最近在研究通过网络日志来检测网络攻击,在这里记录下读过的相关文章,
文章来源主要是ACM Digital Library
Highly Predictive Blacklisting
1.文章里主要介绍了一种设置网络黑名单的方法
2. 首先需要对日志进行一些过滤,如先筛去无效ip产生的日志,对常见的网站爬虫设置白名单, 同时排除了源端口为53 (DNS), 25 (SMTP), 80 (HTTP), 443 (VPN), 目的端口为 TCP 53 (DNS) 25 (SMTP)的网络日志条目,因为防火墙常因为这些端口超时报警
3. 文章中提出的想法需要以大量安全日志的共享为基础,通过对这些安全日志进行分析,确定针对不同服务器的攻击源以及相关性,以此作为制定黑名单的基础。(如服务器1受到了A和B,C的攻击,服务器2受到了A,B的攻击,那么服务器2应该提防C)
个人感觉不是很实用,首先安全日志共享本身就是一个问题,其次我个人认为如果确定了某个地址有攻击行为,那么就应该立即ban掉地址,而不是再通过算法去衡量恶意程度,此外攻击者的ip是可以改变的。
Attack Intent Analysis Method Based on Attack Path Graph
1.文中提出了一种方法来识别“攻击者的真正意图”,即在防御网络攻击后进行溯源,确定需要重点保护的对象或者需要加固的网络节点。
2. 文中对网络资产的重要性进行了定义,通过机密性、完整性和可用性来评估资产的价值。
3. 通过计算漏洞的CVSS分数,来量化这个漏洞的使用难度和对应目标资产的收益
4. 攻击路径意图计算:(1) 判断假设的攻击意图是否可以成功映射到相应的漏洞。 (2) 通过上述步骤映射得到的漏洞节点,判断该漏洞是否为攻击路径图中的节点,如果是,则进一步判断从初始攻击节点 到该点的连接是否连通,如果不是,则攻击意图为假。如果判断出了攻击意图,则根据利用的对应漏洞的难度以及目标资产来确定一个权重,即攻击意图实现的可能性
个人感觉和上一篇一样也不是很实用,实验中是作者自己搭了一个网络,给其中不同的服务器安上了不同的漏洞,之后计算出其中某几个节点需要特别加固。不过在分析网络日志的时候大部分文章里均使用了有向图或者加权有向图的方法,在之前的比赛中我也尝试过通过网络日志中来构建有向图来识别webshell,原理是webshell因为是恶意植入的,与原先的网站没有明显的跳转关系,因此在网络日志里构建有像图,webshell文件会变成一个点。详细过程可以参考这篇文章:http://www.91ri.org/14841.html
说明在分析网络日志时,有向图基本是首选的分析方法,其效果也较明显,将单条目的日志信息串联起来以获取更深层次的关联信息,之后再研究网络日志时可以通过有向图入手
1701
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
