分析日志识别暴力破解

分析日志识别暴力破解

作者：邹沪湘

来源：《计算机世界》2013年第30期

编者按：本文介绍了暴力破解事件，并尝试使用日志分析方法识别暴力破解事件；同时介绍了日志分析方法的原理，日志分析系统的功能和工作流程，指出了日志的范式化和关联分析是识别暴力破解事件的关键所在，并实际构建了相应的关联分析规则。通过日志分析的方法，IT管理者可以实现对企业内网中暴力破解和暴力破解成功事件的关联分析规则的创建，实时识别内网中存在的该类攻击事件。

在企业内网中，有许多重要的信息系统，基本都采用了用户名和口令的安全认证机制。用户的口令对于信息系统的安全起到重要作用，变得尤为关键。

保证信息系统的安全首先要保证口令的安全，对于口令的安全性首先要保证口令的长度和复杂性。对于长度和复杂性都达不到一定要求的口令，很容易被破解。企业内网中虽然部署了防火墙等访问控制设备，但只能防范外来的攻击和入侵。很多对信息系统的攻击都来自于网络内部，而对信息系统内部的攻击常常以破解口令为主要攻击方式，最直接的攻击方法就是暴力破解。暴力破解法或称为“穷举法”，是一种针对密码的破译方法，即将密码进行逐个推算直到找出真正的密码为止。

如何识别暴力破解并采取及时有效的应对措施成为IT管理者日常工作的一部分。在当前网络安全技术中，安全管理人员通常采用在网络中部署IDS（Intrusion Detection System）产品的方式来发现暴力破解事件，IDS通过对用户和网络流量的分析，发现网络中存在的各种入侵

攻击行为。但是，IDS系统在进行入侵检测时，由于基于特征检测，会产生误报和漏报的情况。安全研究人员和安全管理人员也使用新的技术和方法来实时发现暴力破解事件的发生。本文不借助于IDS产品，而从日志的关联分析角度来进行暴力破解事件的实时识别。

借助工具分析日志

在一个完整的信息系统里面，日志系统是一个非常重要的功能组成部分。它可以记录下系统所产生的所有行为，并按照某种规范表达出来。通过日志，IT管理者可以了解系统的运行状况。而通过对安全相关的日志的分析，IT管理者可以检验信息系统安全机制的有效性，这就是安全日志审计。安全日志可以帮助IT管理者进行事故处理、入侵检测、事件关联分析，以及综合性的故障诊断工作。

由于信息系统中存在多种网络设备、安全设备、主机/服务器、数据库、中间件和应用系统等，这些设备和系统的日志各不相同、千差万别，因此，IT管理者分析来自这些设备和系统的海量日志时，存在日志分散、格式不统一、日志量巨大的困难。

安全管理人员应该借助一个日志分析工具来为其安全管理工作提供技术支撑。这个日志分析工具应该能够对分散的海量日志进行收集，并对这些日志格式进行规范化统一描述，实现对日志的集中化存储、泛化、过滤、归并、关联分析、审计、实时告警和综合展示。

关联分析是关键

关联分析在信息安全过程中是指对信息系统的安全日志数据进行自动化、持续性分析，通过与用户定义的、可配置的规则匹配来识别网络中存在的潜在威胁和复杂的攻击场景，从而发现真正的安全问题，达到对当前安全态势准确、实时的评估，并根据预先制定策略做出快速的响应，以方便管理人员全面监控网络安全状况的技术。关联分析可以提高网络安全防护效率和防御能力，并为安全管理和应急响应提供重要的技术支持。关联分析主要解决以下四个问题：

一、减少误报，将单个告警事件与可能的安全场景联系起来；

二、消除重复报警，对相同、相近的报警事件进行处理，例如过滤和压制等；

三、为达到识别有计划攻击的目的，增加攻击检测率，对深层次、复杂的攻击行为进行挖掘，并以一定的规则表达式表示出来；

四、提高安全事件分析的实时性，提醒安全管理人员第一时间内进行响应。

日志格式的泛式化是日志分析的基础，而日志关联分析引擎是日志分析的关键，强大的日志关联分析引擎，可以帮助安全管理人员实现更多的安全事件分析能力，满足多种安全场景的检测需求。

借助先进的智能事件关联分析引擎，日志分析系统能够实时持续地对所有范式化后的日志流进行安全事件关联分析。系统具备多种关联分析方法和能力：

首先是基于规则的事件关联。

系统提供了可视化的规则编辑器，用户可以定义基于逻辑表达式和统计条件的关联规则，所有日志字段都可参与关联；

规则的逻辑表达式支持等于、不等于、大于、小于、不大于、不小于、位于……之间、属于、包含等运算符和关键字；

规则支持统计计数功能，并可以指定在统计时的固定和变动的事件属性，可以关联出达到一定统计规则的事件。

其次是基于基线的事件关联。

针对网络流量数据，系统能够建立周期性基线和非周期性基线，通过同比分析和环比分析的方式来判断实际流量特征信息（称做特征指标）与基线/预测值之间的差异程度，进而判定导致流量异常的攻击或者违规行为。系统采用了具有自学习和自反馈机制的基线生成/修正算法；

通过单事件关联，系统可以对符合单一规则的事件流进行规则匹配；

通过多事件关联，系统可以对符合多个规则（称做组合规则）的事件流进行复杂事件规则匹配。

暴力破解事件规则构建

借助于强大的关联分析引擎，安全管理人员可以构造关联分析规则，实现对范式化后的日志的关联分析，自动化实时发现网络中的暴力破解事件，向安全管理人员提出告警。

暴力破解事件的安全场景为短时间内不断地尝试登录主机、设备或应用系统，可能使用同一账户，也可能尝试不同账户，但登录失败。鉴于这种登录行为，设备、主机或系统会产生登录失败的日志，每次登录失败都会产生相应的一条日志。故暴力破解的行为从日志的表现上为短时间内产生并发送了多条相同的登录失败的日志。

系统在匹配到满足该规则的日志信息后，会产生实时告警，从而帮助安全管理人员发现暴力破解的安全事件。

依据暴力破解的关联分析规则，更进一步可以设计出暴力破解成功的关联分析规则。暴力破解成功的安全场景为，日志分析系统先产生大量短时间内登录失败的日志，在之后产生一条