一内网主机对特定网络连接(如icmp)目的主机超过一定数量(如如果50)。
  • 数据源:FW、NTA
  • 解决方案:确认主机是否被恶意攻击者控制,并及时进行病毒查杀,修复漏洞。

▼▼场景二:内网主机遭受/发起特定网络端口扫描
  • 场景描述:通过内网主机发起特定网络端口(如445、3389等)扫描,判定内网主机被恶意控制或者感染病毒。
  • 分析方法-1:特定时间内(如5分钟内),同一内网主机特定目的端口(如445、3389等)被连接超过一定数量(如超过50)。
  • 分析方法-2:特定时间内(如5分钟内),同一内网主机特定目的端口(如445、3389等)连接目的主机超过一定数量(如超过50)。
  • 分析方法-3:同一内网主机被大量特定目的端口(如445),短时间内(如5分钟内),向超过一定数量(如如超过50)的其它主机发起大量特定目的端口(如445)扫描。
  • 数据源:FW、NTA
  • 解决方案:确认主机是否被恶意攻击者控制,并及时进行病毒查杀,修复漏洞。

安全攻击与网络异常关联场景

▼▼场景三:服务器被植入webshell后发起大量连接

  • 场景描述:通过webshell与网络连接关联,判定特定主机被成功植入webshell。
  • 分析方法:应用服务器发生webshell安全告警(事件A),特定时间(如30分钟)内,该主机发起大量网络连接事件(事件B)。A目的地址等于B源地址。
  • 数据源:WAF,中间件日志/FW/NTA
  • 解决方案:确认网络连接是否为恶意行为,屏蔽该主机对内部服务的访问、同时对发生告警主机进行webshell查杀。

▼▼场景四:服务器遭受web攻击后进行非法外连
  • 场景描述:通过we攻击与网络连接关联,判定特定主机被攻击成功。
  • 分析方法:服务器发生web攻击告警(事件A)后,特定时间内(如10分钟内),该服务器对外网发起网络连接(事件B)。事件A.目的地址=事件B.源地址and事件A.源地址=事件B.目的地址。
  • 数据源:WAF/IPS/IDS,FW/NTA
  • 解决方案:检查该主机服务器是否为恶意行为,屏蔽该地址对内部服务的访问,确认该服务器是否已经被攻击者控制。

单一网络流量异常相关场景

▼▼场景五:内网主机服务器遭受DDOS拒绝服务攻击

  • 场景描述:通过对内网主机发起网络连接源IP地址数量,判定内网主机遭受DDOS拒绝服务攻击。
  • 分析方法-1:特定时间内(如1分钟内),对同一内网主机对发起的网络连接(协议类型为TCP/UDP/ICMP)的源IP地址超过数量(如超过1000)。
  • 分析方法-2:特定时间内(如1分钟内),对同一内网主机对发起的网络连接(目的端口为80、443、8080、11211)的源IP地址超过数量(如超过1000)。
  • 数据源:FW、NTA
  • 解决方案:屏蔽攻击者IP,加强被攻击机器DDOS防护

▼▼场景六:内网主机服务器网络流量异常/超过流量阈值
  • 场景描述:通过对内网主机发送网络流量异常,判定内网主机被恶意控制或者感染病毒。
  • 分析方法:特定时间内(如10分钟内),同一内网主机发送的网络流量总和超过网络流量阈值(如超过2G)。
  • 数据源:FW、NTA
  • 解决方案:确认主机是否被恶意攻击者控制,并及时进行病毒查杀,修复漏洞。

扩展  ·  本文相关链接

· 账号异常相关安全分析场景

· 威胁情报相关的安全分析场景

· 攻击链在大数据安全分析中的应用

· 复杂事件处理(CEP)引擎简介

(0)

相关推荐

  • nmap命令参数选项有什么?Linux运维命令

    nmap命令是一款开放源代码的网络探测和安全审核工具,其设计目标是快速地扫描大型网络.nmap可以发现网络上有哪些主机,主机提供了什么服务(应用程序名称和版本号),并探测操作系统的类型及版本信息.网络 ...

  • 信息收集

    信息收集 信息收集是渗透测试成功的保障,渗透测试的本质是信息收集. 信息收集的方式可以分为两种:主动和被动. 主动信息收集:通过直接访问.扫描网站,这种流量将流经网站. 被动信息收集:利用公开渠道对目 ...

  • Windows10 系统关闭高危端口方法详细介绍

    Windows10默认开启一些日常用不到的端口,这些端口让黑客有机可乘(黑客会使用工具扫描计算机上的端口,并入侵这些端口),关闭这些高危端口,可使我们的电脑避免遭受攻击.例如关闭445端口等,可有效防 ...

  • 端口扫描是什么?局域网端口扫描工具推荐

    端口扫描工具(Port Scanner)指用于探测服务器或主机开放端口情况的工具.常被计算机管理员用于确认安全策略,同时被攻击者用于识别目标主机上的可运作的网络服务. 端口扫描定义是客户端向一定范围的 ...

  • 账号异常相关安全分析场景

    网络设备.安全设备.操作系统.中间件.应用系统都具有账号,只要有账号就会涉及到异常账号(状态)与账号异常(行为)的安全监控与分析.从风险类型来说,账号异常涉及到内部违规.暴力破解.账号失陷以及程序错误 ...

  • 安全告警关联相关安全分析场景

    安全告警关联分析归纳起来可以分为四类:1.同一攻击源/目的特定告警数量叠加,可能遭受持续性攻击:2.内网主机发起安全攻击,可能主机已经失陷.横向攻击:3)不同网络位置的关联告警,可能已经绕过边界防护: ...

  • 科研 | PLoS Med.:阿尔茨海默症中甲基化及多胺途径相关网络异常:靶向代谢组学与转录组学结合研究

    编译:古雨,编辑:Emma.江舜尧. 原创微文,欢迎转发转载. 导读  阿尔茨海默症(AD)是一种普遍的代谢疾病,其发病机制涉及多种代谢途径失调,确定AD发病机制的新靶点对于开发有效的治疗方法至关重要 ...

  • 大数据安全分析13:威胁情报相关的安全分析场景

    从安全告警层面来讲,威胁情报数据可以赋能给检测设备,同时也可以作为Context数据辅助安全分析. 从异常检测层面来讲,威胁情报可以结合网络连接等数据,通过关联分析发现特定行为异常与安全风险. 从分析 ...

  • 未经“二审程序”的再审案件的相关法律分析

    导言:在司法实践过程中,时常出现当事人因为某些原因错过了上诉期限,但是由于无法进入二审程序,又不服一审判决,遂向法院提起再审.此时,法院是否会受理再审申请,或者再审法院受理后是否会进入实体审理,本文就 ...

  • 汽轮机停机过程中轴承金属温度异常升高的分析与处理

    摘要:汽轮机椭圆轴承在运行期间常存在轴承温度偏高的问题,对轴承承载区结构的分析发现设计负载下的轴承金属温度偏高,主要是由于轴承承载区的相对侧隙较小,导致润滑油流量偏小.通过适当提高该区域的进油流量,可 ...

  • 中考名著阅读:从读过的文学作品中任选一个人物,结合相关情节分析其性格的复杂性。(120字左右)

    圆形人物是指文学作品中具有复杂性格特征的人物.如<朝花夕拾>中的长妈妈愚昧无知,又真诚善良.<儒林外史>中的范进渴求功名又虚伪软弱.<水浒传>中的杨志精明能干又粗暴 ...

  • Cell Reports:卒中后结构失连接解释脑网络异常

    局灶性脑损伤患者脑网络功能破坏通常被认为反映了关键灰质脑区的损伤.来自华盛顿大学医学院的科研人员发现脑网络异常主要源于白质通路的失连接,而非灰质区域的破坏,对以往假设提出挑战.本研究发表在Cell R ...

  • 5月7日内蒙古某热电厂3号机组异常停运分析报告

    5月7日内蒙古某热电厂3号机组异常停运分析报告