分析日志识别暴力破解.docVIP

分析日志识别暴力破解 　　编者按：本文介绍了暴力破解事件，并尝试使用日志分析方法识别暴力破解事件；同时介绍了日志分析方法的原理，日志分析系统的功能和工作流程，指出了日志的范式化和关联分析是识别暴力破解事件的关键所在，并实际构建了相应的关联分析规则。通过日志分析的方法，IT管理者可以实现对企业内网中暴力破解和暴力破解成功事件的关联分析规则的创建，实时识别内网中存在的该类攻击事件。 　　在企业内网中，有许多重要的信息系统，基本都采用了用户名和口令的安全认证机制。用户的口令对于信息系统的安全起到重要作用，变得尤为关键。 　　保证信息系统的安全首先要保证口令的安全，对于口令的安全性首先要保证口令的长度和复杂性。对于长度和复杂性都达不到一定要求的口令，很容易被破解。企业内网中虽然部署了防火墙等访问控制设备，但只能防范外来的攻击和入侵。很多对信息系统的攻击都来自于网络内部，而对信息系统内部的攻击常常以破解口令为主要攻击方式，最直接的攻击方法就是暴力破解。暴力破解法或称为“穷举法”，是一种针对密码的破译方法，即将密码进行逐个推算直到找出真正的密码为止。 　　如何识别暴力破解并采取及时有效的应对措施成为IT管理者日常工作的一部分。在当前网络安全技术中，安全管理人员通常采用在网络中部署IDS（Intrusion Detection System）产品的方式来发现暴力破解事件，IDS通过对用户和网络流量的分析，发现网络中存在的各种入侵攻击行为。但是，IDS系统在进行入侵检测时，由于基于特征检测，会产生误报和漏报的情况。安全研究人员和安全管理人员也使用新的技术和方法来实时发现暴力破解事件的发生。本文不借助于IDS产品，而从日志的关联分析角度来进行暴力破解事件的实时识别。 　　借助工具分析日志 　　在一个完整的信息系统里面，日志系统是一个非常重要的功能组成部分。它可以记录下系统所产生的所有行为，并按照某种规范表达出来。通过日志，IT管理者可以了解系统的运行状况。而通过对安全相关的日志的分析，IT管理者可以检验信息系统安全机制的有效性，这就是安全日志审计。安全日志可以帮助IT管理者进行事故处理、入侵检测、事件关联分析，以及综合性的故障诊断工作。 　　由于信息系统中存在多种网络设备、安全设备、主机/服务器、数据库、中间件和应用系统等，这些设备和系统的日志各不相同、千差万别，因此，IT管理者分析来自这些设备和系统的海量日志时，存在日志分散、格式不统一、日志量巨大的困难。 　　安全管理人员应该借助一个日志分析工具来为其安全管理工作提供技术支撑。这个日志分析工具应该能够对分散的海量日志进行收集，并对这些日志格式进行规范化统一描述，实现对日志的集中化存储、泛化、过滤、归并、关联分析、审计、实时告警和综合展示。 　　关联分析是关键 　　关联分析在信息安全过程中是指对信息系统的安全日志数据进行自动化、持续性分析，通过与用户定义的、可配置的规则匹配来识别网络中存在的潜在威胁和复杂的攻击场景，从而发现真正的安全问题，达到对当前安全态势准确、实时的评估，并根据预先制定策略做出快速的响应，以方便管理人员全面监控网络安全状况的技术。关联分析可以提高网络安全防护效率和防御能力，并为安全管理和应急响应提供重要的技术支持。关联分析主要解决以下四个问题： 　　一、减少误报，将单个告警事件与可能的安全场景联系起来； 　　二、消除重复报警，对相同、相近的报警事件进行处理，例如过滤和压制等； 　　三、为达到识别有计划攻击的目的，增加攻击检测率，对深层次、复杂的攻击行为进行挖掘，并以一定的规则表达式表示出来； 　　四、提高安全事件分析的实时性，提醒安全管理人员第一时间内进行响应。 　　日志格式的泛式化是日志分析的基础，而日志关联分析引擎是日志分析的关键，强大的日志关联分析引擎，可以帮助安全管理人员实现更多的安全事件分析能力，满足多种安全场景的检测需求。 　　借助先进的智能事件关联分析引擎，日志分析系统能够实时持续地对所有范式化后的日志流进行安全事件关联分析。系统具备多种关联分析方法和能力： 　　首先是基于规则的事件关联。 　　系统提供了可视化的规则编辑器，用户可以定义基于逻辑表达式和统计条件的关联规则，所有日志字段都可参与关联； 　　规则的逻辑表达式支持等于、不等于、大于、小于、不大于、不小于、位于……之间、属于、包含等运算符和关键字； 　　规则支持统计计数功能，并可以指定在统计时的固定和变动的事件属性，可以关联出达到一定统计规则的事件。 　　其次是基于基线的事件关联。 　　针对网络流量数据，系统能够建立周期性基线和非周期性基线，通过同比分析和环比分析的方式来判断实际流量特征信息（称做特征指标）与基线/预测值之间的差异程度，进而判定导致流量异常的攻击