編者按：本文介紹了暴力破解事件，并嘗試使用日志分析方法識別暴力破解事件；同時介紹了日志分析方法的原理，日志分析系統(tǒng)的功能和工作流程，指出了日志的范式化和關聯(lián)分析是識別暴力破解事件的關鍵所在，并實際構建了相應的關聯(lián)分析規(guī)則。通過日志分析的方法，IT管理者可以實現(xiàn)對企業(yè)內(nèi)網(wǎng)中暴力破解和暴力破解成功事件的關聯(lián)分析規(guī)則的創(chuàng)建，實時識別內(nèi)網(wǎng)中存在的該類攻擊事件。

在企業(yè)內(nèi)網(wǎng)中，有許多重要的信息系統(tǒng)，基本都采用了用戶名和口令的安全認證機制。用戶的口令對于信息系統(tǒng)的安全起到重要作用，變得尤為關鍵。

保證信息系統(tǒng)的安全首先要保證口令的安全，對于口令的安全性首先要保證口令的長度和復雜性。對于長度和復雜性都達不到一定要求的口令，很容易被破解。企業(yè)內(nèi)網(wǎng)中雖然部署了防火墻等訪問控制設備，但只能防范外來的攻擊和入侵。很多對信息系統(tǒng)的攻擊都來自于網(wǎng)絡內(nèi)部，而對信息系統(tǒng)內(nèi)部的攻擊常常以破解口令為主要攻擊方式，最直接的攻擊方法就是暴力破解。暴力破解法或稱為“窮舉法”，是一種針對密碼的破譯方法，即將密碼進行逐個推算直到找出真正的密碼為止。

如何識別暴力破解并采取及時有效的應對措施成為IT管理者日常工作的一部分。在當前網(wǎng)絡安全技術中，安全管理人員通常采用在網(wǎng)絡中部署IDS（Intrusion Detection System）產(chǎn)品的方式來發(fā)現(xiàn)暴力破解事件，IDS通過對用戶和網(wǎng)絡流量的分析，發(fā)現(xiàn)網(wǎng)絡中存在的各種入侵攻擊行為。但是，IDS系統(tǒng)在進行入侵檢測時，由于基于特征檢測，會產(chǎn)生誤報和漏報的情況。安全研究人員和安全管理人員也使用新的技術和方法來實時發(fā)現(xiàn)暴力破解事件的發(fā)生。本文不借助于IDS產(chǎn)品，而從日志的關聯(lián)分析角度來進行暴力破解事件的實時識別。

借助工具分析日志

在一個完整的信息系統(tǒng)里面，日志系統(tǒng)是一個非常重要的功能組成部分。它可以記錄下系統(tǒng)所產(chǎn)生的所有行為，并按照某種規(guī)范表達出來。通過日志，IT管理者可以了解系統(tǒng)的運行狀況。而通過對安全相關的日志的分析，IT管理者可以檢驗信息系統(tǒng)安全機制的有效性，這就是安全日志審計。安全日志可以幫助IT管理者進行事故處理、入侵檢測、事件關聯(lián)分析，以及綜合性的故障診斷工作。

由于信息系統(tǒng)中存在多種網(wǎng)絡設備、安全設備、主機/服務器、數(shù)據(jù)庫、中間件和應用系統(tǒng)等，這些設備和系統(tǒng)的日志各不相同、千差萬別，因此，IT管理者分析來自這些設備和系統(tǒng)的海量日志時，存在日志分散、格式不統(tǒng)一、日志量巨大的困難。

安全管理人員應該借助一個日志分析工具來為其安全管理工作提供技術支撐。這個日志分析工具應該能夠?qū)Ψ稚⒌暮Ａ咳罩具M行收集，并對這些日志格式進行規(guī)范化統(tǒng)一描述，實現(xiàn)對日志的集中化存儲、泛化、過濾、歸并、關聯(lián)分析、審計、實時告警和綜合展示。

關聯(lián)分析是關鍵

關聯(lián)分析在信息安全過程中是指對信息系統(tǒng)的安全日志數(shù)據(jù)進行自動化、持續(xù)性分析，通過與用戶定義的、可配置的規(guī)則匹配來識別網(wǎng)絡中存在的潛在威脅和復雜的攻擊場景，從而發(fā)現(xiàn)真正的安全問題，達到對當前安全態(tài)勢準確、實時的評估，并根據(jù)預先制定策略做出快速的響應，以方便管理人員全面監(jiān)控網(wǎng)絡安全狀況的技術。關聯(lián)分析可以提高網(wǎng)絡安全防護效率和防御能力，并為安全管理和應急響應提供重要的技術支持。關聯(lián)分析主要解決以下四個問題：

一、減少誤報，將單個告警事件與可能的安全場景聯(lián)系起來；

二、消除重復報警，對相同、相近的報警事件進行處理，例如過濾和壓制等；

三、為達到識別有計劃攻擊的目的，增加攻擊檢測率，對深層次、復雜的攻擊行為進行挖掘，并以一定的規(guī)則表達式表示出來；

四、提高安全事件分析的實時性，提醒安全管理人員第一時間內(nèi)進行響應。

日志格式的泛式化是日志分析的基礎，而日志關聯(lián)分析引擎是日志分析的關鍵，強大的日志關聯(lián)分析引擎，可以幫助安全管理人員實現(xiàn)更多的安全事件分析能力，滿足多種安全場景的檢測需求。

借助先進的智能事件關聯(lián)分析引擎，日志分析系統(tǒng)能夠?qū)崟r持續(xù)地對所有范式化后的日志流進行安全事件關聯(lián)分析。系統(tǒng)具備多種關聯(lián)分析方法和能力：

首先是基于規(guī)則的事件關聯(lián)。

系統(tǒng)提供了可視化的規(guī)則編輯器，用戶可以定義基于邏輯表達式和統(tǒng)計條件的關聯(lián)規(guī)則，所有日志字段都可參與關聯(lián)；

規(guī)則的邏輯表達式支持等于、不等于、大于、小于、不大于、不小于、位于……之間、屬于、包含等運算符和關鍵字；

規(guī)則支持統(tǒng)計計數(shù)功能，并可以指定在統(tǒng)計時的固定和變動的事件屬性，可以關聯(lián)出達到一定統(tǒng)計規(guī)則的事件。

其次是基于基線的事件關聯(lián)。

針對網(wǎng)絡流量數(shù)據(jù)，系統(tǒng)能夠建立周期性基線和非周期性基線，通過同比分析和環(huán)比分析的方式來判斷實際流量特征信息（稱做特征指標）與基線/預測值之間的差異程度，進而判定導致流量異常的攻擊或者違規(guī)行為。系統(tǒng)采用了具有自學習和自反饋機制的基線生成/修正算法；

通過單事件關聯(lián)，系統(tǒng)可以對符合單一規(guī)則的事件流進行規(guī)則匹配；

通過多事件關聯(lián)，系統(tǒng)可以對符合多個規(guī)則（稱做組合規(guī)則）的事件流進行復雜事件規(guī)則匹配。

暴力破解事件規(guī)則構建

借助于強大的關聯(lián)分析引擎，安全管理人員可以構造關聯(lián)分析規(guī)則，實現(xiàn)對范式化后的日志的關聯(lián)分析，自動化實時發(fā)現(xiàn)網(wǎng)絡中的暴力破解事件，向安全管理人員提出告警。

暴力破解事件的安全場景為短時間內(nèi)不斷地嘗試登錄主機、設備或應用系統(tǒng)，可能使用同一賬戶，也可能嘗試不同賬戶，但登錄失敗。鑒于這種登錄行為，設備、主機或系統(tǒng)會產(chǎn)生登錄失敗的日志，每次登錄失敗都會產(chǎn)生相應的一條日志。故暴力破解的行為從日志的表現(xiàn)上為短時間內(nèi)產(chǎn)生并發(fā)送了多條相同的登錄失敗的日志。

系統(tǒng)在匹配到滿足該規(guī)則的日志信息后，會產(chǎn)生實時告警，從而幫助安全管理人員發(fā)現(xiàn)暴力破解的安全事件。

依據(jù)暴力破解的關聯(lián)分析規(guī)則，更進一步可以設計出暴力破解成功的關聯(lián)分析規(guī)則。暴力破解成功的安全場景為，日志分析系統(tǒng)先產(chǎn)生大量短時間內(nèi)登錄失敗的日志，在之后產(chǎn)生一條登錄成功的日志，且兩種日志記錄的源目的IP地址均相同，并且二者之間有時序上的邏輯關系，即登錄成功日志產(chǎn)生于大量登錄失敗的日志之后。

通過實際系統(tǒng)，結合以上關聯(lián)分析規(guī)則，確實可以實時發(fā)現(xiàn)網(wǎng)絡中存在的暴力破解事件，有效降低信息系統(tǒng)面臨的安全風險。

下一步的工作是要對范式化進行擴展，只有更多的日志范式化描述的字段信息，才可以依據(jù)這些字段的組合構造出我們已知的安全場景的關聯(lián)分析規(guī)則。同時，需要研究更加復雜和深層次的安全攻擊場景，充分利用日志關聯(lián)分析功能，構造出符合這些場景的關聯(lián)分析規(guī)則。

借助先進的智能事件關聯(lián)分析引擎，日志分析系統(tǒng)能夠?qū)崟r持續(xù)地對所有范式化后的日志流進行安全事件關聯(lián)分析。