金融企业安全建设探索之异常访问检测系统

按：本文为热心读者xysky投稿，授权“君哥的体历”公众号转载。

一、前言

之前写了一篇关于APT防护的文章（注：本公众号前篇《金融企业安全建设探索之天眼系统》），基于终端层面的。这篇为大家带来的是基于网络上的一种发现APT攻击的思路。结合该思路，我们定制开发了一套系统并在办公网、业务网、互联网区域都进行了部署，在接近4年的实际运维过程中不断进行优化与改进，在内部多次红蓝对抗中发挥了很大的作用。

二、思路

设想一个场景：渗透人员通过分行A的一台机器访问了分行B的某台服务器的远程桌面，然后调出shift后门进一步控制系统。再设想一个场景：办公网与业务网通过防火墙进行了限制，但允许icmp协议通过。渗透测试人员为了在办公网直接控制业务网的机器，采用了一种pingtunnel的隧道技术来绕过防火墙。

以上的场景，依靠传统的IPS技术是发现不了这样的行为的，但往往真正的APT攻击就隐藏在这中间。有没有办法从网络访问异常上进行发现呢？什么算是异常？得有一定的模型和算法。

一个IT操作行为的属性包括：行为人身份（Identity）、发生时间（Time）、发生位置(Location)、行为方式(Means)、行为的类型（操作,Action）、行为对象（资源,Resource）。这些属性就构成了完整一个IT操作行为抽象模型(简称ITLMAR模型)。下面分别对每个属性作进一步的解释：

• 行为人身份：在IT系统中，表述身份的就是系统账号。

• 发生时间：时间属性中包含两层概念，一是个行为发生的时刻，另一个是行为发生的频率。但频率是一个间接属性，无法从单个行为日志中直接提取。

• 发生位置：IT操作行为发生位置信息包括：IP地址、ATM终端号、POS终端号、业务终端编号等。

• 行为方式：即以什么渠道完成的操作。例如在IT系统中，常见的访问方式有：专用客户端软件、中间件（对数据库访问通常采用中间件）、命令行（CLI）、远程桌面等。

• 行为对象：即各种IT资源，如文件、数据库表、服务器主机、数据项等。

• 行为操作：操作行为大体可以分为交易操作（转账、取现、存款、支付）、数据库操作（数据库）、文件操作三大类。

对异常行为的检测有两种方式，一种是基于行为的特征的检测，不针对特定的账号或账号群组。还有一种是面向特定用户的，即基于用户基本行为模式的检测。从前面的论述中，我们看到行为模型由6个元素构成。检测规则可以单独针对其中的某一个或某几个，这样通过组合计算，可以罗列出全部可能的规则模板，共63种（如下面的表格所示）。其中√符号表示该模板检测所对应的元素。∀符号表示任意，即该规则不检测所对应的元素。

为了更好的说明检测规则模板的含义，这里用几个检测规则实例加以说明。

• 规则模板1实例：除中间件和admin账户外，其它任何身份的对数据库的访问都是违规的。在很多IT系统中，只允许两个账号对数据库的访问，即中间件的账号和维护用账号admin。因此其它账号访问数据库，一律看作违规行为。这条检测规则只关注身份和资源两个因素。

• 规则模板3实例：admin账户只能在系统维护时间段从IP地址是111.111.111.111的维护终端访问数据库，其他行为都是违规的。时间也是检测规则必须考虑的因素，有些操作一般只发生在特定时间段内发生，并且只能从某个特定的维护终端主机上进行操作。

• 规则7实例：除了通过堡垒主机以远程桌面方式进行的更新操作，其它都是违规的。在某些IT系统的维护规定中，要求维护终端先登录到堡垒主机上，再用远程桌面的方式进行维护操作。

上述63种规则模板是数学组合的结果，并非都可以给出实例，原因是可能存在重复包含或无现实意义的情况。例如所有元素都检测这样的检测规则现实中就很少见。

基于账户基调（profile）的检查规则是面向特定账户（群组）的，因此检测规则只包含除身份以外的另外5个元素（见下表）。

每个账户历史上的行为记录可以构造成一个行为基调。一旦某个行为特征远远偏离这个基调，则判断为异常。同前面一样，时间元素的取值有两种可能，一个是时段（用区间符号[]表示），一个是频率。

位置、方式、操作三个元素分别都可以有多个非数字取值，因此是个元素的集合。资源的取值可能是数值的，也可能非数值。这种检测规则通常用于检测外部用户的异常交易行为，因此这里用一个交易行为基调作为实例说明(账号A基调实例)。但是这个检测思想也可以应用与内部用户的访问行为监控（账号B基调实例）。

账号A基调实例：[12:00,13:00],[17:30,20:00];{超市A，支付宝，超市B}; {POS,onlinebank}; {支付,转账}; [0,500]

在这个实例中，账户1银行卡交易行为基调是：通常在中午休息或晚上下班以后购物，购物方式基本是在超市A（工作单位附近）和超市B（住家附近）POS机刷卡，或是通过支付宝网络购物，还有在网上支付一些账单，通常单次交易金额一般都不超过500元。

账号B基调实例：[9:00,17:00];{IP:222.222.222.222}; {CLI, 远程桌面}; {下载，上传，打开创建}; {文件，数据库表}，[0,50M][0,0.5M]

套用交易行为基调的方法进行内部行为检测时，有时需要对某些操作赋予两个资源取值，例如下载操作，不仅要检测下载对象，还要包括下载数量。在这个实例中，下载量是50MB, 上传量是0.5MB。

该类技术模型相关的发展趋势主要在于更加丰富的增加IT操作行为的属性、系统输入数据的类型及关联分析，目前主要通过流量日志数据及6元组元素来定义异常行为访问规则，后续增加IT操作行为属性及更丰富的输入数据类型，将更好从3到7层监控异常访问行为。

三、设计与实现

在实际的实现过程中，基于6元组来定义异常有两个切入点，一个是基于访问路径的异常，一个是基于访问频率的异常。基于访问路径的异常，很好理解，比如说历史上A和B经常访问C的1433端口，突然有一天D也来访问C的1433端口，这在历史记录中是从来没有的，就算一个访问路径上的异常；基于频率的异常也很好理解，比如加入域的办公电脑每天访问域进行认证的次数也就几次，突然有一天一个IP不断的向域进行认证尝试，超过我们系统设置或者学习到的阈值，也算异常。

如何实现这套系统？得先拿到流量进行分析，按时间、源IP、源端口、目标IP、目标端口、应用协议这六个元素来标识访问关系及统计访问频率，通过自学习模式生成白名单和profile规则，按照我们的管控规则自定义黑名单，对后续流量按照白名单、黑名单、profile规则的顺序进行匹配，对高风险事件进行实时告警。整个系统的处理逻辑如下图：

看起来比较简单，真正实现并纳入日常运维，中间的工作量还是蛮大的。结合我们实际的运维经验，有几个功能点需要考虑加入到系统中：

• 资产与业务的导入：在系统上线前，企业肯定已有大量的信息资产，需要支持批量导入功能，否则工作量巨大；

• 协议识别：包括常见的远程桌面、SSH、FTP等，还要能识别一些远程管理类工具包括pcanywhere、vnc等，甚至还需要结合客户网络环境定制一些特征识别一些应用；

• 自我学习：系统在线上可以进行自我学习，通过一段时间的积累可以生成一些规则供安全人员参考；

• 入侵防护功能：常见的扫描行为、流行的ms08067类漏洞利用、常见的sql注入、XSS攻击，传统的IPS都已经具备了，但针对我们提到的隐蔽隧道（ping tunnel、dns tunnel等）的发现，还是要依赖于入侵防护模块进行定制开发；

• SOC集成：发现的异常或可疑事件，需要与SOC对集，纳入日常安全运维进行跟踪与优化；

• Sniffer联动：对于产生的异常或可疑事件，可以自动或手动将对应的原始包抓回来以便进行更深入的分析；

• 处理性能：系统镜像的流量越多，对系统本身的性能要求就越高，处理延时可能会导致今天的事件明天才能看到，这样是无法满足要求的。

四、实际效果

该系统从2011年开始开发上线，截止到现在已经运行4年之久，这中间我们的红蓝对抗是在不断的进行中，我们的系统功能也是在不断的改进中。

增加协议识别后，基于协议与端口做一些规则，即可以发现一些可疑的行为，比如远程桌面运行在非3389端口，SSH运行在非22端口，如下图：

还可以识别到一些管理类协议比如pcanywhere、vnc，以及为了绕过我们检测的vpn等，如下图：

增加隐蔽隧道识别后，可以发现渗透测试人员的ptunnel行为，如下图：

以上截图都是内部真实渗透产生，所以隐去了一些IP相关信息。最后，还是想说的是，APT防护比拼的还是资源，投入大量人力物力财力去建设这些基础的安全系统，不见得适合所有的企业，请各位自行参考。

下篇预告：

金融企业安全建设探索之安全合规之路

----------------------------------------

想加入金融业企业信息安全群请联系微信公众号“君哥的体历”，后台留言，微信号+公司名称，验证身份后入群。

人生最美好的莫过于各种经历和难忘的体验，过程比较痛苦的，结果都还比较好。如果大家和我一样，在企业做安全中遇到各种颇为“痛苦”的体历，过后你一定会感谢和怀念这份体历的。

附注：

• 聂君，信息安全从业人员，十余年金融行业信息安全从业经历，默默无闻。好读书，不求甚解。性格开朗，爱好足球。

• 本订阅号文章是个人对工作生活的一些体验和经历分享，站在不同角度和立场解读会有偏差，见仁见智，不求正确统一，但求真、善、美。

  
  

  
  

图片说明：深圳市花----三角梅  (簕杜鹃)

长按识别二维码，和我交流。

本文始发于微信公众号（君哥的体历）：金融企业安全建设探索之异常访问检测系统