入侵检测101:冲洗重复

了解你的网络

我想分享这个博客文章，这是第一次发表的www.netresec.com.简要介绍通过分析网络流量来检测恶意软件和入侵的有效黑名单的方法。我的方法依赖于白名单和常识异常检测的组合（即，不是从未在现实中工作的学术统计异常检测算法）。我还鼓励证书/ CSIRT / SOC / Secops单位练习Sun Tzu的旧“了解自己”，或者更确切地说“了解你的系统和网络”的方法。

基于签名的检测系统的过时的方法对今天的IT和安全操作提出了高的管理负担，因为我们需要将所有签名数据库保持最新，两者都在结束点AV签名以及ID规则和其他签名时基于检测方法和威胁源。许多组织可能花费更多时间和金钱更新所有这些黑名单和签名数据库，而不是实际调查安全警报这些检测系统生成。

我的方法不依赖任何黑魔法，它实际上只是一个简单的Rinse-Repeat在以下步骤内构建的方法：

1. 看看网络流量
2. 定义什么是正常的(白名单)
3. 删除正常
4. 回到第一条……清洗和重复的

在执行这些步骤几次之后，您将会得到一些奇怪的网络流量，这将会有很高的恶意比率。当然，这里的关键是要知道哪些流量可以归为“正常”。这就是“了解您的系统和网络”的作用所在。

什么交通正常？

最近，当我读到迈克·普尔(Mike Poor)为克里斯·桑德斯(Chris Sanders)和杰森·史密斯(Jason Smith)写的前言时，我意识到他似乎也有同样的想法应用经理：

下次您在控制台时，请查看一些日志。你可能会想......“我不知道要找什么”。从你所知道的，理解，不关心的开始。丢弃那些。其他一切都很感兴趣。

例如，我们可能会遵循迈克的建议，例如，将“正常”流量定义为：

• 通过标准端口(TCP 80和443)访问Internet上流行的web服务器的HTTP(S)通信。
• 客户端网络和文件服务器之间的SMB流量。
• DNS查询客户端在UDP 53上的名称服务器，服务器成功地回答A，AAAA，CNAME，MX，NS或SOA记录。
• ......您组织中的任何其他流量。

白名单IP范围属于谷歌，Facebook，Microsoft和Akamai作为“流行的Web服务器”将减少大量的DataSet，但这远远不够。我们使用的一种方法是执行DNS白名单通过将所有列出的域名对所有服务器进行分类AlexaTop 100 Million list as“popular”。

您可能会争辩说这样的方法只需用新的白名单更新问题替换旧的黑名单更新问题。好吧，你在某种程度上是正确的，但与黑名单相比，白名单随着时间的推移而变化很少。所以你不需要经常更新。另一个很大的好处是，白名单/冲洗重复方法也能够检测为0天的漏洞和C2流量的未知恶意软件，因为我们不寻找已知的坏账 - 只是奇怪的流量。

狩猎用冲洗重复

迈克穷人不是似乎采用了类似于冲洗重复方法的策略的唯一合并的事件处理程序;Richard Bejtlich（前美国空军证书和Gecirt.(成员)在他的书中揭示一些有价值的见解”网络安全监控的实践“：

我经常使用Grarus与Racluster一起通过命令行快速搜索大量的会话数据，特别是对于意外条目。而不是搜索特定数据，我告诉argus省略什么，然后我审查了什么．

在他的书中理查德还提到他在“狩猎旅行”时使用类似的方法（即，在没有收到IDS警报的情况下积极寻找入侵）：

有时我通过告诉Wireshark该忽略什么来寻找流量，这样我就可以检查留下的流量。我从一个简单的过滤器开始，检查结果，添加另一个过滤器，检查结果，以此类推，直到剩下少量流量需要分析．

我个人找到了冲洗重复入侵检测理想的狩猎，特别是在您提供的大型PCAP数据集以回答经典问题的情况下，“我们被黑了？”。然而，遗憾的是，“黑名单心态”在事件响应者中如此调节，他们经常选择通过黑名单和签名数据库来攻击这些数据集，然后审查数千个警报，这是一个充满误报的警报。在大多数情况下，这种方法只是一个巨大的时间和计算能力，我希望在将来看到事件响应者的心态发生变化。

我在NetResec的内容中教授这种“冲洗重复”入侵检测方法网络取证培训．在这门课中，学生获得了使用3.5 GB / 40000流的数据集的实践经验，然后通过冲洗-重复循环中的几次迭代将其减少到仅为一小部分。PCAP数据集的其余部分有很高的黑客攻击比率，以及来自RAT’s、后门和僵尸网络的命令和控制流量。

下载指南，在安全项目中优化网络设计尽量通过安全网络设计刺激公司资产的最佳实践。乐动体育 足球快讯