网络安全监测与研判（看监控）

最新推荐文章于 2025-07-21 11:22:51 发布

原创最新推荐文章于 2025-07-21 11:22:51 发布 · 1.8k 阅读

27 ·

CC 4.0 BY-SA版权

文章标签：

#web安全 #网络安全

网络安全监测专栏收录该内容

7 篇文章

订阅专栏

1.告警监测前提

在做告警监测这项工作前，首先明确现网环境拓扑、业务场景、流量走向，其中网络拓扑用于确定流量采集设备位置，业务场景用于分析告警真实性，流量走向用于判断攻击方向与告警性质，我们在以往的工作总只注重告警本身，告警本身固然重要，但是面对特殊场景下（例如护网期间）的大量告警，基于业务场景分析解会让我们效率大大提高。况且对于探针来说，并不能将每一个告警精准做出判断，所以探针的敏感程度、误报率需要我们人工二次审核。例如，现如今大多客户环境都不是单一防护火墙场景，探针采集流量镜像的位置在出口墙后采集流量，但封禁行为处于内网墙，此时已封禁的告警依然被探针采集，在此场景下我们需要了解内网已封禁情况，利于我们对态势感知设备的降噪加白操作。

2.告警监测侧重点

面对大量告警，我们需要经过态势感知设备做初步筛选，将风险系数高的告警优先处置，当然如果运营时间够久告警量不大，也可忽略筛选，直接分析告警本身。

         告警筛选优先级：
        ①威胁等级：危急>高危>中危>低危。
        ②攻击结果：失陷>成功>企图>失败>不涉及>未知。
        ③研判状态：未研判>已研判>忽略>误报。
        ④通信方向：外到内=内到内=内到外>外到外。

3.告警研判依据以及流程

3.1告警研判依据

以外到内为例：
        ①源ip：xxx，为外网ip地址，情报显示具有威胁历史，即……。
        ②目的ip：xxx ，为内网ip地址，是否为重点防护资产。
        ③流量指：外网访问内网，符合外部攻击方向特征。
        ④请求头/体：明显攻击特征/未出现攻特征（附上特征内容）。
        ⑤响应头/体：明显攻击结果/未见攻击结果（附上特征内容）。
        ⑥经日志筛查，该攻击者ip，存在历史攻击行为，某时某刻大量xx动作。
总结：经研判，ip：xxx是攻击者，通过XX漏洞（行为），企图/攻陷内部xx系统。

3.2告警研判步骤

1）告警降噪判断
分析告警是否是已知告警，ip是否为已加黑/加白/添加阻断策略，此情景下可能流量设备处于出口，而限制策略处于内部设备，所以即便做了封禁操作，告警依然会触发，此时需做降噪处置。

2）告警通讯方向判断
攻击方向需熟悉业务，了解业务IP网段以及可能涉及的业务通讯。

① 外到内-外部攻击行为：
        源iP为攻击者，需核查攻击真实性，分析攻击行为；
        可能1：攻击行为，已发现漏洞，针对漏洞攻击或未发现漏洞，扫描行为（频率判断）；
        可能2：正常访问内部业务，携带攻击特征触发告警。
② 内到内-内网横向移动攻击行为：
        可能1：内部主机被植入远控，跳板机对内网环境进行攻击；
        可能2：内部主机中木马蠕虫，试图感染内部其他主机；
        可能3：内部业务触发的，正常访问行为中具有告警规则特征；
        可能4：内部正常业务访问，携带攻击特征触发告警。
③ 内到外-远控木马、恶意软件等恶意行为：
        可能1：内部主机被植入远控，作为肉鸡进行攻击行为；
        可能2：内部主机正常访问外部业务，携带攻击特征触发告警。
④ 外到外-脏数据
        可能1：流量采集设备处于互联网接口；
        可能2：或内部设备间有公网私用情况；
        可能3：设备间具有NAT情况。

3）攻击者性质判断
依赖于开源情报库做ip的性质分析，可以帮我们初步判断IP属性，如果已被标为恶意ip，可以带着属性进行以下分析，提高分析效率与准确性。
推荐国内几个情报社区，它们提供关于最新网络威胁、漏洞、恶意软件、网络钓鱼等攻击信息的数据流，可根据个人习惯采纳2个：
① 微步在线：提供全面的威胁情报查询和分析服务，拥有庞大的威胁情报数据库和专业的分析团队。网址为https://x.threatbook.com/。
②绿盟威胁分析中心：专注于网络安全威胁的研究和分析，提供最新的威胁情报和解决方案。网址为https://poma.nsfocus.com/。
③奇安信威胁情报中心：拥有强大的威胁情报收集和分析能力，提供实时的威胁情报更新和预警服务。网址为https://ti.qianxin.com/。

4） HTTP请求响应pyload判断
        ① 请求头、请求体（定位触发告警pyload）——判断攻击类型、意图；
        ② 响应头、响应体（对应攻击输出的结果）——判断攻击结果；
        ③分析受害者端口对应业务辅助判断，如3306、1521、6379等常见业务端口；
        ④分析攻击者端口是否具备一些开源工具特征端口，如cs的50050等。

5）IOC及日志辅助判断
①在命中IOC情况下，可以通过情报、站长等开源信息判断IOC外联域名的属性；
②查询近期攻击日志，看此IP或IOC出现频率，攻击时间频率；

综上所述，在确定是攻击行为后，结合攻击结果完成研判依据，整理后形成安全事件报告。