常见网络安全事件研判方法及思路

最新推荐文章于 2024-05-27 16:46:16 发布
最新推荐文章于 2024-05-27 16:46:16 发布
阅读量1.6w 收藏 152
点赞数 18
文章标签: 安全漏洞 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64197404/article/details/121538483
版权

常见网络安全事件研判方法及思路

  • 分析安全事件通用方法
  1. 导出最近七天的日志(日志条件:源地址,目的地址,事件名称,时间,规则ID,发生  次数等)
  2. 将导出日志生成数据透视表(透视表制作办法见百度);
  3. 根据动作、地址、事件名称、时间等信息进行研判

   说明:一般情况下,真实攻击不可能只持续一次,也不断断续续,它一定是长时间、周期性、多IP的进行攻击。

  1. 通过威胁情报库https://x.threatbook.cn/对原IP地址分析,判断是否存在恶意攻击行为。
  2. 通过事件请求包和回应包分析是否为真实攻击还是误报(一般真实攻击会有正常的请求包和回应包)。
  • HTTP协议违背

2.1 请求URI过长

告警信息:the requested URL's length exceeds the capacity limit

描述:HTTP请求URI长度超过默认缓冲区大小,认为其不合规

2.2 请求头部过长

告警信息:request exceeds system's limit

描述:HTTP请求头部长度超过默认的缓冲区大小,认为其不合规

2.3 响应头部过长

告警信息:request exceeds system's limit

描述:HTTP响应头部超过默认缓冲区大小,认为其不合规

2.4 请求方法字段不合规

告警信息:request method begin with non-capital letters or over load content-length

request method body contains non-capital letters

描述:HTTP请求方法不是大写的英文字符,比如:get、gET,GeT等

2.5 未知请求方法

告警信息:the requested method is unknown

描述:WAF允许的HTTP请求方法如下: GET、POST、HEAD、PUT、DELETE、MKCOL、COPY、MOVE、OPTIONS、PROPFIND、PROPPATCH、LOCK、UNLOCK、TRACE、SEARCH、CONNECT、CHECKOUT、LABEL、UPDATE、REPORT、CHECKIN、CHECKOUT、UNCHECKOUT、MERGE、MKACTIVITY、BPROPPATCH、MKWORKSPACE、VERSION-CONTROL、BASELINE-CONTROL

2.6 URL字段不合规

告警信息:request uri begin neither schema nor slash

request schema contain non-letters

request schema without slash

request schema with only one slash

request with bad host

request with bad port

描述:URI字段不合规包含以下几种情况:

<br>1、不是schema://host:port/path 形式且不以/开头,如GET abc、GET abc:def等;

<br>2、是schema://host:port/path 形式,但HOST字段无效,如:HTTP://2.2.abab.2;

<br>3、是schema://host:port/path 形式,但PORT字段无效,如:POST HTTP://2.2.2.2:2.3

2.7 HTTP版本字段不合规

告警信息:request protocol only has h,lost others

request protocol only has ht,lost others

request protocol only has htt,lost others

request protocol without splash

request protocol version major non-digit

request protocol version major too long

request protocol version minor non-digit

最低0.47元/天 解锁文章
m0_64197404
关注
  • 18
    点赞
  • 152
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
web事件分析
09-27
介绍如何通过抓包分析网络入侵事件。同时介绍常有的上传webshell的检测方式,方法
2023网络安全深度洞察及2024年趋势研判
最新发布
07-19
2023网络安全深度洞察及2024年趋势研判
什么是误报?如何识别误报和漏报
Trinity_Techologies的博客
05-17 6576
​不管开发人员技能多么精通,误报和漏报总是会发生,很可能是他们的代码有某种无意的错误或漏洞。为了确保尽早发现这些编码错误和漏洞,开发人员通常使用代码静态分析工具,工具会根据开发人员设置的规则检查代码。 然而,代码静态分析工具并不完美,工具有时也会出现误报和漏报。这些编码错误如果没有被捕获,可能会对代码产生显著的影响。 因此,我们将阐释什么是误报,概述误报和漏报的区别,并提供一个误报示例和和一个漏报示例。
网络安全事件研判
baimaozi008的博客
05-27 603
研判我理解为人工层面对入侵检测事件进行再分析,即借助已有的设备告警根据经验判断是否为真实攻击研判工作要充分利用已有安全设备(需要提前了解客户的网络拓扑以及部署设备情况),分析其近期的设备告警,将全部流量日志(日志条件:源地址,目的地址,端口,事件名称,时间,规则ID,发生 次数等)根据研判标准进行筛选(像挖矿、蠕虫、病毒、拒绝服务这类不太可能为攻击方发起的攻击的事件,直接过滤掉,减少告警数量),对于告警结合威胁情报库如:微步。
Web安全—安全事件的分析思路详解(安全设备)
weixin_44431280的博客
03-18 3189
Web安全—安全事件的分析思路详解(安全设备) 分析思路: 一:判断事件真实性和准确性分析 a.判断事件是否是正常业务触发的告警 b.判断事件真实性,是否存在误报(是否存在恶意payload) 二:判断攻击是否成功 借助响应包,关联事件,相关会话日志(HTTP访问日志和会话日志)判断攻击者当次攻击是否成功 三:判断主机是否有异常行为 以被攻击IP为源IP进行事件查询,查看是否存在异常行为或对其他主机的攻击行为 ...
安全事件分析思路及逻辑
qq_45099208的博客
06-15 1327
态势感知,WAF,防火墙,EDR,蜜罐等​ 防火墙:访问控制类产品,网络出现后的第一类安全产品​ 隔离内网、外网以及DMZ区并控制用户访问(DMZ:业务系统对外发布区,Web应用服务器,邮件服务器等)​ 通常工作在网络层,部署在网络边界或者重要系统边界​ IPS:入侵防御系统,访问控制类产品​ 发现攻击后,能够及时拦截阻断 对流经设备的网络流量进行分析、监控​ 由防火墙的地方就有IPS,通常串接在网络主干链路上,或者重要业务系统边界。
网络安全之分析研判技术
yunshang_secure的博客
01-24 1614
定义:主机访问恶意IP或恶意域名、主机与通信端存在恶意通信流量。常见的恶意IP地址是僵尸网络中被控制的主机地址,其次是受恶意程序攻陷的IP地址。恶意域名惯用的手段是诱导用户访问不安全的网址,这类网址通常被植入木马、病毒程序等恶意代码,在用户不知情的情况下,利用伪装的网站服务内容诱导用户访问。计算机病毒(Computer Virus):指编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机正常使用并且能够自我复制的一组计算机指令或程序代码。
网络安全重大事件判定指南
08-16 1333
2019年8月9日中国银行保险监督管理委员会发布《行政处罚信息公开表(银保监罚决字〔2019〕12号)》显示,中信银行因涉及13项违法违规事实,没收违法所得33.6677万元,罚款2190万元,合计2223.6677万元。 具体涉及违反法规事实如下: (一)未按规定提供报表且逾期未改正; (二)错报、漏报银行业监管统计资料; (三)未向监管部门报告重要信息系统运营中断事件; (四)信息系统控制存在...
深信服科技:2023网络安全深度洞察及2024年趋势研判报告
06-19
2023 年,生成式人工智能和各种大模型迅速应用在网络攻击与对抗中,带来了新型攻防场景和安全威胁。漏洞利用链组合攻击实现攻击效果加成,在国家级对抗中频繁使用。勒索团伙广泛利用多个信创系统漏洞,对企业数据...
国内外氢能发展动态及发展趋势研判.pdf
02-16
德国还提出使用氢替代部分天然气,发展氢气管道网络,并视氢能为重载交通、航空、航海等领域的潜在替代能源,同时也推动其在工业中的应用。 【美国氢能经济路线图】 美国的氢能经济路线图将氢能视为碳减排的关键,...
关于网络安全态势感知研判工作的一些思考.pdf
08-11
网络安全形势严峻复杂 • 网络安全态势感知研判工作 • 态势感知工作的一些思考
智能家电发展现状解析及趋势研判
08-13
智能家电发展现状解析及趋势研判
计算机网络安全分析及防范措施,计算机网络安全分析及防范措施--毕业论文.doc...
weixin_42639633的博客
07-08 636
计算机网络安全分析及防范措施--毕业论文.doc中央广播电视大学毕业设计(论文)题 目: 计算机网络安全防范措施…………………………………………………………………………… 2目 录 …………………………………………………………………………… 3引 言 …………………………………………………………………………… 4第一章 计算机网络简介 ……………………………………………………… ...
网络信息安全风险态势预测分析方法探讨
weixin_33744854的博客
05-02 621
1.研究背景安全风险态势预测分析是信息安全技术和管理领域中的重要内容,传统的方法一般会按如下几个方面独立地或者混合进行分析:1.获取历史上安全***相关信息,利用概率模型或者使用历史数据进行训练,根据结果进行风险预测[1] [2];2.根据各种信息资产的安全脆弱性进行分析;3.根据各种信息资产的安全属性,包括保密性、完整性、可用性等;4.根据网络拓扑模型进行分析,其手段主要是...
常见网络安全攻击路径分析与防护建议
网络安全
11-15 2514
攻击路径是指网络攻击者潜入到企业内部网络应用系统所采取的路径,换句话说,也就是攻击者进行攻击时所采取的相关措施。攻击途径通常代表着有明确目的性的威胁,因为它们会经过详细的准备和规划。从心怀不满的内部人员到恶意黑客、间谍团伙,都可能会利用这些攻击路径,窃取公司技术、机密信息或敲诈钱财。
信息安全事件分类分级解读
热门推荐
煜铭2011
10-10 3万+
信息安全事件分类分级解读 信息安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等情况对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的网络安全事件。 1、信息安全事件分类 依据《中华人民共和国网络安全法》 、《GBT 24363-2009 信息安全技信息安全应急响应计划规范》、《GB\T 20984-2007 信息安全技术 信息安全风险评估规范》 《GB\Z 20...
网络安全应急响应-日志分析技术
Bnessy
03-24 6130
Web日志分析 一 、HTTP基础 1. HTTP报文格式解析 HTTP请求报文 HTTP请求包括3部分,分别是请求行、请求头和请求正文。 Windows NT 10.0表示操作系统内核版本号,Windows XP内核号是NT 5.1或NT 5.2(64位操作系统),Windows Vista的内核版本号是NT 6.0,Windows 7的内核版本号是NT 6.1,Windows 8的内核版本号是NT 6.2,Windows 10的内核版本号是NT 10.0。 rv:98.0是Firefox浏览器的软件
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值