网络攻击检测监控规范

网络攻击检测监控规范一、概述

网络攻击检测监控是保障信息系统安全的关键环节，旨在及时发现并响应潜在威胁，维护网络环境的稳定运行。本规范旨在提供一套系统化的检测监控方法，包括策略制定、技术实现、操作流程及应急响应等内容，确保组织能够有效防范各类网络攻击。

---

二、检测监控策略制定

为确保网络攻击检测监控的全面性与有效性，需从以下几个方面制定策略：

（一）监控范围确定

1.核心系统优先：优先监控关键业务系统、数据库、服务器等核心基础设施。

2.边界防护强化：对网络出口、VPN接入点等边界设备实施重点监控。

3.动态调整：根据业务变化或威胁情报，定期更新监控范围。

（二）监控指标选择

1.基础指标：包括流量异常、端口扫描、登录失败次数等。

2.高级指标：如恶意软件特征码、异常行为模式（如权限提升、数据外传）。

3.合规要求：根据行业规范（如ISO27001）选择必要监控指标。

（三）技术手段配置

1.部署入侵检测系统（IDS）：实时分析网络流量，识别攻击行为。

2.日志整合：统一收集防火墙、服务器、应用日志，便于关联分析。

3.威胁情报接入：订阅外部威胁情报源，补充实时攻击特征。

---

三、技术实现要点

（一）实时检测技术

1.基于签名的检测：匹配已知攻击特征库，快速识别威胁。

-示例：使用Snort规则库检测端口扫描。

2.异常行为分析：通过机器学习算法识别偏离正常模式的操作。

-示例：检测用户在非工作时间频繁访问敏感文件。

（二）日志分析流程

1.收集与存储：

-使用ELK（Elasticsearch+Logstash+Kibana）或SIEM平台集中存储日志。

-存储周期建议：至少保留6个月。

2.关联分析：

-对比不同系统日志，定位攻击链路径。

-示例：关联防火墙日志与数据库审计日志，排查未授权访问。

（三）可视化与告警

1.仪表盘设计：

-重点展示攻击趋势、高优先级告警、资产风险等级。

2.告警分级：

-严重级：立即响应（如DDoS攻击）；

-警告级：30分钟内处理（如频繁登录失败）；

-信息级：每日汇总分析（如配置变更）。

---

四、操作流程规范

（一）日常监控

1.巡检频率：

-严重告警：每5分钟确认一次；

-警告级告警：每30分钟确认一次。

2.误报处理：

-记录误报案例，优化检测规则。

（二）应急响应步骤

1.初步处置（StepbyStep）：

-(1)隔离受感染设备；

-(2)禁用异常账户；

-(3)保存现场日志。

2.溯源分析：

-回溯攻击路径，识别攻击者工具或手法。

3.修复与加固：

-补丁更新、策略调整、漏洞修复。

---

五、维护与优化

（一）定期评估

1.效果评估：

-每季度统计检测准确率（如误报率<5%）。

2.流程改进：

-根据实际案例调整监控策略。

（二）人员培训

1.培训内容：

-攻击类型识别、应急响应操作、工具使用。

2.考核机制：

-模拟攻击场景，检验团队响应能力。

---

六、附录

（一）常用检测工具列表

|工具名称|功能说明|

|----------------|------------------------|

|Snort|网络入侵检测系统|

|Suricata|高性能IDS/IPS平台|

|Wazuh|开源日志管理系统|

（二）示例监控规则片段

Snort规则示例（检测SQL注入）

alerttcpanyany->any80(msg:"SQLInjectionAttempt";content:"'OR'1'='1";content:"--";sid:100001;rev:1;)

---

一、概述

网络攻击检测监控是保障信息系统安全的关键环节，旨在及时发现并响应潜在威胁，维护网络环境的稳定运行。本规范旨在提供一套系统化的检测监控方法，包括策略制定、技术实现、操作流程及应急响应等内容，确保组织能够有效防范各类网络攻击。检测监控的核心目标是实现威胁的早发现、早预警、早处置，将攻击造成的损失降至最低。这需要结合组织的具体业务需求、网络架构和技术能力，构建一个多层次、全方位的监控体系。本规范将详细阐述如何构建和运维这样一个体系。

---

二、检测监控策略制定

为确保网络攻击检测监控的全面性与有效性，需从以下几个方面制定策略：

（一）监控范围确定

1.核心系统优先：优先监控关键业务系统、数据库、服务器等核心基础设施。

-具体说明：需识别对组织运营至关重要的系统，如核心交易系统、客户关系管理系统（CRM）、生产控制系统（SCADA，若适用）、域名系统（DNS）服务器、邮件服务器等。对这些系统应实施最高级别的监控，包括实时流量分析、异常登录检测、配置变更审计等。

2.边界防护强化：对网络出口、VPN接入点等边界设备实施重点监控。

-具体说明：网络出口是外部网络与内部网络交互的主要通道，是攻击者进入的常见入口。应部署入侵防御系统（IPS）或下一代防火墙（NGFW）并开启深度包检测（DPI）功能，监控进出流量的协议合规性、恶意IP地址、可疑端口使用等。VPN接入点需监控VPN用户的登录行为、数据传输模式，以及是否存在异常的连接尝试。

3.动态调整：根据业务变化或威胁情报，定期更新监控范围。

-具体说明：随着业务发展，新的系统、应用或网络连接可能会被引入。同时，新的攻击手法往往针对新兴技术和应用。因此，监控范围不应是静态的，应至少每季度进行一次评估，根据业务部门的反馈、安全审计结果以及外部威胁情报（如恶意IP库、漏洞信息）的变化，及时扩展或缩减监控范围。建立变更管理流程，确保所有变更都能被纳入监控视野。

（二）监控指标选择

1.基础指标：包括流量异常、端口扫描、登录失败次数等。

-具体说明：

-流量异常：监控网络带宽的突发性增长、协议分布的剧烈变化（如短时间内出现大量HTTP请求）、特定IP地址的异常出流量等。

-端口扫描：检测针对系统开放端口的扫描尝试，特别是非标准端口或高危端口（如22,23,3389）的扫描。记录扫描频率、目标端口、使用的扫描工具特征（如TCPSYN扫描、UDP扫描）。

-登录失败次数：监控管理员账户、关键业务系统账户的连续失败登录尝试。设定阈值，例如在5分钟内超过10次失败尝试，应视为潜在暴力破解攻击。记录失败时间、来源IP、尝试的凭证信息（可脱敏处理）。

2.高级指标：如恶意软件特征码、异常行为模式（如权限提升、数据外传）。

-具体说明：

-恶意软件特征码：集成威胁情报源，实时更新并匹配已知恶意软件的特征码（如病毒库、木马签名）。监控终端上发现、清除或传播恶意软件的行为。

-异常行为模式：利用用户行为分析（UBA）或终端检测与响应（EDR）技术，检测以下异常：

-权限提升：用户或进程尝试获取超出其正常权限的操作，如修改系统关键文件、加入管理员组。

-数据外传：在非工作时间、异常时间段或非授权出口大量导出敏感数据（如财务报表、客户名单）。

-进程异常：不常见的进程创建、可疑的进程注入、系统关键进程被替换。

-文件修改：对系统文件、配置文件、日志文件的未授权修改或删除。

3.合规要求：根据行业规范（如ISO27001）选择必要监控指标。

-具体说明：某些行业（如金融、医疗）可能有特定的监管要求，规定了必须监控的数据或事件类型。ISO27001信息安全管理体系标准建议组织监控与其风险相关的安全事件，例如未授权访问尝试、系统漏洞、数据泄露事件等。应根据组织的认证状态或合规目标，将这些要求转化为具体的监控指标。

（三）技术手段配置

1.部署入侵检测系统（IDS）：实时分析网络流量，识别攻击行为。

-具体说明：

-选择类型：根据部署位置选择网络基础架构层IDS（如NIDS）或主机基础架构层IDS（如HIDS）。NIDS部署在网络关键节点，监控通过该节点的流量；HIDS部署在终端或服务器上，监控本地活动。对于混合部署，需确保日志能被统一收集分析。

-规则配置：基于社区规则库（如Snort规则库、Suricata规则库）和自定义规则，覆盖常见的攻击类型，如网络扫描、拒绝服务攻击（DoS）、SQL注入、跨站脚本（XSS）尝试等。定期更新规则库，并根据实际环境调整规则优先级和阈值，减少误报。

-深度包检测（DPI）：启用DPI功能以深入分析应用层协议内容，提高检测准确性，尤其是在检测加密流量中的威胁时（需结合解密策略）。

2.日志整合：统一收集防火墙、服务器、应用日志，便于关联分析。

-具体说明：

-日志来源：包括但不限于防火墙/NGFW、路由器、交换机、IDS/IPS、VPN设备、服务器（操作系统、应用、数据库）、终端检测与响应（EDR）系统、身份认证系统（如RADIUS）等。

-收集方式：采用Syslog、SNMPTrap、Webhook或专用日志收集器（如Beats、Logstash）进行日志收集。确保日志传输过程加密（如TLS），防止日志在传输中被窃取。

-存储与管理：将收集到的日志统一存储在日志管理系统（如ELKStack、Splunk、Loki）或SIEM（安全信息和事件管理）平台中，建立索引，支持快速检索和关联分析。设定合理的日志保留周期（如前文所述建议至少6个月）。

3.威胁情报接入：订阅外部威胁情报源，补充实时攻击特征。

-具体说明：

-情报类型：订阅内容包括恶意IP地址/域名列表、恶意软件家族信息、攻击组织TTP（战术、技术和过程）、漏洞信息（CVE）、黑名单URL等。

-集成方式：将威胁情报平台（如AlienVaultOTX、MISP、商业威胁情报平台）与IDS/IPS、防火墙、EDR等安全设备或分析平台集成，实现自动化的威胁情报更新和应用。例如，自动将新的恶意IP列表导入防火墙进行封禁，或触发EDR对已知恶意软件样本进行排查。

-自定义情报：鼓励组织积累内部威胁情报，如捕获到的内部攻击样本、异常行为模式，并分享给团队或社区。

---

三、技术实现要点

（一）实时检测技术

1.基于签名的检测：匹配已知攻击特征库，快速识别威胁。

-具体说明：

-原理：通过比对网络流量或文件内容与已知的恶意模式（如攻击载荷、恶意软件签名、恶意URL）进行匹配，实现快速识别。

-应用场景：对已知病毒传播、已知漏洞利用、已知攻击工具使用等场景效果显著。是安全防护的第一道防线。

-工具示例：Snort,Suricata,Fail2ban（主要用于终端或服务器）。

-局限：无法检测未知威胁（Zero-day攻击）或经过变形的已知威胁。需要持续更新特征库。

2.异常行为分析：通过机器学习算法识别偏离正常模式的操作。

-具体说明：

-原理：基于统计学或机器学习模型，学习正常行为基线，当检测到偏离基线显著的行为时，判定为潜在异常或攻击。

-应用场景：检测内部威胁、APT（高级持续性威胁）、未知攻击、账户滥用等。例如，通过分析用户登录地点、时间、访问资源类型，发现某账户突然从异常地点登录或在非工作时间访问大量敏感文件。

-技术方法：包括统计异常检测（如基线漂移检测）、用户行为分析（UBA）、主机行为分析（HBA）、机器学习模型（如分类算法、聚类算法）。

-工具示例：SplunkUserBehaviorAnalytics(UBA),ElasticSIEM的UserEntityBehaviorAnalytics(UEBA),CrowdStrikeFalcon,MandiantMandiantEndpointIntelligence(MEI)。

-数据需求：需要较长时间的正常行为数据用于模型训练。对数据质量要求高。

（二）日志分析流程

1.收集与存储：

-具体说明：

-收集策略：

-定义各日志源需要收集的具体日志类型（如防火墙的连接日志、系统日志、应用访问日志、错误日志）。

-配置Syslog等级（如warning,error,critical），避免收集过多冗余信息。

-确保日志收集的可靠性，采用至少两个日志收集器实现冗余，避免单点故障。

-设置合适的采集频率（如5-15分钟采集一次）。

-存储方案：

-选择合适的存储介质（如磁盘、SSD、对象存储）。

-设计分片和分区策略，按时间、来源IP、日志类型等维度进行组织，便于管理和查询。

-考虑数据压缩和去重，优化存储空间。

-确保存储介质的物理安全。

2.关联分析：

-具体说明：

-关联维度：

-时间关联：将不同来源的日志按时间戳进行对齐，寻找时间上的先后顺序和因果关系。例如，结合防火墙的连接日志和主机的登录日志，确定某IP地址是在哪个时间点成功登录并访问了内部资源。

-IP地址关联：将多个日志中出现的IP地址进行聚合，分析其行为模式。例如，多个主机日志显示同一IP地址在短时间内发起大量连接尝试，可能构成DDoS攻击或扫描行为。

-用户/会话关联：将用户身份认证日志（如Radius）与后续的应用访问日志关联，分析特定用户的行为。例如，某用户登录后访问了异常类型的资源。

-事件类型关联：将不同系统日志中的相关事件串联起来。例如，先有防火墙告警某IP扫描端口，后有主机告警该IP成功连接并尝试提权。

-工具与技术：

-SIEM平台：提供内置的关联分析引擎和预定义的关联规则（如用户登录失败与后续的异常文件访问关联）。

-日志分析工具：如Splunk的Lookups和SearchCommands，Elasticsearch的Join和ScriptedFields。

-规则引擎：自定义编写关联规则，提高检测特定威胁的效率。

-价值：将孤立的告警点串联成完整的攻击链，帮助安全分析人员更准确地理解攻击意图和影响范围。

（三）可视化与告警

1.仪表盘设计：

-具体说明：

-核心指标展示：

-实时网络流量图（带宽、连接数）。

-告警总数及分级（严重/警告/信息）统计和趋势图。

-高危资产（如存在漏洞的设备、被入侵的终端）列表及状态。

-实时安全事件地图（展示事件发生的地理位置）。

-定制化视图：为不同角色（如安全运营中心SOC分析师、网络管理员、应用负责人）提供个性化的仪表盘视图。

-交互性：支持下钻、筛选、联动查询等功能，方便分析师深入调查。

-工具示例：ElasticKibana,Grafana,SplunkDashboards。

2.告警分级：

-具体说明：

-分级标准：

-严重级（Critical）：可能导致系统瘫痪、大量数据泄露、业务中断的攻击。例如：大规模DDoS攻击导致服务不可用、已知零日漏洞被利用导致系统被控制、核心数据库被非法访问。响应要求：立即处理，通常需要安全团队24小时内响应。

-警告级（Warning）：潜在风险较高，需要关注和及时处理的事件。例如：多次失败的登录尝试、可疑的端口扫描活动、系统配置异常变更、未知恶意软件特征码在终端出现。响应要求：在规定时间内（如30分钟、1小时）确认并处理。

-信息级（Informational）：一般性安全事件或配置变更，风险较低，用于趋势分析和合规审计。例如：安全策略更新、用户权限变更日志、常规的病毒扫描活动。响应要求：按需记录或每日汇总分析。

-告警通知：

-配置多级告警通知渠道，确保关键告警能及时触达相关人员。例如：严重告警通过短信、电话、即时通讯工具（如钉钉、企业微信）强推；警告级告警通过邮件或内部告警平台发送。

-避免告警疲劳：优化告警规则，减少无效告警；提供告警抑制功能（如短时间内重复告警只发送一次）。

-告警确认机制：建立告警确认流程，防止告警无人处理。

---

四、操作流程规范

（一）日常监控

1.巡检频率：

-具体说明：

-严重告警：要求5分钟内响应确认初步情况（如攻击是否仍在持续、影响范围多大）。30分钟内应完成初步分析并制定初步处置方案。

-警告级告警：要求30分钟内确认告警有效性（是误报还是真实威胁）。2小时内完成初步分析。

-信息级告警：每日汇总，用于趋势分析、容量规划和安全报告。

-仪表盘/趋势图：要求每日至少查看一次核心监控指标，了解整体安全态势。

2.误报处理：

-具体说明：

-记录与分析：详细记录误报事件，分析误报原因（如规则过于敏感、正常业务被误判、数据质量问题）。

-规则调优：根据分析结果，调整或关闭相应的检测规则，优化阈值。

-知识库建设：将误报案例及处理方法记录在知识库中，供团队成员参考，减少未来误报。

-定期回顾：每周或每月回顾误报率，评估规则优化效果。误报率应控制在可接受范围内（如5%以下）。

（二）应急响应步骤

1.初步处置（StepbyStep）：

-具体说明：

-(1)隔离受感染设备：

-目的：切断攻击源与网络的连接，阻止攻击扩散。

-操作：对于疑似被入侵的服务器或终端，立即断开网络连接（物理断开或通过防火墙策略阻断），如果可能，断开与关键服务的连接（如数据库连接）。

-注意：隔离操作需谨慎，需评估对业务的影响，并通知相关业务部门。

-(2)禁用异常账户：

-目的：阻止攻击者使用被盗或被控制的账户进一步渗透。

-操作：立即禁用出现异常登录行为或权限提升的账户，包括管理员账户和普通用户账户。

-注意：需在记录日志后执行，并确保有替代账户或临时方案维持基本业务。

-(3)保存现场日志：

-目的：获取攻击证据，用于后续溯源分析。

-操作：在执行隔离和账户禁用等操作前，尽可能完整地备份受影响系统的内存转储（MemoryDump）、系统日志、应用日志、安全设备日志等。

-注意：确保日志的完整性和未被篡改。如果系统已被严重破坏，可能无法获取完整内存转储。

-(4)通报与协调：

-目的：启动应急响应流程，确保相关人员知晓。

-操作：通知组织内的安全负责人、IT运维团队、管理层以及可能受影响的业务部门。

-注意：通报应清晰说明已知情况、潜在影响和初步处置措施。

-(5)等待进一步分析：

-目的：为深入调查提供时间窗口。

-操作：在初步处置后，保持与安全分析团队的沟通，等待更详细的分析结果，并根据分析结果执行后续步骤。

2.溯源分析：

-具体说明：

-方法：

-日志链分析：追溯攻击发生的时间线，从检测到的第一个告警点开始，串联防火墙、IDS、主机、应用等各层日志，重建攻击路径。

-攻击特征提取：分析捕获到的攻击载荷、使用的工具、IP地址、域名、TTPs（战术、技术和过程），识别攻击者的类型和意图。

-链路追踪：如果可能，追踪攻击流量在网络中的传输路径。

-恶意软件分析（如适用）：对捕获的恶意软件样本进行静态和动态分析，了解其功能、传播方式和持久化机制。

-工具：SIEM平台、日志分析工具、网络流量分析工具（如Wireshark）、终端取证工具（如Cameyo,Volatility）、恶意软件分析沙箱。

-目标：确定攻击者的入侵入口、横向移动路径、控制目标、造成的损害范围，以及攻击是否仍在持续。

3.修复与加固：

-具体说明：

-漏洞修复：针对攻击利用的漏洞，及时应用官方补丁或采取临时缓解措施（如调整配置）。

-配置恢复：将受影响系统的配置恢复到安全状态，如重置弱密码、恢复被篡改的文件、关闭不必要的端口和服务。

-策略强化：根据溯源分析结果，调整安全策略，如更新防火墙规则、调整入侵检测规则、增强身份认证机制（如引入MFA）。

-系统恢复：在确认安全风险已消除后，将隔离的系统和数据恢复上线。

-验证：恢复上线后，持续监控一段时间，确保攻击已被彻底清除且未造成二次损害。

---

五、维护与优化

（一）定期评估

1.效果评估：

-具体说明：

-检测能力评估：

-统计周期内（如每季度）检测到的攻击事件数量、类型、成功与失败率。

-计算检测率（TruePositiveRate）和误报率（FalsePositiveRate）。

-评估对业务中断的减少程度（如相比上一周期，业务中断时间缩短了多少）。

-响应效率评估：

-统计从告警产生到事件处置完成的平均时间（MTTD-MeanTimeToDetect，MTTR-MeanTimeToRespond，MTFS-MeanTimeToFix）。

-分析响应过程中的瓶颈和问题。

-资源使用评估：

-监控安全设备（CPU、内存、存储）的性能，评估资源是否满足需求。

-评估人力投入是否合理。

2.流程改进：

-具体说明：

-复盘会议：定期（如每月或每季度）召开安全事件复盘会议，回顾发生的安全事件、处置过程、经验教训，修订监控策略和应急响应流程。

-规则库维护：定期审查和更新检测规则库，移除失效规则，添加针对新威胁的规则。

-工具性能调优：根据评估结果，调整安全设备的参数（如IDS的检测模式、日志收集的频率、关联规则的阈值），优化性能。

（二）人员培训

1.培训内容：

-具体说明：

-基础安全意识：所有员工需了解基本的安全概念（如密码安全、钓鱼邮件识别、安全设备作用）。

-岗位技能培训：

-SOC分析师：SIEM平台使用、告警分析、事件调查、应急响应流程、威胁情报解读。

-安全工程师：安全设备配置与调优、漏洞扫描与修复、安全策略制定、应急响应技术。

-IT运维人员：安全日志解读、安全事件初步处置、配合安全团队工作。

-实战演练：

-桌面推演：模拟简单场景，检验团队成员对流程的理解和配合。

-模拟攻击：使用合法的渗透测试工具或红蓝对抗平台，模拟真实攻击场景，检验检测监控体系的实战效果和团队的应急响应能力。

2.考核机制：

-具体说明：

-定期考核：通过笔试、模拟场景操作等方式，检验人员对知识和技能的掌握程度。

-绩效关联：将安全职责和演练/事件处置表现纳入相关人员（尤其是安全团队）的绩效考核。

-持续学习：鼓励员工参加外部安全会议、获取专业认证（如CISSP,CISP,OSCP等），跟踪最新的安全技术和威胁动态。建立内部知识分享机制。

---

六、附录

（一）常用检测工具列表

|工具名称|功能说明|典型应用场景|

|----------------|--------------------------------------------------------------|--------------------------------------------------|

|Snort|基于网络的入侵检测系统（NIDS），支持签名检测和异常检测|网络边界流量监控、恶意流量检测|

|Suricata|高性能网络威胁检测引擎，支持NIDS/HIDS/IPS，开源免费|综合性安全监控、实时威胁防护|

|Wazuh|开源日志管理系统，集成Syslog、SNMPTrap，支持规则驱动的日志分析|日志集中收集、关联分析、告警|

|ELKStack(Elasticsearch,Logstash,Kibana)|分布式日志分析平台，支持海量数据存储、实时搜索、可视化展示|日志存储、检索、关联分析、安全仪表盘构建|

|Splunk|商业日志分析和威胁检测平台，功能全面但需付费|企业级日志管理、安全信息与事件管理（SIEM）|

|SplunkUBA|用户行为分析模块，基于机器学习检测内部威胁和异常行为|内部账号滥用、数据泄露检测|

|ElasticSIEM|ElasticStack的商业SIEM版本，整合UEBA、威胁狩猎等功能|全面安全监控、合规审计、威胁主动发现|

|Fail2ban|开源入侵防御工具，基于日志监控自动封禁攻击源IP|保护服务器免受暴力破解攻击|

|OpenVAS|开源漏洞扫描器，定期扫描网络资产漏洞|系统漏洞发现、风险评估、补丁管理辅助|

|Nmap|网络扫描工具，可用于发现活主机、开放端口、操作系统识别|网络资产发现、安全配置核查、攻击侦察|

|Wireshark|网络协议分析工具，用于捕获和分析网络流量包|网络问题排查、攻击手法分析（离线分析）|

|MandiantEndpointIntelligence(MEI)|基于终端的威胁情报和检测平台，结合终端数据与威胁情报|终端威胁检测、攻击溯源、恶意软件分析|

|CrowdStrikeFalcon|终端检测与响应（EDR）平台，提供终端监控、威胁检测和响应能力|终端安全防护、高级威胁检测、攻击溯源|

|MISP|开源威胁信息共享平台，用于收集、分析和共享威胁情报|威胁情报收集、共享、关联分析|

|AlienVaultOTX|开源威胁情报平台，提供威胁情报搜索、订阅和可视化|威胁情报获取、关联威胁情报告警|

（二）示例监控规则片段

1.Snort规则示例（检测SQL注入尝试-基于Web请求体）

```snort

alerttcpanyany->any80(msg:"PotentialSQLInjectionAttemptdetected";

content:"'OR'1'='1'--";

content:"'OR'1'='1'%00";

content:"'OR'1'='1'";

content:"UNIONSELECTnull--";

content:"SELECTFROMusers--";

threshold:typeboth,trackbysrcip,count2,level2;

sid:100001;

rev:1;

meta:attack_id=1234;

)

```

说明：

-`msg`：告警信息描述。

-`content`：检测内容，列出了几种常见的SQL注入特征字符串。

-`threshold`：告警阈值，当同一源IP在2分钟内触发2次以上相似告警时，提升告警级别为严重（level2）。

-`sid`：规则唯一标识符。

-`rev`：规则版本。

2.Suricata规则示例（检测异常登录行为-基于SSH登录日志）

```suricata

alerttcpanyany->any22(msg:"MultiplefailedSSHloginattemptsfromIP";

content:"Failedpassword";

content:"from";

content:"port";

content:"[0-9]+";

content:"protocol";

content:"ssh";

threshold:typeboth,trackbysrcip,count5,within10m;

classtype:attempted-admin;

sid:200001;

rev:1;

)

```

说明：

-`classtype`：定义告警类型为“尝试执行管理操作”，便于后续关联分析。

-`threshold`：当同一源IP在10分钟内出现5次以上SSH登录失败日志时触发告警。

3.ElasticSIEM规则示例（使用EQL-ElasticQueryLanguage检测异常文件访问-基于Windows事件日志）

```eql

event.type:windows-event

event.category:file-share

event.action:write

file.path:/path/to/sensitive/datastore/.

:NOTadministrator

:NOTdomainadmin

:NOTserviceaccount

timerange:hoursAgo(24)

|statscountby,file.path

|wherecount>1

|sortdesccount

|limit10

```

说明：

-查询过去24小时内，非管理员、非域管理员、非服务账户用户，对敏感数据存储路径进行写操作的日志。

-统计每个用户对每个敏感文件路径的访问次数，筛选出访问次数超过1次的记录。

-按访问次数降序排列，显示Top10异常访问情况。

---

一、概述

网络攻击检测监控是保障信息系统安全的关键环节，旨在及时发现并响应潜在威胁，维护网络环境的稳定运行。本规范旨在提供一套系统化的检测监控方法，包括策略制定、技术实现、操作流程及应急响应等内容，确保组织能够有效防范各类网络攻击。

---

二、检测监控策略制定

为确保网络攻击检测监控的全面性与有效性，需从以下几个方面制定策略：

（一）监控范围确定

1.核心系统优先：优先监控关键业务系统、数据库、服务器等核心基础设施。

2.边界防护强化：对网络出口、VPN接入点等边界设备实施重点监控。

3.动态调整：根据业务变化或威胁情报，定期更新监控范围。

（二）监控指标选择

1.基础指标：包括流量异常、端口扫描、登录失败次数等。

2.高级指标：如恶意软件特征码、异常行为模式（如权限提升、数据外传）。

3.合规要求：根据行业规范（如ISO27001）选择必要监控指标。

（三）技术手段配置

1.部署入侵检测系统（IDS）：实时分析网络流量，识别攻击行为。

2.日志整合：统一收集防火墙、服务器、应用日志，便于关联分析。

3.威胁情报接入：订阅外部威胁情报源，补充实时攻击特征。

---

三、技术实现要点

（一）实时检测技术

1.基于签名的检测：匹配已知攻击特征库，快速识别威胁。

-示例：使用Snort规则库检测端口扫描。

2.异常行为分析：通过机器学习算法识别偏离正常模式的操作。

-示例：检测用户在非工作时间频繁访问敏感文件。

（二）日志分析流程

1.收集与存储：

-使用ELK（Elasticsearch+Logstash+Kibana）或SIEM平台集中存储日志。

-存储周期建议：至少保留6个月。

2.关联分析：

-对比不同系统日志，定位攻击链路径。

-示例：关联防火墙日志与数据库审计日志，排查未授权访问。

（三）可视化与告警

1.仪表盘设计：

-重点展示攻击趋势、高优先级告警、资产风险等级。

2.告警分级：

-严重级：立即响应（如DDoS攻击）；

-警告级：30分钟内处理（如频繁登录失败）；

-信息级：每日汇总分析（如配置变更）。

---

四、操作流程规范

（一）日常监控

1.巡检频率：

-严重告警：每5分钟确认一次；

-警告级告警：每30分钟确认一次。

2.误报处理：

-记录误报案例，优化检测规则。

（二）应急响应步骤

1.初步处置（StepbyStep）：

-(1)隔离受感染设备；

-(2)禁用异常账户；

-(3)保存现场日志。

2.溯源分析：

-回溯攻击路径，识别攻击者工具或手法。

3.修复与加固：

-补丁更新、策略调整、漏洞修复。

---

五、维护与优化

（一）定期评估

1.效果评估：

-每季度统计检测准确率（如误报率<5%）。

2.流程改进：

-根据实际案例调整监控策略。

（二）人员培训

1.培训内容：

-攻击类型识别、应急响应操作、工具使用。

2.考核机制：

-模拟攻击场景，检验团队响应能力。

---

六、附录

（一）常用检测工具列表

|工具名称|功能说明|

|----------------|------------------------|

|Snort|网络入侵检测系统|

|Suricata|高性能IDS/IPS平台|

|Wazuh|开源日志管理系统|

（二）示例监控规则片段

Snort规则示例（检测SQL注入）

alerttcpanyany->any80(msg:"SQLInjectionAttempt";content:"'OR'1'='1";content:"--";sid:100001;rev:1;)

---

一、概述

网络攻击检测监控是保障信息系统安全的关键环节，旨在及时发现并响应潜在威胁，维护网络环境的稳定运行。本规范旨在提供一套系统化的检测监控方法，包括策略制定、技术实现、操作流程及应急响应等内容，确保组织能够有效防范各类网络攻击。检测监控的核心目标是实现威胁的早发现、早预警、早处置，将攻击造成的损失降至最低。这需要结合组织的具体业务需求、网络架构和技术能力，构建一个多层次、全方位的监控体系。本规范将详细阐述如何构建和运维这样一个体系。

---

二、检测监控策略制定

为确保网络攻击检测监控的全面性与有效性，需从以下几个方面制定策略：

（一）监控范围确定

1.核心系统优先：优先监控关键业务系统、数据库、服务器等核心基础设施。

-具体说明：需识别对组织运营至关重要的系统，如核心交易系统、客户关系管理系统（CRM）、生产控制系统（SCADA，若适用）、域名系统（DNS）服务器、邮件服务器等。对这些系统应实施最高级别的监控，包括实时流量分析、异常登录检测、配置变更审计等。

2.边界防护强化：对网络出口、VPN接入点等边界设备实施重点监控。

-具体说明：网络出口是外部网络与内部网络交互的主要通道，是攻击者进入的常见入口。应部署入侵防御系统（IPS）或下一代防火墙（NGFW）并开启深度包检测（DPI）功能，监控进出流量的协议合规性、恶意IP地址、可疑端口使用等。VPN接入点需监控VPN用户的登录行为、数据传输模式，以及是否存在异常的连接尝试。

3.动态调整：根据业务变化或威胁情报，定期更新监控范围。

-具体说明：随着业务发展，新的系统、应用或网络连接可能会被引入。同时，新的攻击手法往往针对新兴技术和应用。因此，监控范围不应是静态的，应至少每季度进行一次评估，根据业务部门的反馈、安全审计结果以及外部威胁情报（如恶意IP库、漏洞信息）的变化，及时扩展或缩减监控范围。建立变更管理流程，确保所有变更都能被纳入监控视野。

（二）监控指标选择

1.基础指标：包括流量异常、端口扫描、登录失败次数等。

-具体说明：

-流量异常：监控网络带宽的突发性增长、协议分布的剧烈变化（如短时间内出现大量HTTP请求）、特定IP地址的异常出流量等。

-端口扫描：检测针对系统开放端口的扫描尝试，特别是非标准端口或高危端口（如22,23,3389）的扫描。记录扫描频率、目标端口、使用的扫描工具特征（如TCPSYN扫描、UDP扫描）。

-登录失败次数：监控管理员账户、关键业务系统账户的连续失败登录尝试。设定阈值，例如在5分钟内超过10次失败尝试，应视为潜在暴力破解攻击。记录失败时间、来源IP、尝试的凭证信息（可脱敏处理）。

2.高级指标：如恶意软件特征码、异常行为模式（如权限提升、数据外传）。

-具体说明：

-恶意软件特征码：集成威胁情报源，实时更新并匹配已知恶意软件的特征码（如病毒库、木马签名）。监控终端上发现、清除或传播恶意软件的行为。

-异常行为模式：利用用户行为分析（UBA）或终端检测与响应（EDR）技术，检测以下异常：

-权限提升：用户或进程尝试获取超出其正常权限的操作，如修改系统关键文件、加入管理员组。

-数据外传：在非工作时间、异常时间段或非授权出口大量导出敏感数据（如财务报表、客户名单）。

-进程异常：不常见的进程创建、可疑的进程注入、系统关键进程被替换。

-文件修改：对系统文件、配置文件、日志文件的未授权修改或删除。

3.合规要求：根据行业规范（如ISO27001）选择必要监控指标。

-具体说明：某些行业（如金融、医疗）可能有特定的监管要求，规定了必须监控的数据或事件类型。ISO27001信息安全管理体系标准建议组织监控与其风险相关的安全事件，例如未授权访问尝试、系统漏洞、数据泄露事件等。应根据组织的认证状态或合规目标，将这些要求转化为具体的监控指标。

（三）技术手段配置

1.部署入侵检测系统（IDS）：实时分析网络流量，识别攻击行为。

-具体说明：

-选择类型：根据部署位置选择网络基础架构层IDS（如NIDS）或主机基础架构层IDS（如HIDS）。NIDS部署在网络关键节点，监控通过该节点的流量；HIDS部署在终端或服务器上，监控本地活动。对于混合部署，需确保日志能被统一收集分析。

-规则配置：基于社区规则库（如Snort规则库、Suricata规则库）和自定义规则，覆盖常见的攻击类型，如网络扫描、拒绝服务攻击（DoS）、SQL注入、跨站脚本（XSS）尝试等。定期更新规则库，并根据实际环境调整规则优先级和阈值，减少误报。

-深度包检测（DPI）：启用DPI功能以深入分析应用层协议内容，提高检测准确性，尤其是在检测加密流量中的威胁时（需结合解密策略）。

2.日志整合：统一收集防火墙、服务器、应用日志，便于关联分析。

-具体说明：

-日志来源：包括但不限于防火墙/NGFW、路由器、交换机、IDS/IPS、VPN设备、服务器（操作系统、应用、数据库）、终端检测与响应（EDR）系统、身份认证系统（如RADIUS）等。

-收集方式：采用Syslog、SNMPTrap、Webhook或专用日志收集器（如Beats、Logstash）进行日志收集。确保日志传输过程加密（如TLS），防止日志在传输中被窃取。

-存储与管理：将收集到的日志统一存储在日志管理系统（如ELKStack、Splunk、Loki）或SIEM（安全信息和事件管理）平台中，建立索引，支持快速检索和关联分析。设定合理的日志保留周期（如前文所述建议至少6个月）。

3.威胁情报接入：订阅外部威胁情报源，补充实时攻击特征。

-具体说明：

-情报类型：订阅内容包括恶意IP地址/域名列表、恶意软件家族信息、攻击组织TTP（战术、技术和过程）、漏洞信息（CVE）、黑名单URL等。

-集成方式：将威胁情报平台（如AlienVaultOTX、MISP、商业威胁情报平台）与IDS/IPS、防火墙、EDR等安全设备或分析平台集成，实现自动化的威胁情报更新和应用。例如，自动将新的恶意IP列表导入防火墙进行封禁，或触发EDR对已知恶意软件样本进行排查。

-自定义情报：鼓励组织积累内部威胁情报，如捕获到的内部攻击样本、异常行为模式，并分享给团队或社区。

---

三、技术实现要点

（一）实时检测技术

1.基于签名的检测：匹配已知攻击特征库，快速识别威胁。

-具体说明：

-原理：通过比对网络流量或文件内容与已知的恶意模式（如攻击载荷、恶意软件签名、恶意URL）进行匹配，实现快速识别。

-应用场景：对已知病毒传播、已知漏洞利用、已知攻击工具使用等场景效果显著。是安全防护的第一道防线。

-工具示例：Snort,Suricata,Fail2ban（主要用于终端或服务器）。

-局限：无法检测未知威胁（Zero-day攻击）或经过变形的已知威胁。需要持续更新特征库。

2.异常行为分析：通过机器学习算法识别偏离正常模式的操作。

-具体说明：

-原理：基于统计学或机器学习模型，学习正常行为基线，当检测到偏离基线显著的行为时，判定为潜在异常或攻击。

-应用场景：检测内部威胁、APT（高级持续性威胁）、未知攻击、账户滥用等。例如，通过分析用户登录地点、时间、访问资源类型，发现某账户突然从异常地点登录或在非工作时间访问大量敏感文件。

-技术方法：包括统计异常检测（如基线漂移检测）、用户行为分析（UBA）、主机行为分析（HBA）、机器学习模型（如分类算法、聚类算法）。

-工具示例：SplunkUserBehaviorAnalytics(UBA),ElasticSIEM的UserEntityBehaviorAnalytics(UEBA),CrowdStrikeFalcon,MandiantMandiantEndpointIntelligence(MEI)。

-数据需求：需要较长时间的正常行为数据用于模型训练。对数据质量要求高。

（二）日志分析流程

1.收集与存储：

-具体说明：

-收集策略：

-定义各日志源需要收集的具体日志类型（如防火墙的连接日志、系统日志、应用访问日志、错误日志）。

-配置Syslog等级（如warning,error,critical），避免收集过多冗余信息。

-确保日志收集的可靠性，采用至少两个日志收集器实现冗余，避免单点故障。

-设置合适的采集频率（如5-15分钟采集一次）。

-存储方案：

-选择合适的存储介质（如磁盘、SSD、对象存储）。

-设计分片和分区策略，按时间、来源IP、日志类型等维度进行组织，便于管理和查询。

-考虑数据压缩和去重，优化存储空间。

-确保存储介质的物理安全。

2.关联分析：

-具体说明：

-关联维度：

-时间关联：将不同来源的日志按时间戳进行对齐，寻找时间上的先后顺序和因果关系。例如，结合防火墙的连接日志和主机的登录日志，确定某IP地址是在哪个时间点成功登录并访问了内部资源。

-IP地址关联：将多个日志中出现的IP地址进行聚合，分析其行为模式。例如，多个主机日志显示同一IP地址在短时间内发起大量连接尝试，可能构成DDoS攻击或扫描行为。

-用户/会话关联：将用户身份认证日志（如Radius）与后续的应用访问日志关联，分析特定用户的行为。例如，某用户登录后访问了异常类型的资源。

-事件类型关联：将不同系统日志中的相关事件串联起来。例如，先有防火墙告警某IP扫描端口，后有主机告警该IP成功连接并尝试提权。

-工具与技术：

-SIEM平台：提供内置的关联分析引擎和预定义的关联规则（如用户登录失败与后续的异常文件访问关联）。

-日志分析工具：如Splunk的Lookups和SearchCommands，Elasticsearch的Join和ScriptedFields。

-规则引擎：自定义编写关联规则，提高检测特定威胁的效率。

-价值：将孤立的告警点串联成完整的攻击链，帮助安全分析人员更准确地理解攻击意图和影响范围。

（三）可视化与告警

1.仪表盘设计：

-具体说明：

-核心指标展示：

-实时网络流量图（带宽、连接数）。

-告警总数及分级（严重/警告/信息）统计和趋势图。

-高危资产（如存在漏洞的设备、被入侵的终端）列表及状态。

-实时安全事件地图（展示事件发生的地理位置）。

-定制化视图：为不同角色（如安全运营中心SOC分析师、网络管理员、应用负责人）提供个性化的仪表盘视图。

-交互性：支持下钻、筛选、联动查询等功能，方便分析师深入调查。

-工具示例：ElasticKibana,Grafana,SplunkDashboards。

2.告警分级：

-具体说明：

-分级标准：

-严重级（Critical）：可能导致系统瘫痪、大量数据泄露、业务中断的攻击。例如：大规模DDoS攻击导致服务不可用、已知零日漏洞被利用导致系统被控制、核心数据库被非法访问。响应要求：立即处理，通常需要安全团队24小时内响应。

-警告级（Warning）：潜在风险较高，需要关注和及时处理的事件。例如：多次失败的登录尝试、可疑的端口扫描活动、系统配置异常变更、未知恶意软件特征码在终端出现。响应要求：在规定时间内（如30分钟、1小时）确认并处理。

-信息级（Informational）：一般性安全事件或配置变更，风险较低，用于趋势分析和合规审计。例如：安全策略更新、用户权限变更日志、常规的病毒扫描活动。响应要求：按需记录或每日汇总分析。

-告警通知：

-配置多级告警通知渠道，确保关键告警能及时触达相关人员。例如：严重告警通过短信、电话、即时通讯工具（如钉钉、企业微信）强推；警告级告警通过邮件或内部告警平台发送。

-避免告警疲劳：优化告警规则，减少无效告警；提供告警抑制功能（如短时间内重复告警只发送一次）。

-告警确认机制：建立告警确认流程，防止告警无人处理。

---

四、操作流程规范

（一）日常监控

1.巡检频率：

-具体说明：

-严重告警：要求5分钟内响应确认初步情况（如攻击是否仍在持续、影响范围多大）。30分钟内应完成初步分析并制定初步处置方案。

-警告级告警：要求30分钟内确认告警有效性（是误报还是真实威胁）。2小时内完成初步分析。

-信息级告警：每日汇总，用于趋势分析、容量规划和安全报告。

-仪表盘/趋势图：要求每日至少查看一次核心监控指标，了解整体安全态势。

2.误报处理：

-具体说明：

-记录与分析：详细记录误报事件，分析误报原因（如规则过于敏感、正常业务被误判、数据质量问题）。

-规则调优：根据分析结果，调整或关闭相应的检测规则，优化阈值。

-知识库建设：将误报案例及处理方法记录在知识库中，供团队成员参考，减少未来误报。

-定期回顾：每周或每月回顾误报率，评估规则优化效果。误报率应控制在可接受范围内（如5%以下）。

（二）应急响应步骤

1.初步处置（StepbyStep）：

-具体说明：

-(1)隔离受感染设备：

-目的：切断攻击源与网络的连接，阻止攻击扩散。

-操作：对于疑似被入侵的服务器或终端，立即断开网络连接（物理断开或通过防火墙策略阻断），如果可能，断开与关键服务的连接（如数据库连接）。

-注意：隔离操作需谨慎，需评估对业务的影响，并通知相关业务部门。

-(2)禁用异常账户：

-目的：阻止攻击者使用被盗或被控制的账户进一步渗透。

-操作：立即禁用出现异常登录行为或权限提升的账户，包括管理员账户和普通用户账户。

-注意：需在记录日志后执行，并确保有替代账户或临时方案维持基本业务。

-(3)保存现场日志：

-目的：获取攻击证据，用于后续溯源分析。

-操作：在执行隔离和账户禁用等操作前，尽可能完整地备份受影响系统的内存转储（MemoryDump）、系统日志、应用日志、安全设备日志等。

-注意：确保日志的完整性和未被篡改。如果系统已被严重破坏，可能无法获取完整内存转储。

-(4)通报与协调：

-目的：启动应急响应流程，确保相关人员知晓。

-操作：通知组织内的安全负责人、IT运维团队、管理层以及可能受影响的业务部门。

-注意：通报应清晰说明已知情况、潜在影响和初步处置措施。

-(5)等待进一步分析：

-目的：为深入调查提供时间窗口。

-操作：在初步处置后，保持与安全分析团队的沟通，等待更详细的分析结果，并根据分析结果执行后续步骤。

2.溯源分析：

-具体说明：

-方法：

-日志链分析：追溯攻击发生的时间线，从检测到的第一个告警点开始，串联防火墙、IDS、主机、应用等各层日志，重建攻击路径。

-攻击特征提取：分析捕获到的攻击载荷、使用的工具、IP地址、域名、TTPs（战术、技术和过程），识别攻击者的类型和意图。

-链路追踪：如果可能，追踪攻击流量在网络中的传输路径。

-恶意软件分析（如适用）：对捕获的恶意软件样本进行静态和动态分析，了解其功能、传播方式和持久化机制。

-工具：SIEM平台、日志分析工具、网络流量分析工具（如Wireshark）、终端取证工具（如Cameyo,Volatility）、恶意软件分析沙箱。

-目标：确定攻击者的入侵入口、横向移动路径、控制目标、造成的损害范围，以及攻击是否仍在持续。

3.修复与加固：

-具体说明：

-漏洞修复：针对攻击利用的漏洞，及时应用官方补丁或采取临时缓解措施（如调整配置）。

-配置恢复：将受影响系统的配置恢复到安全状态，如重置弱密码、恢复被篡改的文件、关闭不必要的端口和服务。

-策略强化：根据溯源分析结果，调整安全策略，如更新防火墙规则、调整入侵检测规则、增强身份认证机制（如引入MFA）。

-系统恢复：在确认安全风险已消除后，将隔离的系统和数据恢复上线。

-验证：恢复上线后，持续监控一段时间，确保攻击已被彻底清除且未造成二次损害。

---

五、维护与优化

（一）定期评估

1.效果评估：

-具体说明：

-检测能力评估：

-统计周期内（如每季度）检测到的攻击事件数量、类型、成功与失败率。

-计算检测率（TruePositiveRate）和误报率（FalsePositiveRate）。

-评估对业务中断的减少程度（如相比上一周期，业务中断时间缩短了多少）。

-响应效率评估：

-统计从告警产生到事件处置完成的平均时间（MTTD-MeanTimeToDetect，MTTR-MeanTimeToRespond，MTFS-MeanTimeToFix）。

-分析响应过程中的瓶颈和问题。

-资源使用评估：

-监控安全设备（CPU、内存、存储）的性能，评估资源是否满足需求。

-评估人力投入是否合理。

2.流程改进：

-具体说明：

-复盘会议：定期（如每月或每季度）召开安全事件复盘会议，回顾发生的安全事件、处置过程、经验教训，修订监控策略和应急响应流程。

-规则库维护：定期审查和更新检测规则库，移除失效规则，添加针对新威胁的规则。

-工具性能调优：根据评估结果，调整安全设备的参数（如IDS的检测模式、日志收集的频率、关联规则的阈值），优化性能。

（二）人员培训

1.培训内容：

-具体说明：

-基础安全意识：所有员工需了解基本的安全概念（如密码安全、钓鱼邮件识别、安全设备作用）。

-岗位技能培训：

-SOC分析师：SIEM平台使用、告警分析、事件调查、应急响应流程、威胁情报解读。

-安全工程师：安全设备配置与调优、漏洞扫描与修复、安全策略制定、应急响应技术。

-IT运维人员：安全日志解读、安全事件初步处置、配合安全团队工作。

-实战演练：

-桌面推演：模拟简单场景，检验团队成员对流程的理解和配合。

-模拟攻击：使用合法的渗透测试工具或红蓝对抗平台，模拟真实攻击场景，检验检测监控体系的实战效果和团队的应急响应能力。

2.考核机制：

-具体说明：

-定期考核：通过笔试、模拟场景操作等方式，检验人员对知识和技能的掌握程度。

-绩效关联：将安全职责和演练/事件处置表现纳入相关人员（尤其是安全团队）的绩效考核。

-持续学习：鼓励员工参加外部安全会议、获取专业认证（如CISSP,CISP,OSCP等），跟踪最新的安全技术和威胁动态。建立内部知识分享机制。

---

六、附录

（一）常用检测工具列表

|工具名称|功能说明|典型应用场景|

|----------------|--------------------------------------------------------------|--------------------------------------------------|

|Snort|基于网络的入侵检测系统（NIDS），支持签名检测和异常检测|网络边界流量监控、恶意流量检测|

|Suricata|高性能网络威胁检测引擎，支持NIDS/HIDS/IPS，开源免费|综合性安全监控、实时威胁防护|

|Wazuh|开源日志管理系统，集成Syslog、SNMPTrap，支持规则驱动的日志分析|日志集中收集、关联分析、告警|

|ELKStack(Elasticsearch,Logstash,Kibana)|分布式日志分析平台，支持海量数据存储、实时搜索、可