網絡驗證原理與實戰

網絡驗證原理與實戰

一、分析背景

網絡驗證技術通過技術手段，提取網絡犯罪過程中在多個資料源遺留下來的日志等電子證據，形成證據鍊，根據證據鍊對網絡犯罪行為進行調查、分析、識别，是解決網絡安全問題的有效途徑之一。目前，傳統的計算機驗證模型和方法比較成熟，而應用于大資料時代則需要OSSIM等內建分析平台對海量資料盡心網絡驗證分析。

二、驗證分析特點

網絡驗證不同于傳統的計算機驗證，主要側重于對網絡設施、網絡資料流以及使用網絡服務的電子終端中網絡資料的檢測、整理、收集與分析，主要針對攻擊網絡服務（Web服務等）的網絡犯罪。計算機驗證屬于典型的事後驗證，當事件發生後，才會對相關的計算機或電子裝置有針對性的進行調查驗證工作。而網絡驗證技術則屬于事前或事件發生中的驗證，在入侵行為發生前，網絡驗證技術可以監測、評估異常的資料流與非法通路；由于網絡驗證中的電子證據具有多樣性、易破壞性等特點，網絡驗證過程中需要考慮一下問題：

（1）按照一定的計劃與步驟及時采集證據，防止電子證據的更改或破壞。網絡驗證針對的是網絡多個資料源中的電子資料，可以被新資料覆寫或影響，極易随着網絡環境的變更或者人為破壞等因素發生改變，這就要求驗證人員迅速按照資料源的穩定性從弱到強的順序進行驗證。

（2）不要在要被驗證的網絡或磁盤上直接進行資料采集。根據諾卡德交換原理，當兩個對象接觸時，物質就會在這兩個對象之間産生交換或傳送。驗證人員與被驗證裝置的互動（如網絡連接配接的建立）越多、越頻繁，系統發生更改的機率越高，電子證據被更改或覆寫的幾率越大。這就要求在進行驗證時不要随意更改目标機器或者目标網絡環境，做好相關的備份

工作。

（3）使用的驗證工具必須得到規範認證。網絡驗證可以借助OSSIM這種安全分析平台。

由于業内水準不一且沒有統一的行業标準，對驗證結果的可信性産生了一定的影響。這就要求驗證人員使用規範的驗證工具。四處在網上下載下傳的小工具是沒有說服力的。

    網絡驗證的重點是證據鍊的生成，其過程一般都是層次性的或基于對象的，一般可分為證據的确定、收集、保護、分析和報告等階段，每個階段完成後都會為下一個階段提供資訊，下一個階段得到的結果又為前一個階段的驗證提供佐證。網絡驗證的每一個階段都是互相聯系的，這就需要這些資訊互相關聯，主要由關聯分析引擎實作。

三、網絡證據的資料源

網絡驗證的對象是可能記錄了網絡犯罪過程中遺留下來的資料的多個網絡資料源。人們不管是使用Web 服務、雲服務或社交網絡服務，都需要包含服務提供端（如雲伺服器）、用戶端（PC、手機等智能終端裝置）以及網絡資料流。

在網絡驗證證據的提取的過程中，首要的問題就是确定捕獲什麼樣的資料。按照計算機驗證的方法，為了準确地構造證據鍊，需要捕獲網絡環境中所有的資料（通過SPAN實作）。

四、網絡證據分析

網絡驗證中證據鍊的開端是被入侵網站記錄的非法通路資料。由于針對網絡服務的犯罪往往是以竊取網絡服務管理者的權限為突破口的，是以，進行網絡驗證工作時，首先就是針對使用者權限以及使用者通路點的調查。

驗證者在可以進入程式管理子產品調查使用者賬戶的可疑記錄，例如是否有管理者賬戶是用萬能密碼登陸的，背景是否有錯誤的管理賬戶登入記錄以及可疑的檔案記錄，是否有使用者加載了XSS 跨站session 腳本等異常腳本，進行邊界資料監測如檔案的上傳與下載下傳等使用者活動。在進行證據收集的過程中，分析電子證據展現的可疑行為，進而推斷犯罪者的攻擊方式與資訊，以作為下一步的驗證活動的指導。

發現有可疑行為的使用者記錄後，收集該使用者通路點的所有通路記錄，包括認證使用者的權限與對應的會話管理等，記錄該使用者的所有會話ID。對于可疑的行為記錄，以截圖、錄屏、存儲等方式将證據固化到驗證裝置中，并使用Hash函數對資料進行計算得到資訊摘要并儲存在基準資料庫中。在證據分析之前，對要分析的證據再做一次Hash 計算，比較兩者的結果，如果相同則說明資料完整性未被破壞。分析并對應使用者與會話ID 之後，則以其作為訓示資訊收集網絡伺服器及應用伺服器日志中有關該使用者及其所有的會話資訊記錄。

如果背景應用管理子產品中的可疑已經被攻擊者删除而無法取得可疑會話資訊時，則以收集與分析可疑通路的日志作為驗證主體。可疑的通路包括記錄的通路頻率異常、錯誤資訊處理記錄、日志稽核報告、網站重定向、管理者監控警報、收集站點資訊的爬蟲記錄以及表單隐藏域等。

收集分析日志資訊的最大難點在于如何在網站龐大的資料中檢索出需要的資訊，網絡驗證技術主要采用日志精簡與人工忽略兩種思想進行篩選。日志精簡主要是根據例如犯罪發生的時間等犯罪資訊作為篩選資訊進行日志篩選。另外，可以有針對性的查找特定的攻擊手段

留下的痕迹。當攻擊時間前後公布了某一系統漏洞或者在當時某種攻擊手法正在流行時，用這種針對性比較強的調查手段會取得更好的效果。

針對網站日志的分析是Web 驗證在網站伺服器端的主要應用，除此之外，驗證者還可以應用其他技術作為輔助手段協助完成證據鍊。

五、針對網絡資料流的驗證

網絡驗證需要監測網絡環境資訊與網絡流，進行資料包的捕獲與分析。網絡環境的相關資訊主要依靠OSSIM系統中的IDS等進行擷取。這一系列的工具可以用來進行網絡資訊收集與網絡安全監測、IP/MAC 位址的分析與定位、監測TCP/UDP 端口與DHCP 清單、SMTP 活動記錄等。在進行網絡包捕獲方面，使用的技術包括基于Libpcap 庫、PF_RING 接口、直接使用系統調用等多種。

在被捕獲的網絡流中，網絡包會按照其在網絡上傳輸的順序顯示，相關網絡驗證工具可以對這些包進行重組，即将這些包組織成兩個網絡連接配接點之間的傳輸層連接配接。雖然很多驗證工具可以對未重組的原始資料進行分析，但是這樣會造成非标準端口協定的丢失以及無法應對資料編碼與加密傳輸幹擾的問題。

網絡驗證中的相關性分析研究主要因為網絡攻擊行為往往是分布、多變的，是以對結果的認定需要将各個驗證設施和驗證手法得到的資料結合起來進行關聯分析以了解其中的相關性以及對結果産生的因果關系和互相确證，才可以重構過程。

 對于這種情況完全由人工分析很顯然不太現實，是以我們可以利用開源OSSIM平台得以實作。這樣你面對的是多緯度以及大視角的海量資料分析， 采用多資料緯度關聯分析，例如如果防火牆檢測到非正常業務邏輯的檔案上傳同時主機Hids 檢測到非正常業務CGI 生成，很大可能是攻擊者在利用檔案上傳漏洞上傳可疑Webshell（由Snort負責分析） 。以上述檢測規則作為給定規則，建構規則模式，形成規則模式集，繼而分析證據集。

六、驗證案例

為了讓大家能夠了解各種網絡驗證方法，在10多年Unix/Linux運維經驗中筆者出版《Unix/Linux網絡日志分析與流量監控》一書中，例舉了二十一個常見網絡故障，每個案例完整地介紹了故障的背景、發生、發展，以及最終的故障排除過程。其目的在于維護網絡安全，通過開源工具的靈活運用，來解決運維實戰工作中的各種複雜的故障。

精彩案例如下：

案例一：閃現Segmentation Fault為哪般

案例二：誰動了我的膠片

案例三：邂逅DNS故障

案例四：網站遭遇DoS攻擊

本案例描述了某網站受到拒絕服務攻擊後，管理者小楊對比防火牆正常/異常狀态下的日志，并配合已有的流量監控系統資料，調查經過僞裝的IP位址，通過多種手段對DDoS攻擊進行積極防禦的過程。

案例五：“太囧”防火牆

管理者小傑在一次巡檢中發現了防火牆失效，随着深入調查發現防火牆的可用空間竟然為零。通過大量路由器和防火牆日志對比，得出結論：這是攻擊者對其開展的一次網絡攻擊所緻。小傑管理的網絡到底遭受了什麼樣的攻擊，這種攻擊又是如何得逞的呢？

案例六：圍堵Solaris後門

管理者張利發現UNIX系統中同時出現了多個inetd程序，這引起了他的警覺，在随後的調查驗證中又發現了大量登入失敗的日志記錄，系統中出現了什麼異常情況呢？

案例七：遭遇溢出攻擊

案例八：真假root賬号

案例九：為rootkit把脈

案例十：當網頁遭遇篡改之後

案例十一：UNIX下捉蟲記

案例十二：洩露的裁員名單

案例十三：背景資料庫遭遇SQL注入

案例十四：大意的程式員之SQL注入

案例十五：修補SSH伺服器漏洞

案例十六：無辜的“跳闆”

案例十七：IDS系統遭遇IP碎片攻擊

案例十八：智取不速之客

案例十九：無線網遭受的攻擊

案例二十：無線會場的“不速之客”

案例二十一：“神秘”的加密指紋

由于篇幅所限就不一一詳述，各位讀者可以到新華書店和圖書館擷取該書詳情。

七、後記

目前，網絡驗證技術還沒有統一、比較完備的網絡驗證流程，這相應的造成了沒有統一的驗證工具以及相應的評價名額。但筆者通過多年研究開發和應用OSSIM系統發現，該系統的确可以解決目前網絡安全驗證環節遇到的一些問題。

 本文轉自 李晨光 51CTO部落格，原文連結：http://blog.51cto.com/chenguang/1660017，如需轉載請自行聯系原作者