随着我国云计算、大数据、物联网、工业互联网、人工智能等新技术新应用大规模发展,极大便利生活的同时,受黑产利益驱使的黑客也将魔爪伸向了这里,网络空间威胁和风险日益增多。
4月20日,国家互联网应急中心(CNCERT)正式发布《2019年我国互联网网络安全态势综述》报告。报告指出,2019年党政机关、关键信息基础设施等重要单位防护能力显著增强,但DDoS 攻击呈现高发频发态势,攻击组织性和目的性更加凸显。CNCERT 跟踪发现某黑客组织 2019 年对我国 300 余家政府网站发起了 1000 余次 DDoS 攻击,在初期其攻击可导致80.0%以上的攻击目标网站正常服务受到不同程度影响。
对于此类案件,侦破的关键是弄清黑客是在哪个环节、进行了什么操作,找出攻击源、还原攻击过程。
近日,效率源推出国内首款全流程日志分析取证产品——LAS6200觅踪日志分析系统(简称觅踪),一站式提供计算机日志数据的收集、清洗、分析、查询、和可视化报表功能于一体的全能型日志分析软件
用户通过这个工具完成日志收集、数据查看、时间段筛选、IP地址、痕迹查找等工作,为安全事件的取证分析提供了强有力的证据和溯源的渠道,帮助用户快速梳理出可疑的目标或行为。
觅踪一站式、全流程日志分析究竟有多方便?下面我们就用一个案例来实战演练一番!
实战演练
Show Time!
某官方网站web服务器被攻击,网站被跳转到赌博网站,网站首页被篡改,百度快照被改,运维工程师在拿到Apache服务器日志后,若使用常规人工方式日志分析需要耗费大量时间精力。办案人员使用LAS6200觅踪日志分析系统,“仅需五步”可快速直观的找出被攻击的痕迹,从而发现攻击者的可疑IP,并进行下一步的防范。
第一步:创建案例
觅踪“案例”功能是对案件取证信息进行管理的集合,通过“案例”将取证分析过程中的数据、日志、信息、过程、结果组织在一起。通过创建案例,办案人员可以将同一案件不同的数据源组合在一起,同时进行分析,以便提高工作效率。
新建案例
打开觅踪软件选择左边的”新建案例”,输入“web服务器被攻击”作为案例名称,案例编号由软件自动生成,案件类型选择“网络攻击”,最后输入操作人员的名称,选择案例保存目录,点击“创建案例”按钮。
第二步:日志采集
采集模块作为觅踪整个系统日志处理的第一步,从各种日志源上收集日志(包括通用日志收集、自定义日志收集以及流式收集),存储到一个中央存储系统上,以便于进行集中统计分析处理。
觅踪共提供三种采集模式
1、扫描本机搭载的磁盘中的日志文件,选择需要扫描的磁盘,可以扫描该磁盘上的日志文件;
2、扫描指定镜像中的日志,如通过现勘取到了某设备的磁盘镜像,回到实验室对其进行日志分析;
3、扫描手动添加已知的文件/文件夹中的日志。
该案例已知Apache日志文件,故采用第三种采集模式手动添加该日志文件,再进行扫描、解析。
开始采集
点击觅踪"采集文件"功能,添加需要解析的日志文件,选中并点击"开始采集"。
第三步:日志解析
觅踪支持将采集完毕的日志数据通过多种方式进行解析处理,使其原始日志数据结构化。
添加至解析列表
点击觅踪“采集结果”功能,将采集到的文件选中并添加至"解析列表"。
解析日志文件
点击觅踪“解析文件”功能,在"解析文件"列表中选中并解析该条日志文件。
解析结果查验
待解析完成后,在"解析结果"中可通过相应数据进行查验。至此日志的采集和解析过程已经完成。
第四步:日志分析
觅踪支持将解析后的日志结果通过可视化的形式展现出来,同时支持各种常用的趋势分析统计,能够展现饼图、条带图、折线图、热力图、趋势图等各种图形方式,结合时间线生成分析报告。
IP分析
点击觅踪"IP分析"功能,发现"192.168.3.1"IP出现大量的404状态码,暂时将此IP地址定义为可疑IP,待进一步分析。
第五步:日志查阅
觅踪支持简单查询以及SQL语句高级查询,进行可编程的结果查询,对不同种类的日志类型做出特定分析并进行整理。
条件查询
点击觅踪"条件查询"功能,先对刚刚的可疑IP地址以及404进行条件筛选,在结果中发现涉及到"Admin"的URL请求,发现了恶意代码,确定该IP具有可疑行为。
至此,该web服务器被攻击案日志分析工作已全部完成,每个过程只需”一键操作”即可,非常方便。觅踪以最简单的工作流程、高频的数据处理,可视化的输出结果,帮助用户完成对日志数据的收集和分析,及时追溯源头,发现问题根源。
LAS6200觅踪日志分析系统
多重应用场景,满足多元需求
1、由于日志管理分散,造成出现问题后很难取证查询根源。通过产品对计算机数据的收集和分析,可以让我们及时追溯源头,发现问题根源;
2、用户对于日志查看的需求,如时间段、IP(地理位置)、异常痕迹等;
3、用户对于常规日志提取取证及删除日志的恢复,从日志中查出故障时间、入侵地址、入侵手段等;
4、在用户不知道入侵方式的情况下,通过日志分析来重现出黑客的入侵路线;
5、在用户知道入侵方式的场景下下,通过日志分析出黑客的入侵路线来取证;
6、用户日常对计算机的日志管理、收集、分析,可通过图标方式直接预览,直接获知异常数据。