入侵检测之流量分析--识别常见恶意行为
字数 1491 2025-08-22 12:22:36

入侵检测之流量分析:识别常见恶意行为

前言

流量分析是入侵检测的核心技术之一,通过分析网络流量数据包来识别恶意行为。本文基于生产环境经验,系统性地介绍流量分析的基础知识和常见恶意行为的识别方法。

流量分析的特点

  1. 协议熟悉度:熟悉网络架构、协议及字段信息是关键
  2. 自动化思维:海量流量需要自动化分析工具和统计分析
  3. 异常行为识别:通过区分正常和非正常业务行为发现可疑活动
  4. 威胁情报依赖:重度依赖恶意IP、域名、文件HASH、JA3指纹等情报

分析前准备

1. 识别本地资产

  • 情况1:ABC三类私有地址IP与外部网络IP通讯(NAT转换前流量)
  • 情况2:本地出口公网IP与外部网络IP通讯(NAT转换后流量)
  • 情况3:内网非私有地址IP与外部网络IP通讯(公网地址私用情况)

2. 关注边界设备

  • 可被外部直接访问的资产(邮件、OA、官网等服务器)
  • 边界设备受控可能成为内网横向渗透的跳板

攻击链阶段分析

1. 侦察跟踪(信息搜集)

1.1 TCP端口扫描

  • 原理:通过TCP三次握手探测端口状态
    • 开放端口:响应SYN-ACK
    • 关闭端口:无响应
  • 扫描类型
    • 全开放扫描:完成三次握手
    • 半开放扫描:不回复第三次ACK
  • Wireshark过滤tcp.flags.syn==1&&tcp.dstport==[端口号]

1.2 漏洞扫描

  • 特征:短时间内大量HTTP请求(GET/POST方法)
  • 常见目标:WEB服务(OA、邮服、CMS、IOT设备等)
  • 检测方法:目录扫描告警(大量404响应)

2. 载荷投递

2.1 暴力破解

  • 常见协议:SSH、RDP、Telnet、FTP、MySQL等
  • 特征
    • 短时间内大量TCP会话建立和结束
    • 明文协议可见失败登录尝试
  • 识别成功登录
    • 明文协议:成功标识符
    • 加密协议:会话时长和数据量异常

2.2 SQL注入

  • 特征:HTTP请求中包含恶意SQL语句
  • 工具特征:sqlmap等工具产生的连续异常请求

3. 漏洞利用

  • 常见目标:对外开放的WEB服务
  • 应对策略:授权后自行测试已知漏洞

4. 植入驻留

  • 缓冲区溢出漏洞
    • Heartbleed(OpenSSL漏洞)
    • EternalBlue(Windows漏洞)
  • 检测方法:依赖特定协议字段分析

5. 远程控制

5.1 Webshell管理工具

  • 通用特征
    • HTTP POST方法
    • 服务器脚本语言后缀路径(.php/.jsp等)
    • 特定接收参数(如"aa")

5.2 冰蝎4.X特征

  • HTTP头特征
    Accept: application/json, text/javascript, */*; q=0.01
Accept-Encoding: identity
Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7
  • 其他特征
    • 大Content-Length(8240左右)
    • Keep-Alive连接
    • 本地端口在49700左右递增
    • PHP服务AES加密密文长度为16的整数倍(2022年8月前版本)

5.3 ICMP隧道

  • 特征
    • 异常数量的ICMP请求
    • 载荷非标准填充
    • 固定长度数据包

6. 系统破坏

6.1 挖矿行为

  • 常见协议:Stratum协议
  • 门罗币挖矿特征(XMRig/XMR-Stak/Claymore):
    • 明文JSON-RPC格式通讯
    • 特定方法(login/submit/job)
    • 包含挖矿相关参数(nonce/blob/target等)

总结

流量分析需要结合协议知识、异常行为识别和威胁情报,通过自动化工具辅助分析。关键点包括:

  1. 熟悉TCP/IP协议栈各层特征
  2. 掌握常见攻击工具的流量特征
  3. 建立正常业务流量基线以识别异常
  4. 持续更新威胁情报库
  5. 结合多维度证据进行综合研判

通过系统性地分析各攻击阶段的流量特征,可以有效识别网络中的恶意行为,为安全防护提供有力支持。

入侵检测之流量分析:识别常见恶意行为 前言 流量分析是入侵检测的核心技术之一,通过分析网络流量数据包来识别恶意行为。本文基于生产环境经验,系统性地介绍流量分析的基础知识和常见恶意行为的识别方法。 流量分析的特点 协议熟悉度 :熟悉网络架构、协议及字段信息是关键 自动化思维 :海量流量需要自动化分析工具和统计分析 异常行为识别 :通过区分正常和非正常业务行为发现可疑活动 威胁情报依赖 :重度依赖恶意IP、域名、文件HASH、JA3指纹等情报 分析前准备 1. 识别本地资产 情况1 :ABC三类私有地址IP与外部网络IP通讯(NAT转换前流量) 情况2 :本地出口公网IP与外部网络IP通讯(NAT转换后流量) 情况3 :内网非私有地址IP与外部网络IP通讯(公网地址私用情况) 2. 关注边界设备 可被外部直接访问的资产(邮件、OA、官网等服务器) 边界设备受控可能成为内网横向渗透的跳板 攻击链阶段分析 1. 侦察跟踪(信息搜集) 1.1 TCP端口扫描 原理 :通过TCP三次握手探测端口状态 开放端口:响应SYN-ACK 关闭端口:无响应 扫描类型 : 全开放扫描:完成三次握手 半开放扫描:不回复第三次ACK Wireshark过滤 : tcp.flags.syn==1&&tcp.dstport==[端口号] 1.2 漏洞扫描 特征 :短时间内大量HTTP请求(GET/POST方法) 常见目标 :WEB服务(OA、邮服、CMS、IOT设备等) 检测方法 :目录扫描告警(大量404响应) 2. 载荷投递 2.1 暴力破解 常见协议 :SSH、RDP、Telnet、FTP、MySQL等 特征 : 短时间内大量TCP会话建立和结束 明文协议可见失败登录尝试 识别成功登录 : 明文协议:成功标识符 加密协议:会话时长和数据量异常 2.2 SQL注入 特征 :HTTP请求中包含恶意SQL语句 工具特征 :sqlmap等工具产生的连续异常请求 3. 漏洞利用 常见目标 :对外开放的WEB服务 应对策略 :授权后自行测试已知漏洞 4. 植入驻留 缓冲区溢出漏洞 : Heartbleed(OpenSSL漏洞) EternalBlue(Windows漏洞) 检测方法 :依赖特定协议字段分析 5. 远程控制 5.1 Webshell管理工具 通用特征 : HTTP POST方法 服务器脚本语言后缀路径(.php/.jsp等) 特定接收参数(如"aa") 5.2 冰蝎4.X特征 HTTP头特征 : 其他特征 : 大Content-Length(8240左右) Keep-Alive连接 本地端口在49700左右递增 PHP服务AES加密密文长度为16的整数倍(2022年8月前版本) 5.3 ICMP隧道 特征 : 异常数量的ICMP请求 载荷非标准填充 固定长度数据包 6. 系统破坏 6.1 挖矿行为 常见协议 :Stratum协议 门罗币挖矿特征 (XMRig/XMR-Stak/Claymore): 明文JSON-RPC格式通讯 特定方法(login/submit/job) 包含挖矿相关参数(nonce/blob/target等) 总结 流量分析需要结合协议知识、异常行为识别和威胁情报,通过自动化工具辅助分析。关键点包括: 熟悉TCP/IP协议栈各层特征 掌握常见攻击工具的流量特征 建立正常业务流量基线以识别异常 持续更新威胁情报库 结合多维度证据进行综合研判 通过系统性地分析各攻击阶段的流量特征,可以有效识别网络中的恶意行为,为安全防护提供有力支持。