網絡安全應急響應日志分析服務技術研究

金京犬

網絡安全應急響應日志分析服務技術研究

金京犬

（安徽郵電職業(yè)技術學院，安徽 合肥 230031 ）

為幫助網絡安全運維人員從海量日志數據中精準定位關鍵信息，文章重點研究了各類日志分析時的關注點和日志分析規(guī)則與技巧。基于上述技術，文章給出了一個Web日志案例的分析驗證實驗，實驗結果表明：研究各類日志分析關注點可快速定位日常安全威脅、及時排查故障。

應急響應；日志分析；Web應用日志；操作系統(tǒng)日志

網絡應用日趨復雜，規(guī)模越來越大，各類應用系統(tǒng)千差萬別，網絡安全事件頻發(fā)，各種攻擊手段日新月異。在遭受突發(fā)的網絡入侵事件后，最重要的應急響應措施就是溯源及修復被攻擊系統(tǒng)的漏洞?！吨腥A人民共和國網絡安全法》要求網絡安全日志留存時間不少于六個月[1]，一旦發(fā)生網絡安全事件，能根據日志中相關威脅和異常行為信息，進行組織研判，及時采取響應措施。日志分析服務主要是針對日常IT運維、網絡安全事件、IT故障等場景，提供分析日志記錄來獲取相關有價值信息的一種服務措施，它能更好地為發(fā)現日常安全威脅、快速排查故障、解決處理安全事件提供一種有效的輔助手段。

1 網絡安全日志分類

網絡安全日志文件是用于記錄各類設備操作事件的文本集合，網絡安全日志分析就是在海量的日志中分析出需要的日志信息。網絡安全日志一般分為操作系統(tǒng)日志、數據庫系統(tǒng)日志、Web應用日志、網絡安全設備日志四種類型[2,3]。即主流的Windows/Linux操作系統(tǒng)日志， Oracle/MySQL等數據庫系統(tǒng)日志， IIS、Apache Tomcat、Nginx等Web應用日志，防火墻，IDS/IPS日志等網絡安全設備日志。Web應用日志分析服務主要分析常見Web攻擊行為如SQL注入，文件上傳等；操作系統(tǒng)日志分析服務主要分析操作系統(tǒng)可疑行為，包括關機、重啟、增刪賬戶等；數據庫日志分析服務主要分析常見的數據庫弱口令[4]，竊取數據備份，UDF提權、SQL注入等，網絡安全設備日志分析服務主要分析安全設備監(jiān)控告警行為，包括檢測的攻擊行為、設備自身可疑操作行為等。

2 日志分析流程

所有的操作系統(tǒng)、網絡安全設備、Web應用系統(tǒng)在運行和訪問過程中都會記錄日志。在日常威脅監(jiān)控、排查IT故障、處理安全事件時，通過查看日志記錄信息可有效發(fā)現、解決部分問題，因此，日志記錄非常重要。常規(guī)的日志分析流程主要包括判斷日志故障類型，日志收集，日志分析，日志分析報告四個過程[5]，如圖1。

圖1 日志分析流程

明確日志故障類型指確定日志的分類及格式類型；日志收集采用手工或者工具收集的方法；日志分析指根據不同日志類型采取手工分析、工具分析或者兩者相結合分析；日志分析報告包含日志分析背景描述、日志類型、日志時間段、關鍵日志內容和總結、安全建議等。

3 日志分析方法

日志分析方法一般按照兩種思路展開，一是基于入侵時間的方法論，排查時間段內的有疑問的日志，確定攻擊源；二是基于特征分析的方法論，根據特征進行篩選，通過搜索存在問題的日志，確定攻擊源。圖2是基于入侵時間的日志分析思路，圖3是基于特征的日志分析思路。

圖2 確定入侵時間的日志分析思路

圖3 確定特征的日志分析思路

在實際日志分析中，常常使用到操作系統(tǒng)自帶的文本內容搜索命令和大日志文件分析工具，在分析攻擊日志時，通過搜集明顯的攻擊字符串和特征來判斷是否存在攻擊以及攻擊的手段，比如在分析日志文件時，Linux系統(tǒng)下的find、grep命令和shell腳本會帶來很大的方便，另外也會用到正則表達式來篩選特定的日志內容；在分析大日志文件時，會使用到一些文本查看和編輯工具，比如Notepad++等。

4 日志分析關注點

4.1 操作系統(tǒng)日志關注點

4.1.1Windows操作系統(tǒng)日志關注點

操作系統(tǒng)日志分析服務主要分析操作系統(tǒng)可疑行為，包括關機、重啟、遠程訪問、增刪賬戶等，Windows操作系統(tǒng)中，日志文件一般分為三類，即系統(tǒng)日志，安全性日志及應用程序日志，在應急響應日志分析過程中，常常關注的是一些敏感事件的ID，通過篩選關鍵事件ID的所有日志信息，審計入侵者的行為軌跡。如表1摘錄了部分相關日志的事件ID。

表1 Windows操作系統(tǒng)日志分析事件ID關注點

4.1.2Linux操作系統(tǒng)日志關注點

Linux操作系統(tǒng)日志功能非常強大，記錄了與之相關的所有操作記錄，Linux操作系統(tǒng)日志大多存儲在/var/log目錄中，不同的操作系統(tǒng)略有差別，比如Web日志，Ubuntu存儲于/var/log/apache2/access.log文件，Centos存儲在/var/log/http/access_log文件中，表2列出了Linux操作系統(tǒng)日志分析關注點。

表2 Linux操作系統(tǒng)日志分析關注點

4.2 數據庫日志關注點

數據庫日志包含多種，常見有錯誤、操作、更新日志等，其中最重要的日志類型屬操作日志，它不僅記錄了數據庫連接相關信息還記錄了數據庫查詢（數據庫增刪改操作）信息，所以在分析數據庫的日志時，重點偏向于數據庫對象的操作日志分析，數據庫日志關注點有審核異常時間登錄數據庫信息；用戶弱口令登錄信息；審核賬號增刪改及賬號權限提升信息；審核SQL注入痕跡，例如創(chuàng)建的臨時表和自定義函數；審核數據庫表結構變化信息等。

4.3 Web應用日志關注點

常用的Web服務器有Microsoft IIS和Apache系統(tǒng)，Windows操作系統(tǒng)中常見的Web中間件有Apache、IIS和Tomcat；Linux操作系統(tǒng)中常見的Web中間件有Nginx、Apache。在對Linux操作系統(tǒng)日志分析時，表3摘錄了Linux操作系統(tǒng)中部分常用排查的命令[6]，方便日志檢索及溯源分析。

表3 Linux日志分析常用排查命令

4.4 安全設備日志關注點

網絡安全設備多種多樣，例如IDS/IPS，防火墻等，不同的網絡安全設備廠家日志記錄信息有所不同，重要信息包含日志時間、級別和一些基礎信息。日志級別（0～7級）對于安全運維人員來說在溯源的時候提供非常重要的信息，可以幫助安全運維人員查找問題所在，安全設備常見的關注點有審核管理員異常時間失敗登錄、異常操作的記錄；審核賬戶添加，權限提升，更改密碼的記錄；審核變更規(guī)則策略的記錄等。

5 Web日志分析案例

對訪問網站的Web日志進行分析，重點關注已知的入侵時間前后的日志記錄，從而尋找攻擊者的攻擊路徑，以及所利用的漏洞。

Step1：通過access.log日志文件統(tǒng)計訪問網站的IP，發(fā)現 129.9.0.0網段IP地址最高，如圖4所示。

圖4 統(tǒng)計訪問網站的IP

Step2：分析系統(tǒng)error.log日志文件，發(fā)現IP地址為129.9.0.77主機多次嘗試登錄后臺服務，懷疑是暴力破解手段攻擊行為，如圖5所示。

圖5 暴力破解攻擊

Step3：進一步篩選access.log日志文件，發(fā)現IP地址129.9.0.77主機利用Webservice接口上傳了一個可疑文件，如圖6所示。

圖6 上傳WebShell

Step4：對訪問日志進行分析，總結黑客訪問路徑大概是首先攻擊者訪問首頁和登錄頁，找到登錄頁面，暴力破解了login.php登錄頁面，找到了Webservice上傳接口，攻擊者多次POST提交請求，上傳了木馬文件。

Step5：分析針對日志中發(fā)現的問題，以及攻擊者的活動路徑，排查出網站中存在的漏洞，并進行分析。針對網站可疑接口Webservice，發(fā)現后臺服務存在MIME類型文件上傳漏洞。

Step6：對已發(fā)現的漏洞進行漏洞復現，還原攻擊者的攻擊路徑，使用中國菜刀工具成功上傳WebShell，并獲取了網站服務器的控制權，如圖7所示。

圖7 獲取網站服務器控制權

Step7：清除已經發(fā)現的WebShell，并把后臺管理員的口令設置成為高強度密碼，同時為防止受到第二次攻擊，網站管理員需要定期對網站服務器進行全面的安全檢查，修復已存在的漏洞。

6 結束語

網絡安全日志分析就是在眾多的日志中找出自己需要的日志信息，Windows系統(tǒng)下可以使用內置的日志篩選器、PowerShell，相關的日志工具進行日志分析查詢，Linux系統(tǒng)日志分析的方法主要使用grep、sed、sort，awk等命令查詢日志，其他日志結合系統(tǒng)命令及正則表達式，或者利用相關成熟的工具進行分析，提取相關特征規(guī)則，對攻擊者的行為進行分析[7]。本文重點研究了各類日志分析時檢查的關注點，日志分析規(guī)則和技巧，在此基礎上通過Web日志案例分析實驗驗證，下一步研究的工作重點是WebShell應急響應安全檢測技術，以及針對海量日志可視化分析系統(tǒng)總體設計。

[1] 中華人民共和國網絡安全法·實用版（新版）[M]. 北京:中國法制出版社, 2018: 47–51.

[2] 曾恒. 基于ELK的網絡安全日志管理分析系統(tǒng)的設計與實現[D]. 北京: 北京郵電大學, 2017.

[3] 賴特. 網絡安全設備日志融合技術研究[D]. 成都: 電子科技大學, 2016.

[4] 譚森, 郭捷. 基于日志分析的MySQL數據庫取證算法[J].信息安全與通信保密, 2015(3): 81–84.

[5] 汪小霞. 基于Spark的網絡日志分析系統(tǒng)設計與實現[J]. 無線互聯科技, 2021(10): 23–24.

[6] 奇安信安服團隊. 網絡安全應用響應技術實戰(zhàn)指南[M]. 北京: 電子工業(yè)出版社, 2020: 198–223.

[7] 趙運弢, 徐春雨, 薄波, 等. 基于流量的WebShell行為分析與檢測方法[J]. 網絡安全技術與應用, 2018(4): 8–9.

Research on Service Technology for Log Analysis of Network Security Emergency Response

JIN Jing-quan

(Anhui Post and Telecommunication College, Hefei Anhui 230031, China)

In order to help network security operation and maintenance personnel locate key information accurately from massive log data, this paper studies the focus and log analysis rules and techniques of various types of logs. Based on the above techniques, this paper gives an analysis and verification test of a web log case, and the test results show that studying the focus of various log analysis can locate daily security threats quickly and troubleshoot them timely.

emergency response; log analysis; web application logs; operating system logs

2022-04-21

安徽省高等學校省級質量工程項目（2021jxtd148）

金京犬（1982—），男，安徽安慶人，副教授，碩士，研究方向：網絡安全及應用。

TP393.08

A

2095-9249（2022）03-0065-04

〔責任編校：陳楠楠〕