常见网络安全事件研判方法及思路
- 分析安全事件通用方法
- 导出最近七天的日志(日志条件:源地址,目的地址,事件名称,时间,规则ID,发生 次数等)
- 将导出日志生成数据透视表(透视表制作办法见百度);
- 根据动作、地址、事件名称、时间等信息进行研判
说明:一般情况下,真实攻击不可能只持续一次,也不可能是断断续续,它一定是长时间、周期性、多IP的进行攻击。
- 通过威胁情报库https://x.threatbook.cn/对原IP地址分析,判断是否存在恶意攻击行为。
- 通过事件请求包和回应包分析是否为真实攻击还是误报(一般真实攻击会有正常的请求包和回应包)。
- HTTP协议违背
2.1 请求URI过长
告警信息:the requested URL's length exceeds the capacity limit
描述:HTTP请求URI长度超过默认缓冲区大小,认为其不合规
2.2 请求头部过长
告警信息:request exceeds system's limit
描述:HTTP请求头部长度超过默认的缓冲区大小,认为其不合规
2.3 响应头部过长
告警信息:request exceeds system's limit
描述:HTTP响应头部超过默认缓冲区大小,认为其不合规
2.4 请求方法字段不合规
告警信息:request method begin with non-capital letters or over load content-length
request method body contains non-capital letters
描述:HTTP请求方法不是大写的英文字符,比如:get、gET,GeT等
2.5 未知请求方法
告警信息:the requested method is unknown
描述:WAF允许的HTTP请求方法如下: GET、POST、HEAD、PUT、DELETE、MKCOL、COPY、MOVE、OPTIONS、PROPFIND、PROPPATCH、LOCK、UNLOCK、TRACE、SEARCH、CONNECT、CHECKOUT、LABEL、UPDATE、REPORT、CHECKIN、CHECKOUT、UNCHECKOUT、MERGE、MKACTIVITY、BPROPPATCH、MKWORKSPACE、VERSION-CONTROL、BASELINE-CONTROL
2.6 URL字段不合规
告警信息:request uri begin neither schema nor slash
request schema contain non-letters
request schema without slash
request schema with only one slash
request with bad host
request with bad port
描述:URI字段不合规包含以下几种情况:
<br>1、不是schema://host:port/path 形式且不以/开头,如GET abc、GET abc:def等;
<br>2、是schema://host:port/path 形式,但HOST字段无效,如:HTTP://2.2.abab.2;
<br>3、是schema://host:port/path 形式,但PORT字段无效,如:POST HTTP://2.2.2.2:2.3
2.7 HTTP版本字段不合规
告警信息:request protocol only has h,lost others
request protocol only has ht,lost others
request protocol only has htt,lost others
request protocol without splash
request protocol version major non-digit
request protocol version major too long
request protocol version minor non-digit