威胁情报可视化,一直以来对安全人员分析安全事件起着有益的作用, 可视化是对分析的结
果一种图形化的映射,是威胁行为的一种图形具象化。

针对蜜罐日志分析的流程来讲,溯源和展示攻击行为本身也是很重要的。

一般比较传统的日志分析方式是:

  1. 蜜罐向类似mysql这种库中写入被访问的IP地址和Port,启动定时任
    务读取数据库,取出数据库当条目总数,与之前本地保存的最大数进行比较 发现,数据库
    中的日志记录变多了,就将这些数据取出,进行分析和报警。

  2. 另一种方式是依赖ips,ids这种设备,对网段内的所有蜜罐的流量进行监控,发现有任何
    触发蜜罐的访问就进行数据的报警分析,不好的地方是,除了要依赖这些设备 ,ids和ids
    本身对蜜罐被访问策略控制比较单一,另外如果想进一步的想取得访问的payload也需要与ids
    ,ips再次交互取,不同产商的设备特点不统一。

  3. 还有一种方案是,除了构建蜜网之外,再构建一个日志中心(ES集群+Openresty)
    一方面可以通过在设备上加agent把数据传回日志中心,另一方面日志中心本身也是一个REST
    网关,接受多种 形志的日志推送,这个方案是有构建成本的,但是一旦构建好,策略处理就
    比较灵活,push和poll模式下都可以,接受push数据过来,进行实性分析和显示更直观。

unti-scan-sort

图a-1

一个典型的用例,poll模式下对日志中心的REST服务的使用,可以像最传统方式一样,起动
定时任务,按时间段范围,对当前指定时间内,所有(用户ID,或DeviceID,或IP)访问日
志数量大的访问(IP)进行降排(数据源可以来自蜜罐,或是其它设备),并对被访问IP的
PORT进行联合枚举分析,如果某个IP访问量大,访问PORT范围大,或是访问 非常规Port,
可以进入新的报警与分析阶段。 关于非常规的Port数据,可以对网内常规的PORT进行数据
汇聚,常规以外的就是不常规的,汇聚可在对机器进行扫描时,把网内IP的常开PORT进行序
列化,生成数据指纹,与之后 的蜜网数据进行联合分析。

上图a-1,既是对一次用户抄描形为的图形展现。

供参考。