安全事件关联分析教学文档

1. 日志关联分析的必要性

1.1 安全团队的核心能力阶段

• 攻击事件发现阶段：识别已发生的安全事件
• 攻击防御阶段：阻止正在进行的攻击活动

1.2 传统事件发现方式的局限性

安全团队通常通过以下被动方式发现攻击：

• 业务系统不可访问或出现篡改情况
• 上级管理单位的安全通告
• 运维部门的情况通报

这些情况表明安全事件已经发生，处于事后响应状态，对安全团队十分不利。

2. 日志关联分析实施方法

2.1 基础环境准备

• 应用服务器与数据库服务器分离
• 部署完善的基础安全防护设备
• 建立集中化日志收集系统

2.2 威胁建模与风险评估

通过头脑风暴形式，分析业务可能遭受的入侵场景和风险。

3. 典型攻击场景关联分析案例

3.1 Web Shell上传攻击场景

攻击流程：
攻击者利用应用上传漏洞 → 上传Web Shell → 获取应用服务器权限 → 内网横向移动

关联日志源：

• Web应用日志
• WAF攻击日志
• IDS攻击日志
• 主机入侵检测系统日志
• 用户命令历史日志
• Web Shell检测日志
• 程序漏洞报告

关联分析逻辑：

1. 从WAF/IDS获取攻击源IP
2. 在应用日志中查询该IP是否在上传页面POST数据
3. 检查同期是否有主机Web Shell告警事件
4. 多日志源时间序列匹配确认入侵

3.2 SQL注入拖库攻击场景

关联日志源：

• WAF/IDS告警日志
• 数据库审计系统日志

分析方法：
关联WAF的SQLi告警与数据库审计系统中的查询语句，通过SQL查询关键词进行匹配。

3.3 SSH弱口令暴力破解场景

攻击特征：
自动化工具通过SSH弱口令登录 → 下载执行挖矿程序 → 内网暴力破解

检测指标：

• 服务器登录尝试日志
• IDS暴力破解攻击检测
• bash命令历史记录
• 系统CPU利用率监控

3.4 异常用户行为检测场景

检测维度：

• 异地登录检测
• 连续登录失败次数
• 代理登录行为
• 异常时间登录
• 大额转账操作
• 异常账户交易

业务日志关联：
异常登录成功事件与异常业务操作的时间序列关联分析。

3.5 内网主机感染场景

检测方法：

• 杀毒软件告警与主机异常行为关联
• 杀毒告警与入侵检测事件关联
• 检测指标包括：新进程、新账户、新程序、注册表修改等

3.6 CC攻击检测场景

多源数据验证：

• WAF/DDoS防御系统检测结果
• 运维监控指标：访问延迟、连接数、资源消耗

4. 日志收集与管理系统建设

4.1 集中化日志系统要求

• 必须实现集中化日志收集
• 防止攻击者删除本地日志
• 保证日志完整性可追溯

4.2 技术选型建议

商业方案：Splunk
开源方案：ELK Stack（Elasticsearch, Logstash, Kibana）
云服务：日志易

4.3 系统选型标准

• 查询性能优异
• 易于部署和维护
• 支持二次开发
• 符合业务规模需求

5. 威胁情报与告警处置

5.1 威胁情报构建

• 近3天攻击源IP资源池
• 近一月流行漏洞和攻击方式库
• 代理IP库
• 组织业务特异性情报数据

5.2 告警通知机制

通知渠道：

• 短信通知
• 邮件告警
• 微信提醒

集成方案：

• 自建告警平台
• 与运维系统（如Zabbix）集成
• 实现事件自动化处置

6. 标准化体系建设

6.1 SIEM系统核心功能

• 安全事件日志集中收集
• 关联规则定义与应用
• 攻击事件确认识别

6.2 生命周期管理

• 规则提取标准化
• 规则启用/禁用流程
• 安全事件处置规范化

6.3 高级分析技术

• 机器学习算法应用
• 大数据分析技术
• 智能关联规则生成

7. 实施建议

1. 场景化分析：结合自身业务特点，列出所有可能的入侵形式
2. 过程化建模：分析每个入侵过程在相应设备上产生的日志序列
3. 规则化提取：基于日志序列特征提取关联规则
4. 持续化优化：根据实际攻击情况不断调整和完善关联规则

通过系统化的日志关联分析，安全团队能够从被动响应转向主动发现，显著提升安全防护能力。