金京犬

網(wǎng)絡(luò)安全應(yīng)急響應(yīng)日志分析服務(wù)技術(shù)研究

金京犬

（安徽郵電職業(yè)技術(shù)學(xué)院，安徽 合肥 230031 ）

為幫助網(wǎng)絡(luò)安全運(yùn)維人員從海量日志數(shù)據(jù)中精準(zhǔn)定位關(guān)鍵信息，文章重點(diǎn)研究了各類日志分析時(shí)的關(guān)注點(diǎn)和日志分析規(guī)則與技巧?；谏鲜黾夹g(shù)，文章給出了一個(gè)Web日志案例的分析驗(yàn)證實(shí)驗(yàn)，實(shí)驗(yàn)結(jié)果表明：研究各類日志分析關(guān)注點(diǎn)可快速定位日常安全威脅、及時(shí)排查故障。

應(yīng)急響應(yīng)；日志分析；Web應(yīng)用日志；操作系統(tǒng)日志

網(wǎng)絡(luò)應(yīng)用日趨復(fù)雜，規(guī)模越來(lái)越大，各類應(yīng)用系統(tǒng)千差萬(wàn)別，網(wǎng)絡(luò)安全事件頻發(fā)，各種攻擊手段日新月異。在遭受突發(fā)的網(wǎng)絡(luò)入侵事件后，最重要的應(yīng)急響應(yīng)措施就是溯源及修復(fù)被攻擊系統(tǒng)的漏洞?！吨腥A人民共和國(guó)網(wǎng)絡(luò)安全法》要求網(wǎng)絡(luò)安全日志留存時(shí)間不少于六個(gè)月[1]，一旦發(fā)生網(wǎng)絡(luò)安全事件，能根據(jù)日志中相關(guān)威脅和異常行為信息，進(jìn)行組織研判，及時(shí)采取響應(yīng)措施。日志分析服務(wù)主要是針對(duì)日常IT運(yùn)維、網(wǎng)絡(luò)安全事件、IT故障等場(chǎng)景，提供分析日志記錄來(lái)獲取相關(guān)有價(jià)值信息的一種服務(wù)措施，它能更好地為發(fā)現(xiàn)日常安全威脅、快速排查故障、解決處理安全事件提供一種有效的輔助手段。

1 網(wǎng)絡(luò)安全日志分類

網(wǎng)絡(luò)安全日志文件是用于記錄各類設(shè)備操作事件的文本集合，網(wǎng)絡(luò)安全日志分析就是在海量的日志中分析出需要的日志信息。網(wǎng)絡(luò)安全日志一般分為操作系統(tǒng)日志、數(shù)據(jù)庫(kù)系統(tǒng)日志、Web應(yīng)用日志、網(wǎng)絡(luò)安全設(shè)備日志四種類型[2,3]。即主流的Windows/Linux操作系統(tǒng)日志， Oracle/MySQL等數(shù)據(jù)庫(kù)系統(tǒng)日志， IIS、Apache Tomcat、Nginx等Web應(yīng)用日志，防火墻，IDS/IPS日志等網(wǎng)絡(luò)安全設(shè)備日志。Web應(yīng)用日志分析服務(wù)主要分析常見(jiàn)Web攻擊行為如SQL注入，文件上傳等；操作系統(tǒng)日志分析服務(wù)主要分析操作系統(tǒng)可疑行為，包括關(guān)機(jī)、重啟、增刪賬戶等；數(shù)據(jù)庫(kù)日志分析服務(wù)主要分析常見(jiàn)的數(shù)據(jù)庫(kù)弱口令[4]，竊取數(shù)據(jù)備份，UDF提權(quán)、SQL注入等，網(wǎng)絡(luò)安全設(shè)備日志分析服務(wù)主要分析安全設(shè)備監(jiān)控告警行為，包括檢測(cè)的攻擊行為、設(shè)備自身可疑操作行為等。

2 日志分析流程

所有的操作系統(tǒng)、網(wǎng)絡(luò)安全設(shè)備、Web應(yīng)用系統(tǒng)在運(yùn)行和訪問(wèn)過(guò)程中都會(huì)記錄日志。在日常威脅監(jiān)控、排查IT故障、處理安全事件時(shí)，通過(guò)查看日志記錄信息可有效發(fā)現(xiàn)、解決部分問(wèn)題，因此，日志記錄非常重要。常規(guī)的日志分析流程主要包括判斷日志故障類型，日志收集，日志分析，日志分析報(bào)告四個(gè)過(guò)程[5]，如圖1。

圖1 日志分析流程

明確日志故障類型指確定日志的分類及格式類型；日志收集采用手工或者工具收集的方法；日志分析指根據(jù)不同日志類型采取手工分析、工具分析或者兩者相結(jié)合分析；日志分析報(bào)告包含日志分析背景描述、日志類型、日志時(shí)間段、關(guān)鍵日志內(nèi)容和總結(jié)、安全建議等。

3 日志分析方法

日志分析方法一般按照兩種思路展開，一是基于入侵時(shí)間的方法論，排查時(shí)間段內(nèi)的有疑問(wèn)的日志，確定攻擊源；二是基于特征分析的方法論，根據(jù)特征進(jìn)行篩選，通過(guò)搜索存在問(wèn)題的日志，確定攻擊源。圖2是基于入侵時(shí)間的日志分析思路，圖3是基于特征的日志分析思路。

圖2 確定入侵時(shí)間的日志分析思路

圖3 確定特征的日志分析思路

在實(shí)際日志分析中，常常使用到操作系統(tǒng)自帶的文本內(nèi)容搜索命令和大日志文件分析工具，在分析攻擊日志時(shí)，通過(guò)搜集明顯的攻擊字符串和特征來(lái)判斷是否存在攻擊以及攻擊的手段，比如在分析日志文件時(shí)，Linux系統(tǒng)下的find、grep命令和shell腳本會(huì)帶來(lái)很大的方便，另外也會(huì)用到正則表達(dá)式來(lái)篩選特定的日志內(nèi)容；在分析大日志文件時(shí)，會(huì)使用到一些文本查看和編輯工具，比如Notepad++等。

4 日志分析關(guān)注點(diǎn)

4.1 操作系統(tǒng)日志關(guān)注點(diǎn)

4.1.1Windows操作系統(tǒng)日志關(guān)注點(diǎn)

操作系統(tǒng)日志分析服務(wù)主要分析操作系統(tǒng)可疑行為，包括關(guān)機(jī)、重啟、遠(yuǎn)程訪問(wèn)、增刪賬戶等，Windows操作系統(tǒng)中，日志文件一般分為三類，即系統(tǒng)日志，安全性日志及應(yīng)用程序日志，在應(yīng)急響應(yīng)日志分析過(guò)程中，常常關(guān)注的是一些敏感事件的ID，通過(guò)篩選關(guān)鍵事件ID的所有日志信息，審計(jì)入侵者的行為軌跡。如表1摘錄了部分相關(guān)日志的事件ID。

表1 Windows操作系統(tǒng)日志分析事件ID關(guān)注點(diǎn)

4.1.2Linux操作系統(tǒng)日志關(guān)注點(diǎn)

Linux操作系統(tǒng)日志功能非常強(qiáng)大，記錄了與之相關(guān)的所有操作記錄，Linux操作系統(tǒng)日志大多存儲(chǔ)在/var/log目錄中，不同的操作系統(tǒng)略有差別，比如Web日志，Ubuntu存儲(chǔ)于/var/log/apache2/access.log文件，Centos存儲(chǔ)在/var/log/http/access_log文件中，表2列出了Linux操作系統(tǒng)日志分析關(guān)注點(diǎn)。

表2 Linux操作系統(tǒng)日志分析關(guān)注點(diǎn)

4.2 數(shù)據(jù)庫(kù)日志關(guān)注點(diǎn)

數(shù)據(jù)庫(kù)日志包含多種，常見(jiàn)有錯(cuò)誤、操作、更新日志等，其中最重要的日志類型屬操作日志，它不僅記錄了數(shù)據(jù)庫(kù)連接相關(guān)信息還記錄了數(shù)據(jù)庫(kù)查詢（數(shù)據(jù)庫(kù)增刪改操作）信息，所以在分析數(shù)據(jù)庫(kù)的日志時(shí)，重點(diǎn)偏向于數(shù)據(jù)庫(kù)對(duì)象的操作日志分析，數(shù)據(jù)庫(kù)日志關(guān)注點(diǎn)有審核異常時(shí)間登錄數(shù)據(jù)庫(kù)信息；用戶弱口令登錄信息；審核賬號(hào)增刪改及賬號(hào)權(quán)限提升信息；審核SQL注入痕跡，例如創(chuàng)建的臨時(shí)表和自定義函數(shù)；審核數(shù)據(jù)庫(kù)表結(jié)構(gòu)變化信息等。

4.3 Web應(yīng)用日志關(guān)注點(diǎn)

常用的Web服務(wù)器有Microsoft IIS和Apache系統(tǒng)，Windows操作系統(tǒng)中常見(jiàn)的Web中間件有Apache、IIS和Tomcat；Linux操作系統(tǒng)中常見(jiàn)的Web中間件有Nginx、Apache。在對(duì)Linux操作系統(tǒng)日志分析時(shí)，表3摘錄了Linux操作系統(tǒng)中部分常用排查的命令[6]，方便日志檢索及溯源分析。

表3 Linux日志分析常用排查命令

4.4 安全設(shè)備日志關(guān)注點(diǎn)

網(wǎng)絡(luò)安全設(shè)備多種多樣，例如IDS/IPS，防火墻等，不同的網(wǎng)絡(luò)安全設(shè)備廠家日志記錄信息有所不同，重要信息包含日志時(shí)間、級(jí)別和一些基礎(chǔ)信息。日志級(jí)別（0～7級(jí)）對(duì)于安全運(yùn)維人員來(lái)說(shuō)在溯源的時(shí)候提供非常重要的信息，可以幫助安全運(yùn)維人員查找問(wèn)題所在，安全設(shè)備常見(jiàn)的關(guān)注點(diǎn)有審核管理員異常時(shí)間失敗登錄、異常操作的記錄；審核賬戶添加，權(quán)限提升，更改密碼的記錄；審核變更規(guī)則策略的記錄等。

5 Web日志分析案例

對(duì)訪問(wèn)網(wǎng)站的Web日志進(jìn)行分析，重點(diǎn)關(guān)注已知的入侵時(shí)間前后的日志記錄，從而尋找攻擊者的攻擊路徑，以及所利用的漏洞。

Step1：通過(guò)access.log日志文件統(tǒng)計(jì)訪問(wèn)網(wǎng)站的IP，發(fā)現(xiàn) 129.9.0.0網(wǎng)段IP地址最高，如圖4所示。

圖4 統(tǒng)計(jì)訪問(wèn)網(wǎng)站的IP

Step2：分析系統(tǒng)error.log日志文件，發(fā)現(xiàn)IP地址為129.9.0.77主機(jī)多次嘗試登錄后臺(tái)服務(wù)，懷疑是暴力破解手段攻擊行為，如圖5所示。

圖5 暴力破解攻擊

Step3：進(jìn)一步篩選access.log日志文件，發(fā)現(xiàn)IP地址129.9.0.77主機(jī)利用Webservice接口上傳了一個(gè)可疑文件，如圖6所示。

圖6 上傳WebShell

Step4：對(duì)訪問(wèn)日志進(jìn)行分析，總結(jié)黑客訪問(wèn)路徑大概是首先攻擊者訪問(wèn)首頁(yè)和登錄頁(yè)，找到登錄頁(yè)面，暴力破解了login.php登錄頁(yè)面，找到了Webservice上傳接口，攻擊者多次POST提交請(qǐng)求，上傳了木馬文件。

Step5：分析針對(duì)日志中發(fā)現(xiàn)的問(wèn)題，以及攻擊者的活動(dòng)路徑，排查出網(wǎng)站中存在的漏洞，并進(jìn)行分析。針對(duì)網(wǎng)站可疑接口Webservice，發(fā)現(xiàn)后臺(tái)服務(wù)存在MIME類型文件上傳漏洞。

Step6：對(duì)已發(fā)現(xiàn)的漏洞進(jìn)行漏洞復(fù)現(xiàn)，還原攻擊者的攻擊路徑，使用中國(guó)菜刀工具成功上傳WebShell，并獲取了網(wǎng)站服務(wù)器的控制權(quán)，如圖7所示。

圖7 獲取網(wǎng)站服務(wù)器控制權(quán)

Step7：清除已經(jīng)發(fā)現(xiàn)的WebShell，并把后臺(tái)管理員的口令設(shè)置成為高強(qiáng)度密碼，同時(shí)為防止受到第二次攻擊，網(wǎng)站管理員需要定期對(duì)網(wǎng)站服務(wù)器進(jìn)行全面的安全檢查，修復(fù)已存在的漏洞。

6 結(jié)束語(yǔ)

網(wǎng)絡(luò)安全日志分析就是在眾多的日志中找出自己需要的日志信息，Windows系統(tǒng)下可以使用內(nèi)置的日志篩選器、PowerShell，相關(guān)的日志工具進(jìn)行日志分析查詢，Linux系統(tǒng)日志分析的方法主要使用grep、sed、sort，awk等命令查詢?nèi)罩?，其他日志結(jié)合系統(tǒng)命令及正則表達(dá)式，或者利用相關(guān)成熟的工具進(jìn)行分析，提取相關(guān)特征規(guī)則，對(duì)攻擊者的行為進(jìn)行分析[7]。本文重點(diǎn)研究了各類日志分析時(shí)檢查的關(guān)注點(diǎn)，日志分析規(guī)則和技巧，在此基礎(chǔ)上通過(guò)Web日志案例分析實(shí)驗(yàn)驗(yàn)證，下一步研究的工作重點(diǎn)是WebShell應(yīng)急響應(yīng)安全檢測(cè)技術(shù)，以及針對(duì)海量日志可視化分析系統(tǒng)總體設(shè)計(jì)。

[1] 中華人民共和國(guó)網(wǎng)絡(luò)安全法·實(shí)用版（新版）[M]. 北京:中國(guó)法制出版社, 2018: 47–51.

[2] 曾恒. 基于ELK的網(wǎng)絡(luò)安全日志管理分析系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D]. 北京: 北京郵電大學(xué), 2017.

[3] 賴特. 網(wǎng)絡(luò)安全設(shè)備日志融合技術(shù)研究[D]. 成都: 電子科技大學(xué), 2016.

[4] 譚森, 郭捷. 基于日志分析的MySQL數(shù)據(jù)庫(kù)取證算法[J].信息安全與通信保密, 2015(3): 81–84.

[5] 汪小霞. 基于Spark的網(wǎng)絡(luò)日志分析系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J]. 無(wú)線互聯(lián)科技, 2021(10): 23–24.

[6] 奇安信安服團(tuán)隊(duì). 網(wǎng)絡(luò)安全應(yīng)用響應(yīng)技術(shù)實(shí)戰(zhàn)指南[M]. 北京: 電子工業(yè)出版社, 2020: 198–223.

[7] 趙運(yùn)弢, 徐春雨, 薄波, 等. 基于流量的WebShell行為分析與檢測(cè)方法[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2018(4): 8–9.

Research on Service Technology for Log Analysis of Network Security Emergency Response

JIN Jing-quan

(Anhui Post and Telecommunication College, Hefei Anhui 230031, China)

In order to help network security operation and maintenance personnel locate key information accurately from massive log data, this paper studies the focus and log analysis rules and techniques of various types of logs. Based on the above techniques, this paper gives an analysis and verification test of a web log case, and the test results show that studying the focus of various log analysis can locate daily security threats quickly and troubleshoot them timely.

emergency response; log analysis; web application logs; operating system logs

2022-04-21

安徽省高等學(xué)校省級(jí)質(zhì)量工程項(xiàng)目（2021jxtd148）

金京犬（1982—），男，安徽安慶人，副教授，碩士，研究方向：網(wǎng)絡(luò)安全及應(yīng)用。

TP393.08

A

2095-9249（2022）03-0065-04

〔責(zé)任編校：陳楠楠〕