分析日志識別暴力破解

編者按：本文介紹了暴力破解事件，并嘗試使用日志分析方法識別暴力破解事件；同時介紹了日志分析方法的原理，日志分析系統的功能和工作流程，指出了日志的范式化和關聯分析是識別暴力破解事件的關鍵所在，并實際構建了相應的關聯分析規則。通過日志分析的方法，IT管理者可以實現對企業內網中暴力破解和暴力破解成功事件的關聯分析規則的創建，實時識別內網中存在的該類攻擊事件。

在企業內網中，有許多重要的信息系統，基本都采用了用戶名和口令的安全認證機制。用戶的口令對于信息系統的安全起到重要作用，變得尤為關鍵。

保證信息系統的安全首先要保證口令的安全，對于口令的安全性首先要保證口令的長度和復雜性。對于長度和復雜性都達不到一定要求的口令，很容易被破解。企業內網中雖然部署了防火墻等訪問控制設備，但只能防范外來的攻擊和入侵。很多對信息系統的攻擊都來自于網絡內部，而對信息系統內部的攻擊常常以破解口令為主要攻擊方式，最直接的攻擊方法就是暴力破解。暴力破解法或稱為“窮舉法”，是一種針對密碼的破譯方法，即將密碼進行逐個推算直到找出真正的密碼為止。

如何識別暴力破解并采取及時有效的應對措施成為IT管理者日常工作的一部分。在當前網絡安全技術中，安全管理人員通常采用在網絡中部署IDS（Intrusion Detection System）產品的方式來發現暴力破解事件，IDS通過對用戶和網絡流量的分析，發現網絡中存在的各種入侵攻擊行為。但是，IDS系統在進行入侵檢測時，由于基于特征檢測，會產生誤報和漏報的情況。安全研究人員和安全管理人員也使用新的技術和方法來實時發現暴力破解事件的發生。本文不借助于IDS產品，而從日志的關聯分析角度來進行暴力破解事件的實時識別。

借助工具分析日志

在一個完整的信息系統里面，日志系統是一個非常重要的功能組成部分。它可以記錄下系統所產生的所有行為，并按照某種規范表達出來。通過日志，IT管理者可以了解系統的運行狀況。而通過對安全相關的日志的分析，IT管理者可以檢驗信息系統安全機制的有效性，這就是安全日志審計。安全日志可以幫助IT管理者進行事故處理、入侵檢測、事件關聯分析，以及綜合性的故障診斷工作。

由于信息系統中存在多種網絡設備、安全設備、主機/服務器、數據庫、中間件和應用系統等，這些設備和系統的日志各不相同、千差萬別，因此，IT管理者分析來自這些設備和系統的海量日志時，存在日志分散、格式不統一、日志量巨大的困難。

安全管理人員應該借助一個日志分析工具來為其安全管理工作提供技術支撐。這個日志分析工具應該能夠對分散的海量日志進行收集，并對這些日志格式進行規范化統一描述，實現對日志的集中化存儲、泛化、過濾、歸并、關聯分析、審計、實時告警和綜合展示。

關聯分析是關鍵

關聯分析在信息安全過程中是指對信息系統的安全日志數據進行自動化、持續性分析，通過與用戶定義的、可配置的規則匹配來識別網絡中存在的潛在威脅和復雜的攻擊場景，從而發現真正的安全問題，達到對當前安全態勢準確、實時的評估，并根據預先制定策略做出快速的響應，以方便管理人員全面監控網絡安全狀況的技術。關聯分析可以提高網絡安全防護效率和防御能力，并為安全管理和應急響應提供重要的技術支持。關聯分析主要解決以下四個問題：

一、減少誤報，將單個告警事件與可能的安全場景聯系起來；

二、消除重復報警，對相同、相近的報警事件進行處理，例如過濾和壓制等；

三、為達到識別有計劃攻擊的目的，增加攻擊檢測率，對深層次、復雜的攻擊行為進行挖掘，并以一定的規則表達式表示出來；

四、提高安全事件分析的實時性，提醒安全管理人員第一時間內進行響應。

日志格式的泛式化是日志分析的基礎，而日志關聯分析引擎是日志分析的關鍵，強大的日志關聯分析引擎，可以幫助安全管理人員實現更多的安全事件分析能力，滿足多種安全場景的檢測需求。

借助先進的智能事件關聯分析引擎，日志分析系統能夠實時持續地對所有范式化后的日志流進行安全事件關聯分析。系統具備多種關聯分析方法和能力：

首先是基于規則的事件關聯。

系統提供了可視化的規則編輯器，用戶可以定義基于邏輯表達式和統計條件的關聯規則，所有日志字段都可參與關聯；

規則的邏輯表達式支持等于、不等于、大于、小于、不大于、不小于、位于……之間、屬于、包含等運算符和關鍵字；

規則支持統計計數功能，并可以指定在統計時的固定和變動的事件屬性，可以關聯出達到一定統計規則的事件。

其次是基于基線的事件關聯。

針對網絡流量數據，系統能夠建立周期性基線和非周期性基線，通過同比分析和環比分析的方式來判斷實際流量特征信息（稱做特征指標）與基線/預測值之間的差異程度，進而判定導致流量異常的攻擊或者違規行為。系統采用了具有自學習和自反饋機制的基線生成/修正算法；

通過單事件關聯，系統可以對符合單一規則的事件流進行規則匹配；

通過多事件關聯，系統可以對符合多個規則（稱做組合規則）的事件流進行復雜事件規則匹配。

暴力破解事件規則構建

借助于強大的關聯分析引擎，安全管理人員可以構造關聯分析規則，實現對范式化后的日志的關聯分析，自動化實時發現網絡中的暴力破解事件，向安全管理人員提出告警。

暴力破解事件的安全場景為短時間內不斷地嘗試登錄主機、設備或應用系統，可能使用同一賬戶，也可能嘗試不同賬戶，但登錄失敗。鑒于這種登錄行為，設備、主機或系統會產生登錄失敗的日志，每次登錄失敗都會產生相應的一條日志。故暴力破解的行為從日志的表現上為短時間內產生并發送了多條相同的登錄失敗的日志。

系統在匹配到滿足該規則的日志信息后，會產生實時告警，從而幫助安全管理人員發現暴力破解的安全事件。

依據暴力破解的關聯分析規則，更進一步可以設計出暴力破解成功的關聯分析規則。暴力破解成功的安全場景為，日志分析系統先產生大量短時間內登錄失敗的日志，在之后產生一條登錄成功的日志，且兩種日志記錄的源目的IP地址均相同，并且二者之間有時序上的邏輯關系，即登錄成功日志產生于大量登錄失敗的日志之后。

通過實際系統，結合以上關聯分析規則，確實可以實時發現網絡中存在的暴力破解事件，有效降低信息系統面臨的安全風險。

下一步的工作是要對范式化進行擴展，只有更多的日志范式化描述的字段信息，才可以依據這些字段的組合構造出我們已知的安全場景的關聯分析規則。同時，需要研究更加復雜和深層次的安全攻擊場景，充分利用日志關聯分析功能，構造出符合這些場景的關聯分析規則。

借助先進的智能事件關聯分析引擎，日志分析系統能夠實時持續地對所有范式化后的日志流進行安全事件關聯分析。