网络安全—学习溯源和日志分析

日志分析的步骤:

        判断是否为攻击行为

                不是:不用处理

                是:判断攻击是否成功或者失败

                        攻击失败:判断IP地址是否为恶意地址,可以让防火墙过滤IP地址

                        攻击成功:做应急处置和溯源分析

                                应急处置:网络下线和系统下线

                                溯源分析:攻击路径分析(包含上机处理)

                                                漏洞修复,恢复上线,总结

可以参考思路导图:

        网络安全—学习溯源和日志分析_第1张图片

应急响应流程:

        准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段、总结阶段

常见的日志分析:

        Web攻击日志分析:

        大部分情况利用项目现场的安全设备,如天眼、IPS、WAF、NGFW等设备的日志,输入被攻击的设备IP地址,查找相关的日志信息,通过日志分析找出可能存在的问题、可能的攻击路径。

        必须掌握的日志:

        安全设备的告警日志,要求掌握查看系统的日志,掌握Web中间件的日志

上机处理流程:

        如排查思路
                1、检查系统账号安全

                        1)检查是否有弱口令,远程端口是否开放

                        2)查看是否存在可以账号、新增账号

                        3)查看服务器是否存在影藏账号、克隆账号

                        4)结合日志查看管理员登录是否异常

                2、检查异常端口、进程

                        1)检查端口连接情况,是否有远程连接、可以连接

                        2)检查有没有可以进程及其子进程

                3、检查启动项、计划任务、服务

                        1)检查服务器是否有异常启动项

                        2)检查是否有可可疑的计划任务

                        3)检查是否有可疑的服务自启动

                4、检查系统相关信息

                        1)检查系统版本及补丁信息

                        2)检查可以目录及文件

                5、病毒后门自动化查杀

                        1)病毒查杀

                        2)webshe11查杀

                6、日志分析

                        1)系统日志

                        2)web访问日志

                 7、大致需要的工具:

                         1)病毒分析:火绒剑、PCHunter

                         2)病毒查杀:火绒、卡巴斯基

                         3)病毒动态:国家计算机病毒应急处理中心、微步在线、360情报中心

                                       、webshe11查杀(D盾、河马、深信服webshe11检测工具、手动排查)

攻击路径溯源:

1)通过安全设备找对应的告警日志分析

2)上机排查处理查找出蛛丝马迹

3)通过漏洞扫描设备进行扫描

攻击者溯源:

1)通过安全设备告警日志查找攻击者IP、设备信息

2)通过IP定位攻击者

3)通过遗留文件,查找对应的MD5值、ID值, 到情报平台进行分析

4)利用蜜罐进行反侦察

以上是总结学习网络安全—学习溯源和日志分析的思路。

你可能感兴趣的:(web安全,安全,网络安全,学习)