讓網絡監控耍上小“聰明”

引言：為了有效降低網絡運維成本，不少單位在局域網中都部署了專業的網絡監控系統，這些監控系統雖然可以在監控的深度和范圍方面，能夠滿足單位全方面需求，但是它們的部署會帶來新的運維成本，顯然這對組網規模不大的單位來說，是不太適合的。網絡管理員完全可以自己動手，也能讓網絡監控“聰明”高效！

為了有效降低網絡運維成本，不少單位在局域網中都部署了專業的網絡監控系統，這些監控系統雖然可以在監控的深度和范圍方面，能夠滿足單位全方面需求，但是它們的部署會帶來新的運維成本，況且這些監控操作還需要一定的專業性，顯然這對組網規模不大的單位來說，是不太適合的。其實，對于中小單位來說，網絡管理員完全可以自己動手，也能讓網絡監控“聰明”高效！

聰明監控DHCP服務

單位使用的是Windows Server 2003服務器系統內置DHCP服務，要聰明高效地監控該服務的運行狀態，關鍵在于判斷它能否持續不斷地為終端系統提供地址分配功能。為了要達到這個監控目的，我們可以巧妙地編寫腳本程序，強制系統每隔一段時間去執行“ipconfig /release”、“ipconfig /renew”命令，來頻繁檢測DHCP服務器的地址回收和地址分配功能。要是局域網中的DHCP服務器運行狀態不正常，那么終端計算機將不能通過先前編寫的腳本程序，獲得有效的上網地址，這樣就會引起其他相同子網的終端計算機不能Ping通本地系統的IP地址。

依照這種思路，我們可以在局域網中任意選擇一臺終端計算機，來作為運行上述腳本程序的探測計算機，這個腳本程序通過BAT格式的批處理文件實現，起到模擬終端用戶不停向DHCP服務器申請IP地址的作用，該批處理文件中包含的命令代碼有以下一些內容：

日后，一旦執行這個腳本處理程序時，本地終端系統就每隔20秒鐘循環執行一 次“ipconfig /release”、“ipconfig /renew”命令，來不斷地向DHCP服務器申請動態IP地址。要是地址申請操作能夠順利，那就意味著局域網DHCP服務器的運行狀態是正常的，否則，就表示DHCP服務器不能向終端計算機正常分配上網地址。這時，相同子網中的其他計算機只要使用Ping命令，測試該探測計算機的IP地址，就能判斷出局域網DHCP服務器是否能夠正常工作了。

聰明監控FTP服務

局域網中的FTP服務器，常常會成為惡意用戶的攻擊對象，例如黑客為了竊取數據，可能會利用特定漏洞，悄悄向其植入木馬程序，來非法竊取FTP服務管理權限。這時，我們不妨利用“FTP Guard”外力工具，聰明監控局域網中的FTP服務，及時捕獲入侵行為，保障FTP服務器遠離非法攻擊。

開啟“FTP Guard”工具運行狀態，點擊主界面左側“Connections”處的“+”按鈕（如圖1所示），在新建對話框的“Connection Name”位置處輸入好監控連接名稱，在“FTP Host”位置處設置好需要監控的FTP服務器站點地址和網絡端口，要是匿名登錄FTP服務器時，不妨選中“Anonymous”選項。為了安全起見，建議使用身份驗證登錄，在“FTP Username”、“FTP Password”等位置處輸入好登錄FTP服務器的賬號與密碼，同時定義好監控路徑。要對FTP服務器下面的子目錄內容監控時，還要將“Recursive”選項同時選中，確認后退出監控連接對話框。

圖1 按鈕示意圖

選中剛才創建的監控連接名稱，打開它的右鍵菜單，點 選“Check Connection”命令，“FTP Guard”工具開始自動掃描特定FTP連接，同時將掃描檢測結果記錄存儲下來，以作為以后監控分析的基礎。重新選中特定FTP 連接，在“Alert Event”設置項處，將“Addition”、“Deletion”、“Modification”等選項逐一選中，開啟文件添加監控、文件刪除監控、文件修改監控等功能，這樣FTP服務器中的任何數據文件發生變化，“FTP Guard”工具都能及時發出報警提示。

在“Notification”設置項處，選中“Sh ow SystemTray Messa ge”選項，強制“FTP Guard”工具在監控到異常狀態時，及時將相關提示信息顯示在系統屏幕右下方，看到這些提示管理員往往就可以直觀了解到究竟有哪些文件發生了狀態變化，這有利于管理員快速定位FTP服務器中的安全隱患。如果希望監控報警效果更好一些，建議使用“Play Sound”選項，來播放特定音樂文件來達到報警目的。此外，在“File/Directory Extension Filter”設置項處，還要定義好待監控的數據文件類型，每個文件類型獨立占用一行。在“Directory Ingore Filter”設置項處，定義好不需要監控的特殊文件夾，每個文件夾名稱也是單獨占用一行。

“FTP Guard”工具默認每隔10分鐘，掃描監測一次FTP服務器，但監控過于頻繁，會影響FTP服務器的反應靈敏度，建議將該參數調整為半個小時左右。在進行這種調整操作時，單擊主界面中的“Program Options”按鈕，展開如圖2所示的設置界面，在“Monitoring Interval”位置處輸入“30”秒鐘即可。值得注意的是，在這里也能按需選擇報警音樂文件，只要單 擊“Default Sound Notification File”設置項處的瀏覽按鈕，從彈出的文件瀏覽框中，選擇并添加自己喜歡的報警音樂文件即可。這里的其他參數，建議不要改變，最后進行確認保存設置操作。

至此，“FTP Guard”工具就能對局域網中的FTP服務器進行聰明監控了。只是每次重新啟動計算機時，還要手工開啟一下該工具的監控功能，因為它在默認狀態下并沒有啟用監控功能。將主界面“Monitoring”處的紅色“Off”選項，修改為綠色“On”選項，可以輕松開啟FTP服務監控功能，將“Sound”處的“Off”選項，修改為綠色“On”選項，可以啟用聲音報警功能。所有監控內容都會被智能存儲下來，要查看分析這些監控內容時，只要單擊主界面中的“Monitoring Results”按鈕，切換到監控報告列表窗口，從中可以發現FTP服務器的各種狀態變化，例如新增了哪些文件，刪除了哪些文件，內容發生修改的有哪些文件等。依照這些監控內容，管理員就能發現攻擊FTP服務器的不法分子，同時采取有效安全措施，確保FTP服務器運行始終安全。

圖2 所示的設置界面

聰明監控系統服務

為了不讓自己暴露身份，不少網絡病毒或木馬在偷偷運行時，常常會“裝扮”成系統后臺服務，這樣一來用戶不能立即發現病毒、木馬的“身影”。為了在第一時間發現終端系統的潛在安全隱患，我們不妨通過監控系統服務的狀態變化，來快速尋找到陌生的后臺服務，以便進一步判斷終端系統的安全狀態。

要聰明監控系統服務的安全狀態，可以巧妙使用終端系統自帶的“net start”命令，導出系統出現異常狀態前后的服務列表信息，同時對這兩個導出文件中的內容進行比較，就能識別出哪些系統服務是新創建的，哪些系統服務已經被悄悄關閉了。對于新生成的陌生系統服務，只要打開它的屬性對話框，找到同時刪除對應服務的可執行文件，就能實現清除病毒或木馬程序目的了。下面就是詳細的監控步驟：

首先在終端計算機運行狀態正常時，逐一單擊“開始”、“運行”命令，彈出系統運行對話框，輸入“cmd”命令，展開MS_DOS工作窗口；在該窗口命令提示符下，輸入字符串命令“net start> E:111.txt”，單擊回車鍵后，Windows系統會自動將當前狀態下所有已經啟用的系統服務全部列寫出來，同時集中導入到“E:111.txt”文本文件中，打開該文本文件時，我們就能看到究竟有哪些系統服務已被成功啟用了，如圖3所示，這些系統服務就是系統異常狀態下的參照標準。

其次當哪一天發現終端計算機運行突然緩慢或出現其他不正常現象時，再在DOS命令行提示符下輸入“net start > E:222.txt”命令，將異常狀態下的系統服務啟用列表信息導出保存到“E:222.txt”文本文件中，這時“喬裝改扮”的系統后臺服務也會出現在該文件中。

下面要做的就是比較兩種正常狀態下服務列表信息的異同，在進行比較操作時，直接輸入“fc E:111.txt E:222.txt”字符串命令，要是系統中沒有病毒或木馬運行，那么結果會返回“找不到相異處”的提示信息。相反，要是系統已經遭遇了病毒或木馬的攻擊，那么結果會返回那些被關閉或新創建的系統服務名稱。

圖3 系統異常相關

要是搜索到陌生系統服務名稱后，再打開終端系統運行對話框，輸入“Services.msc”命令，在展開的系統服務列表界面中，找到陌生系統服務選項，用鼠標雙擊該選項，切換到對應服務選項設置對話框，從中找到調用該陌生服務的可執行文件。之后進入系統資源管理器窗口，切換到目標可執行文件所在文件夾窗口，選中并刪除該文件，這樣就能達到手工刪除病毒或木馬程序的目的了。當然，在手工刪除病毒或木馬文件之前，必須先關閉陌生系統后臺服務；如果不能關閉病毒或木馬服務時，可以考慮先將終端系統啟動運行到安全模式狀態，或者借助光盤版的Windows PE系統啟動到DOS狀態，再試著關閉病毒或木馬等陌生服務，最后刪除病毒或木馬對應的可執行文件。

聰明監控DNS服務

終端計算機要想正常訪問Internet上的信息，往往離不開本地DNS服務器的“鼎力”支持，因為這種支持是在后臺悄悄進行，很多用戶感覺不到DNS服務的存在。其實，本地DNS服務器的運行穩定性，影響著整個網絡的上網穩定性，監控DNS服務器的安全運行性能，有利于確保整個網絡的運行安全，畢竟在第一時間找到DNS服務器的安全隱患，能讓其安全穩定地運行！

要聰明監控DNS服務，只要啟用DNS服務器的日志監控報警功能即可。在進行該操作時，首先以超級用戶身份登錄DNS服務器所在主機系統，依次點擊“開始”、“程序”、“管理工具”命令，展開DNS服務器控制臺界面，在該界面的左側顯示窗格中，選中特定DNS服務器主機名稱，用鼠標右鍵單擊該名稱，選擇快捷菜單中的“屬性”命令，切換到DNS服務器屬性設置框。

點擊“日志”標簽，進入如圖4所示的標簽頁面，根據實際情況定義好需要監控DNS服務器哪方面的狀態內容，確認后退出設置對話框。日后，要查看DNS服務器安全方面的狀態信息時，只需要進入DNS服務器系統資源管理器窗口，打開其中的“%systemroot%system32dnsdns.log”日志文件，就能監控到DNS服務器各方面的狀態信息了，比方說，接收狀態內容、應答狀態內容、發送狀態內容等，根據這些信息網絡管理員就能有效識別出DNS服務器此時的運行安全性了。了信息安全風險評估。

信息安全風險評估是對信息資產（即某事件或事物所具有的信息集）所面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用所帶來風險的可能性的評估，是組織確定信息安全需求及解決方案的一個重要途徑。但信息安全風險評估不能完全滿足黑客、信息戰、自然災難、電力中斷等新形勢下的安全需求。可見，理想的威脅情報不但需要及時知道本單位信息系統存在何種容易被攻擊的弱點，還要知道攻擊者的動機和手段，知道如何部署防御措施，知道如何檢測攻擊，攻擊會造成何種影響，該如何響應攻擊事件等。威脅情報的獲取及響應都能體現防御能力的建設程度，因此，建立有長效機制的威脅情報服務體系尤為重要。威脅情報服務體系至少包含了威脅監測及響應、數據分析及整理、業務情報及交付、風險評估及咨詢、安全托管及應用等各個方面，涉及研究、產品、服務、運營及營銷的各個環節。

圖4 標簽頁面

在 2013年，Gartner給“威脅情報”作出了明確定義：“威脅情報是基于證據的知識，包括場景、機制、指標、含義和可操作的建議，針對一個現存的或新興的威脅，可用于做出相應決定的知識。”

起什么作用呢？我們都知道，企業所面臨的威脅不僅來自外部，而實際上大多是出自內部，很多外界發起的APT攻擊環節都需通過“內部跳板”才能訪問敏感數據。雖然企業已部署了必要的防護線，但是基于發現、預警和響應的時間差卻更為關鍵。簡而言之，企業能不能從海量的網絡信息庫中及時甄別、捕捉到有價值的安全威脅信息（也即“情報”），并通過完善、高效的溝通渠道來共享或發布這些信息，這就是威脅情報所要解決的問題。

具體來講，威脅情報主要包括兩大方面的應用，即戰術威脅情報和戰略威脅情報。前者通常是在網絡安全監控過程中分析所收集的數據，識別安全威脅并采取相應的措施。戰術威脅情報側重于對威脅的技術分析與響應控制能力，它依靠感染指標來捕捉威脅入侵的跡象。感染指標一般包含以下幾種參數：

1.原子指標信息，如IP地址，域名、郵件地址、網絡或主機信息等。

2.可計算的指標信息，如惡意程序的數字哈希值（包括SHA1和MD5）。

3.行為指標信息，如攻擊者的行為特征（包括惡意表征、爬蟲行為）、攻擊工具、TTP（戰術、技術和行為模式）類型等。

依據戰術威脅情報，企業可構建更高層面的威脅模型與威脅圖示，這便形成戰略威脅情報，用于發現威脅趨勢，并以此來研判怎樣降低威脅面，決定如何配置安全預算、部署何種安全產品和技術、人員應聚焦哪些環節等戰略性問題。

這些情報對于部署高效型防御非常有幫助，但卻不是僅由組織自身就能獲取和維護的，需依靠專門的威脅情報分析系統才能實現目標。近兩年，安全威脅情報行業在蓬勃發展，已形成一個潛力巨大的新興安全細分市場，也活躍著一批專業的威脅情報服務商。國外比較知名的安全威脅情報來源有IBM X-Force Exchange、Symantec Deepsight、RSA NetWitness Live、Verisign iDefense、OSINT、SANS、Dell SecureWorks、McAfee Threat Intelligence、ThreatStream、OpenDNS、MAPP等。在我國，360公司建立了國內首個安全威脅情報中心，通過開放聯動推進威脅情報生態環境的建設。

筆者認為，威脅情報不妨通過這些手段來實現。

持續性培訓

敏感數據的接觸來自企業關鍵部門人員，一旦關鍵人員受到外部原因誘惑，通過非法復制，讓信息和數據長期而慢速的信息，或者讓企業信息和業務大規模中斷，這對于企業有著莫大的威脅。

因此，需要持續性的培訓，包括制度、法規上的培訓行為，在行政手段上降低部分威脅。

建立“觸碰”機制

數據在有限范圍內訪問是允許的，但是非法復制和傳播是絕對不允許的，如何預防需要建立核心數據的“觸碰”機制是關鍵。

關鍵數據限制訪問次數，一旦超過正常訪問次數，立刻觸發報警，有安全人員采取下一步措施。對于業務系統和服務器的敏感數據，不僅需要記錄訪問次數，還要記錄用戶訪問時間、頻率、訪問地點等信息，同樣是需要預警機制，關鍵指標一旦有任何觸碰的行為，即反饋給安全中心。

利用大數據的精準分析和定位

企業/組織獲得信息太多，包括那些不用的信息，如何清除這些噪音而獲取真正的價值呢？

大數據給出答案，通過汲取、分析和自動化的挖掘數據，并和云端關聯分析，可以對受害目標和攻擊源頭進行精準定位，率先洞悉風險和威脅，并將威脅情報快速遞交給用戶，對攻擊行為進行前期預報和溯源。

360公司主防庫覆蓋中國5億PC客戶端，總日志數達到50000億，互聯網存活網址庫每天有300億條查詢量，每天處理一百多億條……，通過海量數據挖掘，360天眼發現了多起APT事件，將大量的威脅行為止于萌芽。

善用機器學習

所有的攻擊行為都存在變數，預防是必要的，但是絕對難以解決所有威脅，因此對于威脅情報需要機器學習來完善防御體系。

對原始數據，需要聚類，然后開始訓練數據，進行有監督學習，并適時進行干預，最終形成機器領域的規則和分類器，在威脅發生時進行比對、預防、告警。