大型互聯(lián)網(wǎng)企業(yè)入侵檢測(cè)實(shí)戰(zhàn)總結(jié)_h

1、 寫(xiě)文章 登錄大型互聯(lián)網(wǎng)企業(yè)入侵檢測(cè)實(shí)戰(zhàn)總結(jié) 職業(yè)欠錢(qián)職業(yè)欠錢(qián)2 hours ago前言入侵檢測(cè)是每一個(gè)大型互聯(lián)網(wǎng)企業(yè)都要面對(duì)的一個(gè)難題。 比如，你怎么知道，當(dāng)前自己公司是不是已經(jīng)被黑了？是真的沒(méi)人來(lái)黑，還是別人黑了自己沒(méi)有能力感知 到？ 價(jià)值越大的公司，面臨入侵的威脅越大，像Yahoo！這樣的互聯(lián)網(wǎng)鼻祖，在落幕時(shí)仍遭遇全量數(shù)據(jù)失竊的事 情，一旦發(fā)生在輕資產(chǎn)的數(shù)據(jù)化公司身上，后果不堪想象。 基于保密的考慮，本文不會(huì)提及任何具體的策略。希望直接照搬入侵策略的同學(xué)可能會(huì)失望，但一些思路分 享出來(lái)，希望得到大家的指點(diǎn)，如能對(duì)大家產(chǎn)生些許幫助，也是一個(gè)非常令人開(kāi)心的事。 限于個(gè)人認(rèn)知，如有謬誤，歡迎同

2、行指點(diǎn)。 摘要入侵的定義：惡意攻擊者不經(jīng)授權(quán)控制我方資源 我們要發(fā)現(xiàn)什么樣的入侵： GetShell以及GetShell之后的行為上 入侵和內(nèi)鬼：內(nèi)鬼不在入侵檢測(cè)討論范圍，移步內(nèi)部風(fēng)險(xiǎn)控制和審計(jì) 入侵檢測(cè)的本質(zhì)：區(qū)分未授權(quán)的動(dòng)作，可以模式匹配、異常檢測(cè)，通過(guò)加固讓合法行為帶標(biāo)簽可簡(jiǎn)化檢測(cè)模型 入侵檢測(cè)與攻擊向量：不存在“通用入侵檢測(cè)模型”，必須結(jié)合“攻擊向量”具體分析常見(jiàn)入侵手法與應(yīng)對(duì)：杜絕高危端口，優(yōu)先聚焦Web GetShell入侵檢測(cè)基本原則：減少“誤報(bào)”是關(guān)鍵 主流的入侵檢測(cè)產(chǎn)品形態(tài)：HIDS（服務(wù)和終端類(lèi)似）、NIDS、沙箱、RASP、SIEM/SOC 入侵檢測(cè)效果評(píng)價(jià)指標(biāo)：主動(dòng)檢出

3、率、可運(yùn)營(yíng)的場(chǎng)景覆蓋率 影響入侵檢測(cè)的關(guān)鍵要素：系統(tǒng)健康度（保證每一臺(tái)主機(jī)、每一時(shí)刻、每一個(gè)策略都健康運(yùn)行） 如何發(fā)現(xiàn)APT：等待實(shí)施APT的人犯錯(cuò)，高級(jí)的0day、木馬并不是APT的代言詞 AI在入侵檢測(cè)領(lǐng)域的正確姿勢(shì)：別讓AI專(zhuān)家領(lǐng)銜，讓業(yè)務(wù)專(zhuān)家提需求，把AI當(dāng)工具而不是解決方案 什么是入侵電影里典型的入侵場(chǎng)景： 在很遠(yuǎn)的地方，通過(guò)網(wǎng)絡(luò)控制你的筆記本、手機(jī)、機(jī)房的服務(wù)、網(wǎng)絡(luò)設(shè)備，進(jìn)而隨意的讀 你（筆記本、手機(jī)、服務(wù)、網(wǎng)絡(luò)設(shè)備里）的隱私數(shù)據(jù)（竊取數(shù)據(jù)）、用你的設(shè)備上的功能，實(shí) 現(xiàn)的意圖，比如使用手機(jī)的麥克風(fēng)竊聽(tīng)你在說(shuō)什么，使用筆記本的攝像頭 使用服務(wù)的計(jì)算能力挖礦，使用網(wǎng)絡(luò)能力發(fā)動(dòng)DDOS攻

4、擊等等你在看什么， 所以，入侵，就是惡意攻擊者（俗稱(chēng)），不經(jīng)授權(quán)的控制、使用我方資源（讀寫(xiě)文件、執(zhí)行命令、控制 網(wǎng)絡(luò)資源等）。廣義上，使用SQL注入竊取數(shù)據(jù)，或者拿到了你在域名ISP里的帳號(hào)，可以篡改DNS指向一 個(gè)黑頁(yè)，又或者找到了你的社交帳號(hào)，在微博/QQ/郵箱上，對(duì)虛擬資產(chǎn)進(jìn)行控制，都叫入侵。 我們要發(fā)現(xiàn)什么樣的入侵 企業(yè)里的入侵檢測(cè)，多數(shù)時(shí)候，需要發(fā)現(xiàn)的是狹義上的入侵 一般指對(duì)PC、服務(wù)、工作網(wǎng)絡(luò)（包 括辦公網(wǎng)、生產(chǎn)網(wǎng)）的控制行為。 而對(duì)PC、服務(wù)等資產(chǎn)的控制，最主流的方法是通過(guò)SHELL去下發(fā)指令，獲得SHELL的這個(gè)動(dòng)作叫做 GetShell。常見(jiàn)的方式有通過(guò)Web服務(wù)的上傳漏洞，

5、拿到WebShell，或者利用RCE漏洞直接執(zhí)行命令（存在 漏洞的頁(yè)面，變相的提供了一個(gè)SHELL環(huán)境）。另外，也有通過(guò)某種方式先植入木馬后門(mén)，后續(xù)直接利用木 馬集成的SHELL功能對(duì)目標(biāo)進(jìn)行控制。 因此，入侵檢測(cè)重點(diǎn)關(guān)注的，是GetShell這個(gè)動(dòng)作，以及GetShell成功之后的惡意行為（為了擴(kuò)大戰(zhàn)果，多半會(huì)利用Shell進(jìn)行探測(cè)、翻找竊取、橫向移動(dòng)攻擊其它內(nèi)部目標(biāo)）。至于有一些同行（包括業(yè)界產(chǎn)品）， 喜歡關(guān)注GetShell之前的一些“外部掃描、攻擊嘗試”行為，在筆者看來(lái)基本上是沒(méi)有意義的。因?yàn)橐粋€(gè)成功 的產(chǎn)品、優(yōu)秀的公司，外部的掃描和嘗試攻擊無(wú)時(shí)無(wú)刻不在持續(xù)發(fā)生的，我們得習(xí)慣這是常態(tài)，

6、并在這樣的 常態(tài)下去，有什么加固的策略，可以一開(kāi)始就做，持續(xù)的運(yùn)營(yíng)，如果有什么策略是無(wú)法持續(xù)運(yùn)營(yíng)的，多 半也就不是一個(gè)有效的策略了。 而類(lèi)似于SQL注入、XSS等一些不直接GetSHell的Web攻擊，暫時(shí)不在狹義的“入侵檢測(cè)”考慮范圍，而是可以劃入“漏洞”、“威脅感知”等領(lǐng)域，另行探討。當(dāng)然，利用SQL注入、XSS等入口，進(jìn)行了GetShell操作 的，我們?nèi)宰etShell這個(gè)關(guān)鍵點(diǎn)，而不討論漏洞入口本身。 “入侵”和“內(nèi)鬼”與入侵接近的一種場(chǎng)景是內(nèi)鬼。入侵本身是手段，GetShell只是開(kāi)始，目的是為了之后對(duì)資源的控制和數(shù)據(jù) 的竊取。而內(nèi)鬼本身?yè)碛泻戏ǖ臋?quán)限，可以合法接觸感資產(chǎn)，但是基

7、于工作以外的目的對(duì)這些資源進(jìn)行非 法處置，包括拷貝副本、轉(zhuǎn)移外泄、篡改數(shù)據(jù)牟利等。 內(nèi)鬼的行為不在“入侵檢測(cè)”的范疇，一般從內(nèi)部風(fēng)險(xiǎn)控制的視角進(jìn)行管理和審計(jì)，比如職責(zé)分離、雙人審計(jì)等。也有數(shù)據(jù)防泄密產(chǎn)品，DLP對(duì)其進(jìn)行防御，這里不展開(kāi)。 有時(shí)候，知道員工A有權(quán)限接觸目標(biāo)資產(chǎn)，于是定向攻擊員工A，利用員工A的權(quán)限把數(shù)據(jù)竊取走，也定 性為“入侵”。畢竟A不是主觀惡意的內(nèi)鬼。如果不能在攻擊A的那一刻捕獲（軍方級(jí)對(duì)手可能會(huì)擁有0day 無(wú)法防御，免殺木馬無(wú)法檢測(cè)），或者無(wú)法區(qū)分控制的A竊取數(shù)據(jù)，和正常員工A的訪問(wèn)數(shù)據(jù)，那這個(gè)入 侵檢測(cè)就是失敗的。 入侵檢測(cè)的本質(zhì) 前面已經(jīng)說(shuō)過(guò)入侵就是可以不經(jīng)過(guò)你的同意

8、，操作你的資產(chǎn)，手段并沒(méi)有任何限制。那么如何找出入侵 行為和合法正常行為的區(qū)別，將其跟合法行為分類(lèi)開(kāi)，就是“入侵發(fā)現(xiàn)”。在模型上，它其本質(zhì)是一個(gè)標(biāo)記問(wèn) 題（入侵、非入侵）。 可惜的是，入侵這種動(dòng)作的“黑”樣本特別稀少，想通過(guò)大量的數(shù)據(jù)去訓(xùn)練入侵檢測(cè)模型，找出入侵的規(guī)律， 比較難。因此，入侵檢測(cè)策略人員，往往需要投入大量的時(shí)間，去提煉更精準(zhǔn)的表達(dá)模型，或者花更多的精 力去構(gòu)造“類(lèi)似入侵”的模擬數(shù)據(jù)。一個(gè)經(jīng)典的例子是，為了 webshell，行業(yè)人員往往去GitHub上搜索一些公開(kāi)的webshell樣本，數(shù)量大約是不到1000個(gè)。而對(duì)于機(jī)學(xué)習(xí)動(dòng)輒百萬(wàn)級(jí)的訓(xùn)練需求，這是遠(yuǎn)遠(yuǎn)不夠 的。 此時(shí)，針對(duì)已知

9、樣本做技術(shù)分類(lèi)，提煉更精準(zhǔn)的模型，被稱(chēng)為傳統(tǒng)的特征工程，被視為效率低下的重復(fù)勞 動(dòng)，但效果往往比較可以預(yù)期。而構(gòu)造大量的惡意樣本，雖然有機(jī)學(xué)習(xí)、AI等光環(huán)，但在實(shí)際環(huán)境中 往往難以獲得成功 自動(dòng)生成的樣本很難描述webshell本來(lái)的含義，多半描述的是自動(dòng)生成的算法特征。 另一個(gè)方面，入侵的區(qū)別是看行為本身是否“授權(quán)”，而授權(quán)與否本身是沒(méi)有任何顯著的區(qū)分特征的。因此， 做入侵的時(shí)候，如果能夠通過(guò)某種加固，將合法的訪問(wèn)收斂到有限的通道，并且給該通道做出強(qiáng)有力的 區(qū)分，也就能大大的降低入侵檢測(cè)的成本 例如，對(duì)訪問(wèn)來(lái)源進(jìn)行嚴(yán)格的認(rèn)證，無(wú)論是自然人，還是程序API，都要求持有合法票據(jù)，而派發(fā)票據(jù)時(shí)，針

10、對(duì)不同情況做多緯度的認(rèn)證，再用權(quán)限控制臺(tái)針對(duì)這些票據(jù)記 錄和監(jiān)控它們可以訪問(wèn)的范圍。 這也是Google的BeyondCorp無(wú)邊界網(wǎng)絡(luò)得以實(shí)施的前提和基礎(chǔ)。因此，入侵檢測(cè)的主要思路也就有2種： 1. 根據(jù)特征進(jìn)行模式匹配；（黑特征法，例如WebShell關(guān)鍵字匹配）2. 根據(jù)業(yè)務(wù)歷史行為（生成基線模型），對(duì)入侵行為做異常對(duì)比；（非白既黑），如果業(yè)務(wù)的歷史行為不夠 收斂，就用加固的手段對(duì)其進(jìn)行收斂，再挑出不合規(guī)的小眾異常行為。 入侵檢測(cè)與攻擊向量 根據(jù)目標(biāo)不同，可能暴露給的攻擊面，和可以采用的入侵手法，也完全不同。比如，入侵你手頭的PC/筆記本，和入侵部署在機(jī)房/云上的服務(wù)，攻擊和防御的方法完

11、全不同。 針對(duì)一個(gè)明確的“目標(biāo)”，它被訪問(wèn)的渠道可能是有限集，被攻擊的必經(jīng)路徑也有限。一個(gè)可以成功入侵的 攻擊方法 + 目標(biāo) 合并起來(lái)，就稱(chēng)為一個(gè)“攻擊向量”。 因此，談入侵檢測(cè)模型效果時(shí)，需要先明確攻擊向量，針對(duì)不同的攻擊路徑，采集對(duì)應(yīng)的數(shù)據(jù)，才可能做對(duì) 應(yīng)的檢測(cè)模型。比如，基于SSH登錄后的SHELL命令采集，是不會(huì)讓你發(fā)現(xiàn)Webshell的攻擊的。而基于網(wǎng)絡(luò) 流量的采集數(shù)據(jù)，也不會(huì)讓你獲悉是否在SSH后的SHELL環(huán)境里執(zhí)行了什么文件切割打包的動(dòng)作。 基于此，如果有人說(shuō)自己的模型可以無(wú)視場(chǎng)景發(fā)現(xiàn)APT，那就是在扯犢子。首先你得先把APT對(duì)應(yīng)的攻擊向 量羅列出來(lái)，每一個(gè)細(xì)分場(chǎng)景是否擁有數(shù)據(jù)

12、，是否具備發(fā)現(xiàn)能力，都要單獨(dú)去建設(shè)的。 常見(jiàn)的入侵手法與應(yīng)對(duì) ， 在全局的范圍內(nèi)如何排序，解決它耗費(fèi)的成本和帶來(lái)的收益如何，都需要有專(zhuān)業(yè)經(jīng)驗(yàn)做支撐來(lái)決策。 下面說(shuō)說(shuō)經(jīng)典教程里，的入侵流程（完整過(guò)程可以參考鏈模型）： 要入侵一個(gè)目標(biāo)之前，對(duì)該目標(biāo)是一無(wú)所知的，所以第一件事，是“踩點(diǎn)” 也就是搜集信息。比如， 我要黑的目標(biāo)，有哪些資產(chǎn)（域名、IP、網(wǎng)站服務(wù)），它們各自的狀態(tài)如何，是否存在已知的漏洞（工 具），管理他們的人有誰(shuí)，存在哪些已知的泄漏信息（比如社工庫(kù)里的等）一旦踩點(diǎn)完成，核心的思路就是根據(jù)目標(biāo)找出對(duì)應(yīng)的漏洞、攻擊策略進(jìn)行滲透，比如： 1. 高危服務(wù)入侵所有的公共服務(wù)都叫做高危端口，因?yàn)樵?/p>

13、協(xié)議、實(shí)現(xiàn)該協(xié)議的開(kāi)源組件，可能存在已知的攻擊路徑（甚至未 知的0day），只要你的價(jià)值足夠高，有足夠的資源去挖掘攻擊手法，那么當(dāng)你把高危端口開(kāi)啟的那一 刻，就相當(dāng)于為打開(kāi)了大門(mén)。 比如SSH、RDP端口開(kāi)放，這些端口是給管理員維護(hù)系統(tǒng)用的，只要知道，就能通過(guò)該端口獲得服 務(wù)的權(quán)限，完成入侵?？赡芡ㄟ^(guò)暴力猜碼，獲得憑據(jù)，也可能通過(guò)其它方式拿到登錄憑據(jù)。 或許，你的設(shè)置得非常強(qiáng)壯，但是這并不是你可以把該端口繼續(xù)暴露在互聯(lián)網(wǎng)的理由，我們應(yīng)該把這些 端口限制好，只允許自己的IP（或者內(nèi)部的堡壘主機(jī)）訪問(wèn)，徹底斷掉通過(guò)它入侵我們的可能。 與此類(lèi)似的，MySQL、Redis、FTP、SMTP、MSSQL

14、、Rsync等等，凡是自己用來(lái)管理服務(wù)或者數(shù)據(jù) 庫(kù)、文件的服務(wù)，都不應(yīng)該給互聯(lián)網(wǎng)打開(kāi)。否則，蠕蟲(chóng)化的攻擊工具會(huì)在短短幾分鐘內(nèi)攻破你的服務(wù)，甚至直接加密你的數(shù)據(jù)，要求你支付比特幣進(jìn)行勒索。 還有一些高危服務(wù)存在RCE漏洞（遠(yuǎn)程命令執(zhí)行），只要端口開(kāi)放，GetShell。 就能利用現(xiàn)成的exploit，直接防御建議： 在這里做入侵檢測(cè)的必要性不高，因?yàn)楦呶７?wù)的具體所指非常的多，不一定存在通用的特征， 所以，通過(guò)加固方式，收斂攻擊入口才是更有效的策略。禁止所有高危端口對(duì)互聯(lián)網(wǎng)開(kāi)放即可。 2. Web入侵隨著高危端口的加固，知識(shí)庫(kù)里的攻擊手法很多都會(huì)失效了。但是Web服務(wù)是現(xiàn)代互聯(lián)網(wǎng)公司的主要服務(wù)

15、形式，不可能也都關(guān)掉。于是，基于PHP、JAVA、ASP/http:/ASP.NET、NODE、C寫(xiě)的cgi等等動(dòng)態(tài)的Web服務(wù)本身的漏洞，就變成了入侵的最主要的入口了。 比如利用上能直接上傳一個(gè)WebShell、利用文件包含功能，直接引用執(zhí)行一個(gè)遠(yuǎn)程的WebShell、利用代 碼執(zhí)行的功能，直接當(dāng)作SHELL的入口執(zhí)行任意命令，利用解析一些圖片、視頻的功能，上傳一個(gè)惡意的樣 本，觸發(fā)解析庫(kù)的漏洞這里的細(xì)分手法是一個(gè)專(zhuān)門(mén)的領(lǐng)域（道哥專(zhuān)門(mén)寫(xiě)了本白帽子講Web安全），當(dāng)然，由于它們都是由Web 服務(wù)做為入口的，所以，入侵檢測(cè)的時(shí)候，也總有一些辦法，找到GetShell和正常業(yè)務(wù)行為的一些區(qū) 別。

16、這里，基于WAF日志、Access Log、Auditd記錄的系統(tǒng)調(diào)用或者SHELL指令，網(wǎng)絡(luò)層面上針對(duì)response包 體里的特征，都可能提煉出很多攻擊手法，建議主要的精力放在這里。 3. 0day入侵通過(guò)NSA泄漏的工具包來(lái)看，早些年他們是擁有直接攻擊Apache、Nginx這些服務(wù)的能力的。這意味著對(duì)手 很可能有一些我們不知道的漏洞，神不知鬼不覺(jué)就GetShell了。 但是對(duì)于入侵檢測(cè)而言，這并不重要 ： 因?yàn)槲覀儚膩?lái)不在乎你利用什么漏洞，我們只關(guān)注你所使用的shellcode和之后的行為。Apache存在0day漏洞被攻擊，還是一個(gè)php頁(yè)面存在低級(jí)的漏洞被攻擊，從入侵的 行為上來(lái)看

17、，說(shuō)不定是完全一樣的，入侵檢測(cè)模型可以通用。 所以，多把精力聚焦在有哪些手法上，會(huì)比關(guān)注存在哪些漏洞更有價(jià)值 當(dāng)然，具體漏洞還是要實(shí)際 投入跟進(jìn)和測(cè)試，驗(yàn)證模型的效果。 4. 通過(guò)辦公網(wǎng)入侵絕大多數(shù)APT報(bào)告里，是先對(duì)人下手，比如發(fā)個(gè)郵件，哄騙你打開(kāi)后，控制了你的PC，再進(jìn)行長(zhǎng)期的觀察/翻閱，拿到你的合法憑據(jù)后，再到內(nèi)網(wǎng)漫游。這一部分，由于之前的合作里，是另一個(gè)團(tuán)隊(duì)負(fù)責(zé)的，所以就不展開(kāi)了。其實(shí)這里才是APT的重頭戲，業(yè)界多數(shù)產(chǎn)品也是圍繞這里，而不是IDC的服務(wù)，很遺憾沒(méi) 有太多的實(shí)戰(zhàn)經(jīng)驗(yàn)，希望以后有機(jī)會(huì)可以在這個(gè)領(lǐng)域做出一些事情。 入侵檢測(cè)基本原則 1. 不能把每一條告警都徹底跟進(jìn)的模型，等同

18、于無(wú)效模型 有入侵了再說(shuō)之前有告警，只是太多了沒(méi)跟過(guò)來(lái)/沒(méi)查徹底，這是馬后炮，等同于不具備發(fā)現(xiàn)能力； 3. 由于任何單模型都會(huì)存在漏報(bào)，所以我們必須在多個(gè)緯度上做多個(gè)模型，形成縱深 假設(shè)WebShell靜態(tài)文本分析被變形繞過(guò)了，在RASP（運(yùn)行時(shí)環(huán)境）的惡意調(diào)用還可以監(jiān)控到，這樣可以選擇接受單個(gè)模 型的漏報(bào)，但在整體上仍然不漏； 4. 任何模型都有誤報(bào)漏報(bào)，我們做什么，不做什么，需要考慮的是“性?xún)r(jià)比” 比如某些變形的WebShell可以寫(xiě)成跟業(yè)務(wù)代碼非常相似，人的肉眼幾乎無(wú)法識(shí)別，再追求一定要在文本分析上進(jìn)行 很差的決策，通過(guò)RASP的檢測(cè)方案，其性?xún)r(jià)比更高一些； ，就是性?xún)r(jià)比5. 我們不可能

19、知道所有的攻擊手法，也不可能針對(duì)每一種手法都建設(shè)策略（不具備性?xún)r(jià)比），但是，針對(duì)重點(diǎn)業(yè)務(wù)，我們可以通過(guò)加固的方式，讓的有效性檢測(cè)）可能會(huì)讓100%的目標(biāo)變得現(xiàn)實(shí) 能攻擊的路徑極度收斂，僅在關(guān)鍵環(huán)節(jié)進(jìn)行（包括加固基于上述幾個(gè)原則，我們可以知道一個(gè)事實(shí)，或許，我們永遠(yuǎn)不可能在單點(diǎn)上做到100分，但是，我們可以通 過(guò)一些組合方式，讓攻擊者很難繞過(guò)所有的點(diǎn)。 當(dāng)老板或者藍(lán)軍挑戰(zhàn)，為何漏過(guò)某個(gè)單點(diǎn)的行為時(shí)，其實(shí)可以換個(gè)思維，看其是否能完全不觸碰全局防御體系”，在某個(gè)單點(diǎn)上進(jìn)行無(wú)止境的投入，最終可能只是在試圖制造一個(gè) 的實(shí)現(xiàn)攻擊目標(biāo)。如果為了“永動(dòng)機(jī)，純粹浪費(fèi)人力、資源，而不產(chǎn)生實(shí)際的收益。 入侵檢測(cè)產(chǎn)品

20、的主流形態(tài) 入侵檢測(cè)終究是要基于數(shù)據(jù)去建模，比如針對(duì)WebShell的檢測(cè)，首先要識(shí)別web目錄，再對(duì)里面的文件進(jìn)行 文本分析，這需要做一個(gè)采集。 基于SHELL命令的入侵檢測(cè)模型，需要獲取所有SHELL命令，這可能要Hook系統(tǒng)調(diào)用或者劫持SHELL。 基于網(wǎng)絡(luò)IP信譽(yù)、流量payload進(jìn)行檢測(cè)，或者基于郵件網(wǎng)關(guān)對(duì)內(nèi)容的檢查，可能要植入網(wǎng)絡(luò)邊界里，對(duì)流量 進(jìn)行旁路采集。 也有一些集大成者，基于多個(gè)sensor，將應(yīng)用日志進(jìn)行采集后，匯總在一個(gè)SOC或者SIEM，再交由大數(shù)據(jù)平臺(tái)進(jìn)行分析運(yùn)算模型，因此，業(yè)界的產(chǎn)品大致上就分成了以下的形態(tài)： 1. 主機(jī)Agent類(lèi)：攻擊了主機(jī)后，在主機(jī)上進(jìn)行的

21、動(dòng)作，可能會(huì)產(chǎn)生日志、進(jìn)程、命令、網(wǎng)絡(luò)等記錄，那么在主機(jī)上部署一個(gè)采集（也內(nèi)含一部分檢測(cè)規(guī)則），就叫做基于主機(jī)的入侵檢測(cè)系統(tǒng)，簡(jiǎn)稱(chēng)HIDS； 典型的產(chǎn)品：OSSEC、云盾、360、安全狗，當(dāng)然，一些APT廠商，往往也有在主機(jī)上的sensor/agent，比 如FireEye等 2. 網(wǎng)絡(luò)檢測(cè)類(lèi)：由于多數(shù)攻擊向量是會(huì)通過(guò)網(wǎng)絡(luò)對(duì)目標(biāo)進(jìn)行一些payload的投放，或者控制目標(biāo)，因此，這些payload和控制協(xié)議，就會(huì)有一定的特征，在網(wǎng)絡(luò)層面可以識(shí)別出來(lái)； 典型的產(chǎn)品：Snort，到商業(yè)的各種NIDS/NIPS，如今的威脅情報(bào)檢測(cè)系統(tǒng)TIP，也屬于這一類(lèi)； 3. 日志集中存儲(chǔ)類(lèi)：這一類(lèi)產(chǎn)品允許主機(jī)、網(wǎng)

22、絡(luò)設(shè)備、應(yīng)用都輸出各自的日志，集中到一個(gè)統(tǒng)一的，在這個(gè)，對(duì)各類(lèi)日志進(jìn)行綜合的分析，判斷是否可以關(guān)聯(lián)的把一個(gè)入侵行為的多個(gè)路徑刻畫(huà)出來(lái)，例如A主機(jī) 的的Web訪問(wèn)日志里顯示遭到了掃描和攻擊嘗試，繼而主機(jī)層面多了一個(gè)陌生的進(jìn)程和網(wǎng)絡(luò)連接，最后A主 機(jī)對(duì)內(nèi)網(wǎng)其它主機(jī)進(jìn)行了橫向滲透嘗試； 典型的產(chǎn)品：Splunk，各種SIEM解決方案 4. 網(wǎng)關(guān)沙箱執(zhí)行類(lèi)：本質(zhì)上這類(lèi)產(chǎn)品是類(lèi)型2（網(wǎng)絡(luò)檢測(cè)類(lèi)）的一種子集，只不過(guò)它不重點(diǎn)監(jiān)控惡意特征（繞過(guò)的姿勢(shì)太多，而且有加密的手法使得payload完全無(wú)法被檢測(cè)），因此，此類(lèi)產(chǎn)品往往部署在網(wǎng)關(guān)出入口， 或者郵件等服務(wù)前面，通過(guò)協(xié)議分析，識(shí)別流量里的文件，通過(guò)虛擬機(jī)/沙

23、箱的模擬執(zhí)行（很多魚(yú)叉攻擊的 附件），如果發(fā)現(xiàn)類(lèi)似于doc文件被word打開(kāi)后，派生CMD之類(lèi)的異常行為（觸發(fā)網(wǎng)絡(luò)下載行為、調(diào)用了危 險(xiǎn)的系統(tǒng)函數(shù)等都算），就可以把它攔截或者告警出來(lái)； 典型產(chǎn)品：FirEye、PaloAuto5. 主機(jī)安全防御產(chǎn)品：本質(zhì)上它也是類(lèi)型1的一種子集，但是大家可能更耳熟能詳 主流的殺毒軟件（此時(shí)可以成為終端安全管理方案），會(huì)嚴(yán)密的監(jiān)控主機(jī)上的一舉一動(dòng)，比如下載了一個(gè)文件、啟動(dòng)了一個(gè)程 文件，哪怕是控制了服務(wù)，試圖植入木馬長(zhǎng)期潛伏，也可能因?yàn)榇税踩珯C(jī)制而失效。 典型產(chǎn)品：Bit9、SEP、賽門(mén)鐵克、卡巴斯基入侵檢測(cè)效果評(píng)價(jià)指標(biāo) 首先，主動(dòng)發(fā)現(xiàn)的入侵案例/所有入侵 =

24、有效發(fā)現(xiàn)率。這個(gè)指標(biāo)一定是最直觀的。 比較麻煩的是分母，很多真實(shí)發(fā)生的入侵，如果外部不反饋，我們又沒(méi)檢測(cè)到，它就不會(huì)出現(xiàn)在分母里，所 以有效發(fā)現(xiàn)率總是虛高的，誰(shuí)能保證當(dāng)前所有的入侵都發(fā)現(xiàn)了呢？ 而且，真實(shí)的入侵其實(shí)是一個(gè)低頻行為 畢竟，我們的目標(biāo)是不發(fā)生入侵，應(yīng)該提前加固好，不給趁之機(jī)才對(duì)。很久沒(méi)出現(xiàn)真實(shí)入侵案例，這個(gè)指標(biāo)長(zhǎng)期不變化，是無(wú)法刻畫(huà)入侵檢測(cè)能力的提升的。 可 所以一般還會(huì)引入2個(gè)指標(biāo)來(lái)觀測(cè)： 1. 藍(lán)軍主動(dòng)發(fā)現(xiàn)率 2. 已知場(chǎng)景建成覆蓋率 藍(lán)軍主動(dòng)和演習(xí)，彌補(bǔ)真實(shí)入侵低頻的缺陷，但是由于藍(lán)軍掌握的攻擊手法往往也是有限的，他們 多次演習(xí)后，手法和場(chǎng)景可能會(huì)被羅列完畢，這里的建設(shè)和補(bǔ)漏

25、不會(huì)那么及時(shí)。 所以，把已知攻擊手法的建成覆蓋率拿出來(lái)，也是一個(gè)側(cè)面評(píng)價(jià)指標(biāo)。 入侵檢測(cè)團(tuán)隊(duì)把精力聚焦在已知攻擊手法的優(yōu)先級(jí)評(píng)估和快速覆蓋上，對(duì)建設(shè)到什么程度是滿(mǎn)足需要的，要有自己的專(zhuān)業(yè)判斷。（參考入侵檢測(cè)原則里的“性?xún)r(jià)比”原則） 比如，我們目前制定的新策略上線前的驗(yàn)收標(biāo)準(zhǔn)是： 1. 單場(chǎng)景日均工單X單，峰值Y單；所有場(chǎng)景日平均Z，峰值XX，超出該指標(biāo)的策略不予接收，不視為具 備對(duì)應(yīng)能力； 2. 同IP、相同業(yè)務(wù)模塊（類(lèi)似屬性）多次觸碰相同規(guī)則，具備自動(dòng)抑制能力，首次出現(xiàn)告警，多次出現(xiàn)自動(dòng) 合并； 3. 具備誤報(bào)自學(xué)習(xí)能力 4. 具備可讀性（有清晰的風(fēng)險(xiǎn)闡述、關(guān)鍵信息、處理指引、輔助信息或者索

26、引，便于定性） 5. 策略上線前需要自測(cè)(輸出自測(cè)報(bào)告)、有清晰的說(shuō)明文檔(運(yùn)營(yíng)人員按照這個(gè)文檔驗(yàn)收)6. 策略驗(yàn)收完成需輸出驗(yàn)收?qǐng)?bào)告 7. 不得私自調(diào)用微信、短信等接口發(fā)告警，必須走統(tǒng)一的告警框架(應(yīng)急策略臨時(shí)可開(kāi)通，2-3天緩沖期，但必須用正式策略替換應(yīng)急策略，或者下掉應(yīng)急策略)在滿(mǎn)足驗(yàn)收標(biāo)準(zhǔn)的前提下，策略人員形成文檔，說(shuō)明對(duì)當(dāng)前場(chǎng)景哪些手法具備覆蓋能力，哪些前提下會(huì)無(wú)法 告警（考驗(yàn)一個(gè)人對(duì)該場(chǎng)景和自己模型的理解能力）?？梢詫?duì)策略的成熟度形成自評(píng)得分，0-100分滿(mǎn)分，自評(píng)滿(mǎn)足基礎(chǔ)的覆蓋能力后，可能還存在一些遺憾，它們的提高邊際成本變高，很可能不會(huì)追求到極致，而是 投入到下一個(gè)場(chǎng)景的覆蓋里

27、去。如果某個(gè)場(chǎng)景出現(xiàn)了真實(shí)，又沒(méi)有交叉的其它策略進(jìn)行彌補(bǔ)，那自評(píng)滿(mǎn) 足要求的結(jié)論是要被的。 影響入侵檢測(cè)的關(guān)鍵要素 討論影響入侵檢測(cè)的要素時(shí)，我們可以簡(jiǎn)單看看曾經(jīng)發(fā)生過(guò)哪些錯(cuò)誤導(dǎo)致我們不能主動(dòng)發(fā)現(xiàn)入侵（這里的每 一條，背后可能都是一個(gè)令人遺憾的真實(shí)漏報(bào)case）： 1. 依賴(lài)于主機(jī)agent采集數(shù)據(jù)的模型，在當(dāng)事機(jī)上，沒(méi)部署安裝/agent掛了/數(shù)據(jù)上報(bào)過(guò)程丟失了/Bug了 2.數(shù)據(jù)分析模塊故障（丟棄數(shù)據(jù)） 3. 策略腳本Bug、沒(méi)啟動(dòng)4. 還沒(méi)建設(shè)對(duì)應(yīng)的策略 5. 策略的靈度不夠（比如掃描的閾值沒(méi)達(dá)到，WebShell用了變形的手法） 6. 模型依賴(lài)的部分基礎(chǔ)數(shù)據(jù)錯(cuò)誤，做出了錯(cuò)誤的判斷 7.

28、 成功告警了，但是工單應(yīng)急同學(xué)錯(cuò)誤的判斷/沒(méi)有跟進(jìn)/輔助信息不足以定性 所以，實(shí)際上，要讓一個(gè)入侵獲，我們需要有專(zhuān)門(mén)的運(yùn)營(yíng)人員對(duì)以下目標(biāo)負(fù)責(zé)： 1. 數(shù)據(jù)采集的完整性 2. 每一個(gè)策略時(shí)刻工作正常（撥測(cè)監(jiān)控） 3. 針對(duì)高危場(chǎng)景策略要覆蓋，靈度要滿(mǎn)足一般需要 4. 依賴(lài)的基礎(chǔ)數(shù)據(jù)要準(zhǔn)確 5. 工單運(yùn)營(yíng)支撐平臺(tái)及追溯輔助工具完備 可能有些同學(xué)會(huì)想，影響入侵檢測(cè)的關(guān)鍵要素難道不是模型的有效性么？怎么全是這些亂七八糟的東西？ 實(shí)際上，稍微上規(guī)模的企業(yè)，上述的每一點(diǎn)要長(zhǎng)期維持在高可用標(biāo)準(zhǔn)，都非常不容易。比如懂攻防的策略同學(xué)，對(duì)基礎(chǔ)數(shù)據(jù)質(zhì)量不關(guān)心不負(fù)責(zé)，最終的效果就是明明能發(fā)現(xiàn)的入侵，總是有各種原因恰好

29、發(fā)現(xiàn)不了。之 前，筆者親歷過(guò)有大量的案例，明明對(duì)手很菜，手法很簡(jiǎn)單，但就是因?yàn)檫@些因素給漏過(guò)了。 所以，我常感慨，以某些運(yùn)營(yíng)質(zhì)量之差，根本輪不到跟拼策略（技術(shù)）。 當(dāng)然，一旦有兄弟幫忙去跟進(jìn)這些質(zhì)量運(yùn)營(yíng)工作之后，我們的確就真的需要拼策略了。 這個(gè)時(shí)候，攻擊手法有那么多，憑什么先選擇這個(gè)場(chǎng)景建設(shè)？憑什么認(rèn)為建設(shè)到這個(gè)程度就足夠滿(mǎn)足對(duì)已知 手法的感知了？憑什么選擇發(fā)現(xiàn)這些樣本而放棄那些樣本？ 這些極具主觀性的東西，往往考驗(yàn)的是判斷力、執(zhí)行力等專(zhuān)業(yè)度，不能等到 我們?cè)髂杲ㄔO(shè)的入侵了才解釋說(shuō)，這個(gè)場(chǎng)景 如何發(fā)現(xiàn)APT所謂APT，就是高級(jí)的持續(xù)威脅。既然是高級(jí)的，按照一般的描述，他們的木馬是免殺的（

30、不能假定我們可以發(fā)現(xiàn)這個(gè)木馬）、他們的漏洞不公開(kāi)的（不能假定我們可以加固抵抗）、他們的手法是高級(jí)的（不能假定 這個(gè)手法在已知的范疇里）。 所以，實(shí)際上APT的意思就幾乎等同于我們不能發(fā)現(xiàn)的入侵了。 但是，業(yè)界總還有APT檢測(cè)產(chǎn)品、解決方案的廠商在混飯吃，他們是怎么做的呢？ 說(shuō)木馬免殺的，他們用沙箱+人工分析，哪怕效率低一些，還是試圖做出定性，并快速的把IOC（威脅情報(bào)） 同步給其它客戶(hù)，發(fā)現(xiàn)1例，全網(wǎng)都去排查。 說(shuō)流量變形的，他們用異常檢測(cè)的模型，把一些不認(rèn)識(shí)的可疑的IP關(guān)系、payload給識(shí)別出來(lái) 當(dāng) 然，識(shí)別出來(lái)之后，也要運(yùn)營(yíng)人員跟進(jìn)得仔細(xì)才能定性。 說(shuō)攻擊手法高級(jí)的，他們還是會(huì)假定就用

31、魚(yú)叉、水坑之類(lèi)的已知手法去執(zhí)行，然后在郵箱附件、PC終端等 環(huán)節(jié)采集日志，對(duì)用戶(hù)行為進(jìn)行分析，UEBA試圖尋找出用戶(hù)異于平常的動(dòng)作。 那么，我們呢？我沒(méi)有什么好的辦法，可以發(fā)現(xiàn)中的免殺的木馬，但是我們可以針對(duì)已知的攻擊框架（比如metasploit、cobalt strike）生成的木馬類(lèi)型、行為進(jìn)行一些特征的提取，比如DNS隧道的通訊，比如IP信譽(yù) 的模型，比如默認(rèn)生成的不免殺木馬的共性特征等。 我們可以假設(shè)已經(jīng)有控制了某一臺(tái)機(jī)，但是它試圖進(jìn)行橫向擴(kuò)散的時(shí)候，我們有一些模型可以識(shí)別它 的探測(cè)、翻找、入侵嘗試等行為。 我們暫時(shí)還不知道如何100%發(fā)現(xiàn)APT，但是如果真的有APT在公司里，有本事

32、這個(gè)團(tuán)隊(duì)別犯錯(cuò)，永遠(yuǎn)都不觸 碰我們所有的鈴鐺。否則，只要他犯錯(cuò)，就輪到我們出場(chǎng)了。 前面所有的高標(biāo)準(zhǔn)，包括高覆蓋、低誤報(bào)，必須跟進(jìn)到底，都是在等待這一刻。因此，我們堅(jiān)持住，即使聽(tīng)過(guò)無(wú)數(shù)次“狼來(lái)了”，下一次仍然必須用最高的敬畏心去對(duì)待新的告警。 AI在入侵檢測(cè)領(lǐng)域的正確姿勢(shì) 最近這2年，不談AI故事就不會(huì)完整。只不過(guò)，隨著AI概念的火爆，很多人已經(jīng)把數(shù)據(jù)挖掘、統(tǒng)計(jì)分析的一些說(shuō)法，比如分類(lèi)、預(yù)測(cè)、聚類(lèi)、關(guān)聯(lián) 之類(lèi)的算法，改名字叫AI了。 入侵檢測(cè)本質(zhì)上是對(duì)數(shù)據(jù)做標(biāo)記（labeling）解決方式上，可以分為分類(lèi)（classify），或者聚類(lèi) （cluster），區(qū)別是已有的數(shù)據(jù)是否有標(biāo)簽。入侵檢測(cè)領(lǐng)

33、域，多數(shù)沒(méi)有動(dòng)輒上百萬(wàn)的樣本的可供模型去訓(xùn)練，也就是無(wú)法使用數(shù)據(jù)來(lái)刻畫(huà)特征。 此時(shí)，安全領(lǐng)域一個(gè)比較常見(jiàn)的現(xiàn)象是，將場(chǎng)景轉(zhuǎn)變成標(biāo)記問(wèn)題，要難過(guò)于通過(guò)數(shù)學(xué)模型把標(biāo)記的解給求出 來(lái)。也就是要業(yè)務(wù)專(zhuān)家先行，算法專(zhuān)家再跟上，而不能直接讓算法專(zhuān)家閉門(mén)造車(chē)。 所以，針對(duì)一個(gè)具體的攻擊場(chǎng)景，怎么樣采集對(duì)應(yīng)的入侵?jǐn)?shù)據(jù)，思考這個(gè)入侵動(dòng)作和正常人的區(qū)別，這個(gè)特 征的提取過(guò)程，往往決定了模型最終的效果。特征決定了效果的上限，而算法模型決定了多接近這個(gè)上限。 如果有一個(gè)純粹的AI團(tuán)隊(duì)，上來(lái)不關(guān)注攻擊具體場(chǎng)景就用這些算法對(duì)已知樣本進(jìn)行訓(xùn)練和建模，是不可能有好的結(jié)果的。入侵檢測(cè)的同學(xué)，和AI的同學(xué)，必須形成一種相互合作而不是單方面覺(jué)得高人一等的關(guān)系，才可能做出有實(shí)用價(jià)值的結(jié)果。 此前，筆者曾見(jiàn)過(guò)一個(gè)案例，AI團(tuán)隊(duì)產(chǎn)出了一個(gè)實(shí)驗(yàn)室環(huán)境效果極佳，但是在實(shí)際環(huán)境里卻不如人意的Webshell模型。這個(gè)項(xiàng)目的誕生，是源自該團(tuán)隊(duì)試圖做一個(gè)AI模型來(lái)跟傳統(tǒng)的Webshell模型做效果對(duì)比 都是在文本靜態(tài)分析方面去做檢測(cè)，即便AI在實(shí)驗(yàn)室環(huán)境的效果再好，也仍舊有漏報(bào)，而且，原團(tuán)隊(duì)所放棄 的抵抗，也由RASP彌補(bǔ)過(guò)了，于是該項(xiàng)目事實(shí)上并未產(chǎn)生應(yīng)有的價(jià)值。 這個(gè)例子并非說(shuō)該團(tuán)隊(duì)不優(yōu)秀，而是壓根就不該讓AI的同學(xué)去獨(dú)自承擔(dān)整個(gè)壓力，甚至不推薦“使用AI做