网络异常相关安全分析场景

在大数据安全分析里,威胁情报关联(查看文章:威胁情报相关的安全分析场景)、账号异常分析(查看文章:账号异常相关安全分析场景)两类效果比较好,除此之外网络异常分析效果也比较好(www.Louming.com.cn)。

网络异常相关安全分析场景非常的多,归纳起来大致分为三类:1、网络端口扫描异常;2、安全攻击后网络连接异常;3、单一网络流量异常。下面按这三类列举了典型分析场景。

1、网络(特定)端口扫描相关场景

▼▼场景一:内网主机发起网络端口扫描

  • 场景描述:通过内网主机发起网络端口扫描,判定内网主机被恶意控制或者感染病毒。
  • 分析方法-1:特定时间内(如5分钟内),同一内网主机对同一目的主机发起连接的目的端口超过一定数量(如超过50)。
  • 分析方法-2:特定时间内(如5分钟内),同一内网主机对特定网络连接(如icmp)目的主机超过一定数量(如超过50)。
  • 数据源:FWNTA
  • 解决方案:确认主机是否被恶意攻击者控制,并及时进行病毒查杀,修复漏洞。
▼▼场景二:内网主机遭受 / 发起特定网络端口扫描
  • 场景描述:通过内网主机发起特定网络端口(如4453389等)扫描,判定内网主机被恶意控制或者感染病毒。
  • 分析方法-1:特定时间内(如5分钟内),同一内网主机特定目的端口(如4453389等)被连接超过一定数量(如超过50)。
  • 分析方法-2:特定时间内(如5分钟内),同一内网主机特定目的端口(如4453389等)连接目的主机超过一定数量(如超过50)。
  • 分析方法-3:同一内网主机被大量特定目的端口(如445),短时间内(如5分钟内),向超过一定数量(如如超过50)的其它主机发起大量特定目的端口(如445)扫描。
  • 数据源:FWNTA
  • 解决方案:确认主机是否被恶意攻击者控制,并及时进行病毒查杀,修复漏洞。

2、安全攻击与网络异常关联场景

▼▼场景三:服务器被植入webshell后发起大量连接

  • 场景描述:通过webshell与网络连接关联,判定特定主机被成功植入webshell
  • 分析方法:应用服务器发生webshell安全告警(事件A),特定时间(如30分钟)内,该主机发起大量网络连接事件(事件B)。A目的地址等于B源地址。
  • 数据源:WAF,中间件日志/FW/NTA
  • 解决方案:确认网络连接是否为恶意行为,屏蔽该主机对内部服务的访问、同时对发生告警主机进行webshell查杀。
▼▼场景四:服务器遭受 web 攻击后进行非法外连
  • 场景描述:通过we攻击与网络连接关联,判定特定主机被攻击成功。
  • 分析方法:服务器发生web攻击告警(事件A)后,特定时间内(如10分钟内),该服务器对外网发起网络连接(事件B)。事件A.目的地址=事件B.源地址and事件A.源地址=事件B.目的地址。
  • 数据源:WAF/IPS/IDSFW/NTA
  • 解决方案:检查该主机服务器是否为恶意行为,屏蔽该地址对内部服务的访问,确认该服务器是否已经被攻击者控制。

3、单一网络流量异常相关场景

▼▼场景五:内网主机服务器遭受DDOS拒绝服务攻击

  • 场景描述:通过对内网主机发起网络连接源IP地址数量,判定内网主机遭受DDOS拒绝服务攻击。
  • 分析方法-1:特定时间内(如1分钟内),对同一内网主机对发起的网络连接(协议类型为TCP/UDP/ICMP)的源IP地址超过数量(如超过1000)。
  • 分析方法-2:特定时间内(如1分钟内),对同一内网主机对发起的网络连接(目的端口为80443808011211)的源IP地址超过数量(如超过1000)。
  • 数据源:FWNTA
  • 解决方案:屏蔽攻击者IP,加强被攻击机器DDOS防护
▼▼场景六:内网主机服务器网络流量异常 / 超过流量阈值
  • 场景描述:通过对内网主机发送网络流量异常,判定内网主机被恶意控制或者感染病毒。
  • 分析方法:特定时间内(如10分钟内),同一内网主机发送的网络流量总和超过网络流量阈值(如超过2G)。
  • 数据源:FWNTA
  • 解决方案:确认主机是否被恶意攻击者控制,并及时进行病毒查杀,修复漏洞。

公司名称:郑州金豫浩机械设备有限公司
主营产品:制砂机,破碎机,圆振动筛,振动给料机