如何利用安全分析技术来检测高级恶意软件？（二）

威胁检测安 全分析的另一个重要部分是日志管理。我们的想法是把所有系统的日志信息保存在集中的安全位置，以备将来使用。当攻击者侵入系统时，他或她通常会通过编辑或 删除系统日志来删除侵入的证据。转移这些日志到中央存储库可以增加攻击者篡改日志的难度。此外，通过集中日志记录，企业可以更容易地在系统和应用上搜索和 运行报告。

在你的日志中你应该检查这些事件：成功登录之前经过多次失败登录尝试；通常从某个IP或位置登录的用户突然从其他位置登录；没有进行DNS查询连接到网络 IP地址的机器，或者具有大量出口流量的连接。这些事件中的任何一个都可能或者可能不会构成问题，但任何两个或以上的问题同时出现就可能意味着攻击。

另外，如果无法选择商业日志管理或安全信息和事件管理产品，还有很多免费的SIEM工具。Splunk可作为你的日志搜索引擎，你每天可以免费使用它来处理高达500MB的日志。我从没用过其他工具，但我知道还有一个不错的免费开源日志管理工具，即LogStash。

对于安全分析程序，我强烈推荐的最后一个工具是网络分析工具，这种工具能够捕捉和分析来自不同网络的流量数据。这些流量数据包括IP地址、端口、协议和穿越网络的流量的数据大小。基本上，这就是数据本身。

你的网络分析工具将允许你搜索先前隐藏的流量中的模式。例如，早在去年，HD Moore发布了一篇关于漏洞利用统一即插即用（或UPnP）和简单服务发现协议设备的博客文章。通过利用我的网络分析工具，我对外部源IP地址进行了模 式查询--针对我的公网IP地址之一，使用端口1900的用户数据报文协议。在24小时内，出现539个匹配模式。这表明攻击者确实存在。

因为转发流量数据只是一些路由器和交换机的一个功能，你需要找到一种方法来捕捉和查看这些数据。你可以使用来自SolarWinds、NetScout或 Lancope等公司的专有网络分析工具，或者利用上述提到的日志管理工具。我选择了21CT的LYNXeon的工具，因为它不仅能够对流量数据进行模式 分析，还包括其他数据类型。下面让我详细介绍。

去年我在名为The Magic of Symbiotic Security的会议上做了一个演讲，其中我介绍了促进融合的安全生态系统—突破工具孤岛，让它们一起运作以获得最大效率。我们安全分析的终极目标是让 上述提到的每个组件一起运作，以获得对所面临威胁的清晰视图。我们从恶意软件以及入侵防御系统收集警报数据--其中包含关于恶意类型、目标和来源的信息； 我们还会收集关于文件签名突然发生改变的系统的信息；我们收集环境中不同系统存在的漏洞信息；然后，我们收集日志文件生成的信息，例如失败登录尝试或账户 锁定。我们利用供应商为我们提供的访问数据的工具来实现这些数据收集工作。这可以是通过API调用，简单网络管理协议警报或者直接的数据库查询。最后，所 有这些数据都被整合到LYNXeon。接下来，我们使用模式查询语言来寻找所有数据集的潜在恶意模式。

下面是一些报告例子，它们让我们更好地了解网络安全状况：

• 连接到http://www.malwaredomainlist.com服务器的内部系统
• 在很短的时间内，连接到很多其他内部系统的内部系统
• 连接到恶意软件或入侵检测平台已经触发警报的外部系统的内部系统
• 使用不属于企业基础设施的DNS服务器的内部系统

此外，在我的公司整合流量数据与其他数据类型的好处之一是，我们能够根据一个位置发生事件来创建模式，并利用这些模式来寻找其他位置的类似问题，这些其他位置可能没有部署完全相同的检测机制。

上述建议是我自己的经验，并不是全面的工具或工具类别清单，但这为你提供了一个基础，让你可以开始利用威胁检测安全分析。在你的公司建立一个安全分析程序 可能不会在一夜之间发生，但这肯定可以实现，并能够帮助你提高检测恶意软件的能力。在这个过程中，不要忘了保持良好的数据指标，这样你就可以向高管展示投 资回报率。