隨著我國雲計算、大數據、物聯網、工業互聯網、人工智能等新技術新應用大規模發展,極大便利生活的同時,受黑產利益驅使的黑客也將魔爪伸向了這裡,網絡空間威脅和風險日益增多。
4月20日,國家互聯網應急中心(CNCERT)正式發佈《2019年我國互聯網網絡安全態勢綜述》報告。報告指出,2019年黨政機關、關鍵信息基礎設施等重要單位防護能力顯著增強,但DDoS 攻擊呈現高發頻發態勢,攻擊組織性和目的性更加凸顯。CNCERT 跟蹤發現某黑客組織 2019 年對我國 300 餘家政府網站發起了 1000 餘次 DDoS 攻擊,在初期其攻擊可導致80.0%以上的攻擊目標網站正常服務受到不同程度影響。
對於此類案件,偵破的關鍵是弄清黑客是在哪個環節、進行了什麼操作,找出攻擊源、還原攻擊過程。
近日,效率源推出國內首款全流程日誌分析取證產品——LAS6200覓蹤日誌分析系統(簡稱覓蹤),一站式提供計算機日誌數據的收集、清洗、分析、查詢、和可視化報表功能於一體的全能型日誌分析軟件 。可對被網絡攻擊、被DDoS分佈式拒絕服務攻擊、被入侵電腦、服務器事後查驗等進行高效取證分析。
用戶通過這個工具完成日誌收集、數據查看、時間段篩選、IP地址、痕跡查找等工作,為安全事件的取證分析提供了強有力的證據和溯源的渠道,幫助用戶快速梳理出可疑的目標或行為。
覓蹤一站式、全流程日誌分析究竟有多方便?下面我們就用一個案例來實戰演練一番!
實戰演練
Show Time!
某網站web服務器被攻擊
某官方網站web服務器被攻擊,網站被跳轉到賭博網站,網站首頁被篡改,百度快照被改,運維工程師在拿到Apache服務器日誌後,若使用常規人工方式日誌分析需要耗費大量時間精力。辦案人員使用LAS6200覓蹤日誌分析系統,
“僅需五步”可快速直觀的找出被攻擊的痕跡,從而發現攻擊者的可疑IP,並進行下一步的防範。第一步:創建案例
覓蹤“案例”功能是對案件取證信息進行管理的集合,通過“案例”將取證分析過程中的數據、日誌、信息、過程、結果組織在一起。通過創建案例,辦案人員可以將同一案件不同的數據源組合在一起,同時進行分析,以便提高工作效率。
新建案例
打開覓蹤軟件選擇左邊的”新建案例”,輸入“web服務器被攻擊”作為案例名稱,案例編號由軟件自動生成,案件類型選擇“網絡攻擊”,最後輸入操作人員的名稱,選擇案例保存目錄,點擊“創建案例”按鈕。
第二步:日誌採集
採集模塊作為覓蹤整個系統日誌處理的第一步,從各種日誌源上收集日誌(包括通用日誌收集、自定義日誌收集以及流式收集),存儲到一箇中央存儲系統上,以便於進行集中統計分析處理。
覓蹤共提供三種採集模式
1、掃描本機搭載的磁盤中的日誌文件,選擇需要掃描的磁盤,可以掃描該磁盤上的日誌文件;
2、掃描指定鏡像中的日誌,如通過現勘取到了某設備的磁盤鏡像,回到實驗室對其進行日誌分析;
3、掃描手動添加已知的文件/文件夾中的日誌。
該案例已知Apache日誌文件,故採用第三種採集模式手動添加該日誌文件,再進行掃描、解析。
開始採集
點擊覓蹤"採集文件"功能,添加需要解析的日誌文件,選中並點擊"開始採集"。
第三步:日誌解析
覓蹤支持將採集完畢的日誌數據通過多種方式進行解析處理,使其原始日誌數據結構化。
添加至解析列表
點擊覓蹤“採集結果”功能,將採集到的文件選中並添加至"解析列表"。
解析日誌文件
點擊覓蹤“解析文件”功能,在"解析文件"列表中選中並解析該條日誌文件。
解析結果查驗
待解析完成後,在"解析結果"中可通過相應數據進行查驗。至此日誌的採集和解析過程已經完成。
第四步:日誌分析
覓蹤支持將解析後的日誌結果通過可視化的形式展現出來,同時支持各種常用的趨勢分析統計,能夠展現餅圖、條帶圖、折線圖、熱力圖、趨勢圖等各種圖形方式,結合時間線生成分析報告。
IP分析
點擊覓蹤"IP分析"功能,發現"192.168.3.1"IP出現大量的404狀態碼,暫時將此IP地址定義為可疑IP,待進一步分析。
第五步:日誌查閱
覓蹤支持簡單查詢以及SQL語句高級查詢,進行可編程的結果查詢,對不同種類的日誌類型做出特定分析並進行整理。
條件查詢
點擊覓蹤"條件查詢"功能,先對剛剛的可疑IP地址以及404進行條件篩選,在結果中發現涉及到"Admin"的URL請求,發現了惡意代碼,確定該IP具有可疑行為。
至此,該web服務器被攻擊案日誌分析工作已全部完成,每個過程只需”一鍵操作”即可,非常方便。覓蹤以最簡單的工作流程、高頻的數據處理,可視化的輸出結果,幫助用戶完成對日誌數據的收集和分析,及時追溯源頭,發現問題根源。
LAS6200覓蹤日誌分析系統
多重應用場景,滿足多元需求
1、由於日誌管理分散,造成出現問題後很難取證查詢根源。通過產品對計算機數據的收集和分析,可以讓我們及時追溯源頭,發現問題根源;
2、用戶對於日誌查看的需求,如時間段、IP(地理位置)、異常痕跡等;
3、用戶對於常規日誌提取取證及刪除日誌的恢復,從日誌中查出故障時間、入侵地址、入侵手段等;
4、在用戶不知道入侵方式的情況下,通過日誌分析來重現出黑客的入侵路線;
5、在用戶知道入侵方式的場景下下,通過日誌分析出黑客的入侵路線來取證;
6、用戶日常對計算機的日誌管理、收集、分析,可通過圖標方式直接預覽,直接獲知異常數據。
