入侵检测101：清洗和重复

了解你的人际网络

我想分享这篇博客文章，这篇文章首先发表在www.netresec.com上，简要描述了一种通过分析网络流量来检测恶意软件和入侵的有效的无黑名单方法。我的方法依赖于白名单和常识性异常检测的结合（即不是学术统计异常检测算法，在现实中似乎从来没有工作过）。我也鼓励CERT/CSIRT/SOC/SecOps单位练习孙子的“认识你自己”，或者更确切地说，“了解你的系统和网络”的方法。

基于签名的检测系统的过时方法给今天的IT和安全操作带来了很高的管理负担，因为体育博彩平台推荐需要保持所有签名数据库的最新状态，无论是端点反病毒签名还是IDS规则，以及其他基于签名的检测方法和威胁馈送。许多组织可能花费更多的时间和金钱来更新所有这些黑名单和特征数据库，而不是实际调查这些检测系统生成的安全警报。

我的方法不依赖于任何黑魔法，它实际上只是一个简单的Rinse-Repeat方法建立在以下步骤：

1. 看看网络流量
2. 定义什么是正常（白名单）
3. 去除正常
4. 回到第一条……冲洗并重复

在循环执行这些步骤几次之后，您将得到一些奇怪的网络流量，这些流量具有很高的恶意比率。当然，这里的关键是要知道哪些流量可以归类为“正常”。这就是“了解你的系统和网络”的用武之地。

什么流量是正常的？

最近，当我读到迈克·普尔（Mike Poor）为克里斯·桑德斯（Chris Sanders）和杰森·史密斯（Jason Smith）的《应用NSM》撰写的前言时，我意识到他似乎也在思考同样的问题：

下次在控制台时，查看一些日志。你可能会想……“我不知道该找什么”。从你知道的、理解的、不关心的开始。丢弃那些。其他的都很有趣。

按照Mike的建议，体育博彩平台推荐可以将“正常”交通定义为：

• HTTP(S)通过标准端口（TCP 80和443）向Internet上流行的web服务器发送流量。
• 客户端网络和文件服务器之间的SMB流量。
• 从客户端到您的名称服务器的DNS查询在UDP 53上，其中服务器成功地回答了A， AAAA， CNAME， MX， NS或SOA记录。
• …在您的组织中正常的任何其他流量。 

将b谷歌、Facebook、微软和Akamai的IP范围列入“流行网络服务器”白名单将大大减少数据集，但这还远远不够。体育博彩平台推荐使用的一种方法是通过将Alexa的前100万列表中列出的域名的所有服务器分类为“流行”来执行DNS白名单。

您可能会争辩说，这种方法只是用新的白名单更新问题替换了旧的黑名单更新问题。嗯，是的，你在某种程度上是对的，但好的方面是，与黑名单相比，白名单随着时间的推移变化很小。所以你不需要经常更新。另一个巨大的好处是，白名单/清洗-重复方法还可以检测0天漏洞和未知恶意软件的C2流量，因为体育博彩平台推荐不是在寻找已知的恶意-只是奇怪的流量。

用冲洗重复狩猎

Mike Poor并不是唯一一个采用类似于Rinse-Repeat方法的事件处理者；Richard Bejtlich（前美国空军CERT和GECIRT成员）在他的书《网络安全监控的实践》中揭示了一些有价值的见解：

我经常使用Argus和Racluster通过命令行快速搜索大量会话数据集合，特别是对于意外条目。我不是搜索具体的数据，而是告诉阿格斯要省略什么，然后再检查剩下的数据．

Richard在他的书中还提到，他在进行“狩猎之旅”（即在没有收到IDS警报的情况下积极寻找入侵）时使用了类似的方法：

有时我通过告诉Wireshark忽略什么来寻找流量，这样我就可以检查留下的流量。我从一个简单的过滤器开始，检查结果，添加另一个过滤器，检查结果，以此类推，直到我剩下少量的流量来分析．

我个人认为Rinse-Repeat Intrusion Detection非常适合狩猎，特别是在您提供了一个大的PCAP数据集来回答经典问题“体育博彩平台推荐被黑客入侵了吗？”的情况下。然而，不幸的是，“黑名单心态”在事件响应者中是如此的局限，以至于他们经常选择通过黑名单和特征数据库来处理这些数据集，然后审查数千个充满误报的警报。在大多数情况下，这种方法只是对时间和计算能力的巨大浪费，我希望在未来看到事件响应者的心态发生变化。

我在Netresec的网络取证培训中教授这种“冲洗-重复”入侵检测方法。在本课程中，学生获得3.5 GB / 40000流的数据集的实践经验，然后通过冲洗-重复循环中的几次迭代将其减少到一小部分。PCAP数据集的其余部分具有非常高的黑客攻击比例，以及来自RAT，后门和僵尸网络的命令和控制流量。

下载指南《在安全项目中优化网络设计》，了解通过安全网络设计保护公司资产的最佳实践。