计算机科学网安集团安全分析师实习报告

计算机科学网安集团安全分析师实习报告一、摘要

2023年7月1日至2023年8月31日，我在网安集团担任安全分析师实习生，负责网络流量监测与漏洞扫描。通过部署Snort规则集，累计检测并告警安全事件234起，其中高危事件占比达18%，成功阻断15次恶意攻击。运用Nessus进行漏洞评估，完成87个系统模块的扫描，发现高危漏洞42处，并参与制定修复方案，使系统漏洞率下降至5.2%。期间，将OWASPTop10安全测试框架应用于Web应用渗透测试，识别3处SQL注入风险点，并优化了安全事件响应流程，缩短平均处置时间从8小时至3小时。通过实习掌握了安全工具链协同工作方法，验证了零日漏洞应急响应预案在真实环境下的有效性。

二、实习内容及过程

1.实习目的

希望通过实践了解网络安全分析师的日常工作，掌握基本的安全工具使用，熟悉网络攻击防御的基本流程。

2.实习单位简介

在网安集团实习，这家公司主要做企业级安全服务，有防火墙、入侵检测系统这些设备，还有专门的应急响应团队。

3.实习内容与过程

开始时跟着师傅学习Snort规则怎么写，7月10号左右开始独立分析流量日志。用Wireshark看数据包，发现好几次CC攻击，就是用大量请求压垮服务器。7月15号参与了一次钓鱼邮件演练，负责分析哪些员工点击了恶意链接。后来用了Nessus扫描内部系统，发现几个旧版本的软件有漏洞，比如有个系统还在用Exchange2010，缺补丁。师傅教我用Metasploit测试漏洞，我自己又去搞了搞SQL注入，在测试环境试了几个例子，感觉挺有意思的。

遇到过一个困难，就是刚开始看日志完全看不懂，什么TCPUDPIP包看得头疼。后来每天坚持看师傅标记的样本，又找了些在线教程，慢慢就熟悉了。还搞了个小脚本用Python自动整理告警信息，效率高了不少。

4.实习成果与收获

8周里总共分析了500多G的日志，标记了37个可疑IP，后面查资料发现有几个是真攻击。漏洞扫描出了12个高危问题，全部跟师傅写的报告一起提交了。最满意的是帮运维团队把一个误报率高的IPS规则调优了，从每天几百条误报降到几十条。感觉收获最大的还是怎么把理论用到实践，比如DOS攻击和DDOS攻击现在分得清了。

5.问题与建议

实习期间觉得公司培训有点跟不上，比如刚开始接触HIDS的时候没太系统学，全靠师傅带着。建议可以搞个新人导师计划，或者把常用工具的操作录个视频。还有就是我的工作跟渗透测试关联少，如果能接触点那边的活就更好了，毕竟想往这个方向发展。

三、总结与体会

1.实习价值闭环

这8周就像把书本里那些安全概念具象化了。7月刚来的时候，对着真实的日志还是懵的，觉得跟学校做实验不一样，数据量太大了。后来7月20号左右，通过分析一段异常流量，成功定位到一个内部端口被扫描了，师傅让我写了个简单的分析报告，那一刻觉得挺有价值的。从最初每天处理师傅分配的任务，到后来能主动去查一些新出现的攻击手法，感觉自己是真的学到了东西。那些扫描报告、分析记录，现在翻看都还是挺清晰的。

2.职业规划联结

实习让我更确定想往哪个方向发展了。之前对应急响应挺感兴趣的，但实习期间发现日常安全运营也挺重要，比如漏洞管理、规则调优这些，能接触到的东西比我想象的多。现在打算下学期深挖一下SIEM这块，看看能不能考个GCFA，把实习里用到的那些工具再学深点。感觉学校里学的网络基础、编程知识，在实习中真的派上用场了，尤其是写脚本处理数据的时候。

3.行业趋势展望

在那边看到好几次关于云安全、工控系统防护的讨论，感觉那块是未来重点。我们组处理的威胁情报里，勒索软件和APT攻击的样本越来越多了，而且攻击手法也花样百出。比如8月底分析的一个案例，对方用了代理和链式载荷，绕过了好几个检测点。这让我觉得，安全这行真的得持续学习，不然很快就被淘汰了。现在看那些技术博客、安全资讯，感觉比以前有方向多了。

4.心态转变

最明显的变化是心态吧。以前做实验觉得问题不大，数据删了重来。现在处理真实环境的问题，每条告警、每个漏洞都觉得有责任，得弄清楚。记得有一次深夜发现一个紧急漏洞，跟运维沟通到凌晨两点才解决，虽然累但挺有成就感。抗压能力确实强了不少，以后面对复杂问题应该不会那么慌了。这种从被动学习到主动解决问题的转变，挺宝贵的。

5.未来行动

接下来打算把实习里用的那些方法再梳理一遍，特别是漏洞扫描和日志分析那部分，看看能不能编成笔记。师傅说后续可以考虑考个PMP，虽然跟技术没直接关系，但感觉项目管理的经验对以后发展也有帮助。总之这段经历没白费，把很多模糊的想法都清晰了，下一步就是该怎么走得更远点。

四、致谢

1.

感谢网安集团提供这次实习机会