這些年來，筆者一直積極參與入侵檢測分析師的培訓和發展工作，同時還擔任了 SANS 信息安全課程《深入入侵檢測》（編號503）的授課導師。筆者發現自己一直在不斷改變對有效入侵檢測的哲學認識。然而，不論該哲學如何演化，有些主題總是保持不變。

通過這些經歷，筆者創作了「入侵分析十誡」，這十誡所突出的核心主題不僅是筆者想要灌輸給接受培訓的分析師的，也是希望在自身的入侵分析工作中能融會貫通的。這十誡不是命令你們做什么，不過因為恰好有十條，所以取了「十誡」 這個還算切合的標題。入侵分析十誡可能不適合你或你所在公司的目標，或者不符合你的個人風格，但是它們對筆者的確用處匪淺！

1、分析師，分析師，分析師！

對分析師來說最重要的是深刻認識到他們自身的重要性。分析師是安全防護的第一道防線——他們在電腦前時刻關注著安全威脅的存在。分析師能阻擋攻擊，也能防止被攻擊后的情況惡化。在大多數信息安全事件的開始，分析師會根據入侵檢測系統的告警給出解決提示；在事件的結尾，分析師會輸入新的簽名并基于已知安全事件的信息開發新的工具。從信息安全事件的開始到結束，分析師從始至終無處不在。好吧，也許是有點戲劇性，但入侵分析師的重要性是不可低估的。

2、除非是你自己創建的數據包，否則沒有絕對的安全。

假設是分析的前提，記住這點非常重要。你在未來做出的大多數決定將基于一個數據包或者一條日志項，然后根據在研究中積累的經驗對其反復斟酌。事實是，網絡數據流并不是分析師生成的，因此我們所做的每個決定只是基于部分數據做出的假設。不過別擔心，這沒有什么不對的。問問你在化學界和物理界的同僚們，他們的絕大部分工作也都是在假設的基礎上開展的，然而他們也取得了巨大成功。重點是沒有什么是絕對的。這個 IP 地址真的對應一個已知的合法主機么？這個域名真的屬于 XYZ 公司嗎？這臺 DNS 服務器真的應該和那個數據庫服務器進行交互嗎？沒有什么是絕對的，有的只是假設，正因為如此，請記住假設的東西是可以改變的。總是懷疑自己，并保持警覺。

3、留意你從數據中抽取的信息是否準確。

分析師需要依賴數據來采取行動。這些數據可能來源于 PCAP 文件、IIS 日志文件或者系統日志文件。由于你會花大量時間通過各種工具與這些數據進行交互，因此知曉這些工具如何和數據交互至關重要。你是否知道運行 Tcpdump 時如果不對參數另做規定，它將只能捕捉一個數據包中前 68 個字節的數據?是否知道 Wireshark 顯示 TCP 數據包中的序列號和應答號時默認顯示的是相對值而非真實值?工具是人開發的，然而有時候工具的“功能特征”會模糊數據并阻礙正確的分析。剛剛舉例的兩個“功能特征”其實是很好用的，但是也應該對它們保持警覺，才可以在需要時獲取所有的包數據，或查看真實的序列號和應答號。當我們從事一份依賴數據且數據至上的工作時，必須要理解工具和數據是如何進行交互的。

4、兩個人的審視好過只有一人的審視。

作者配有編輯，警察配有搭檔，核武器庫里總安排兩個人，這都是有原因的。不管你多么富有經驗或者表現得多好，你總會遺漏掉什么。之所以需要兩個人是因為不同的人背景相異。筆者在政府部門工作，因此在檢查網絡流量時，第一件事就是查看其來源國和目的國。筆者曾和擁有系統管理背景的人共事，因此，他會在檢查網絡流量時最先查看端口號。筆者甚至和從事數值計算處理的人共事過，他就會先查看包的大小。這表明我們的不同經歷塑造了差異化的策略。這意味著做數值處理的人能發現做系統管理員的人沒發現的信息，而為政府部門工作的人能發現做數字處理的人沒有發現的信息。不管什么時候，有另個人來審視你面臨的問題總是一個不錯的主意。

5、不要邀請攻擊者共舞

這是我在最初啟動一臺 Snort（輕量級網絡入侵檢測系統）傳感器主機那天就深信不疑的事情。后來我在大師 Mike Poor 的 SANS 課程上聽到了他更為精妙的表述——永遠不要邀請攻擊者共舞。對分析師來說，采用一些超出常規的手段來偵查惡意 IP 地址是件極具誘惑的事情。相信我，有很多次我都想對給我發送大量明顯刻意制作的 UDP 數據包的惡意 IP 進行端口掃描。每次有人試圖對筆者防護的網絡進行 DoS 攻擊時，除了拿他們可憐的毫無戒備的 DSL 連接發泄憤怒之外別無他求。這里的問題是，99% 的時候我們都不知道面臨的是誰或者是什么工具。雖然你可能看到他們的掃描活動，但是產生這些網絡流量的主機有可能被一個龐大組織甚至是另一個國家的軍事部門操縱。即使一個簡單的 ping 命令都會讓攻擊者知道你發現了他們的存在，從而促使他們改變攻擊策略，切換源主機，甚至加強攻擊力度。你不知道你的對手是誰，亦不知他們的動機或具備怎樣的能力，所以在網絡防護時永遠不要挑釁他們。

6、情境很重要！

網絡情境可以徹底改變你的監控和檢測能力。為了有效防御，必須具備你所防護的網絡的上下文。網絡圖、服務器列表及其作用、IP 地址的分配故障等等都會是你最好的伙伴。基本上，一切可以記錄網絡資產、它們如何運作以及它們和其他網絡資產如何關聯的文檔都會在處理異常事件時派上用場。也許以你在公司中的職位，無法獲取這些信息，或者這些信息現在仍未整理出來，那么你將會花很長時間讓同事下大力氣把這些文檔整理出來。雖然這會很困難，但仍然值得你的爭取和堅持。不管你做出的努力是硬著頭皮向首席信息官提出你的依據和要求，亦或只是請你的網絡工程師們喝一杯他們最愛的酒精飲料，你終將獲得回報。

7、總的來說，數據包是合法的。

人生的終極爭論是人之初性本善還是性本惡。對于數據包來說，這個爭論同樣存在。作為分析師，你可以認為所有的數據包都是惡意的，也可以認為所有的數據包都是合法的。筆者注意到，大多數分析師在職業生涯的初期都抱著前一種觀點，然后很快就過渡到了后一種觀點。那是因為把網絡流量中的所有數據都當成潛在的根級別入侵危害來處理是根本不可行的。如果你那樣做，你會因為花了整整一天卻只處理了一個告警而被解雇，或者被你自己折騰得精疲力竭。有些事要說清楚，數據包有合法的有惡意的，但事實的真相是網絡流量中的絕大部分數據包都不是惡意的，因此在數據包被證實是惡意的之前，應當視作合法數據包來處理。

8、tcpdump 工具之于入侵分析猶如望遠鏡之于天文學

每當面試入門級以上的入侵分析師時，筆者都會讓他們描述下如何研究一個典型的入侵檢測系統告警。然而讓筆者感到沮喪的是這些人總是回答「我會使用 tcpdump、Wireshark Network Miner、 Netwitness、Arcsight、 Xeyes 等工具研究告警」，而不做進一步的具體解釋。雖然它們是進行入侵分析的工具和技術，但是入侵分析本身不是工具和技術，而是藝術。如果不是這樣的話，那么在入侵分析的過程中人的存在就不是必要的了。一個高效的分析師應該明白，即使使用這些工具是工作最重要的部分，但它們也只是拼圖中的一塊塊碎片。就像天文學家的望遠鏡只是其工具庫中幫助他發現行星圍繞太陽運轉原理的一個工具一樣，Wireshark 也只是分析師的工具庫中幫助他找出是什么讓一個數據包繞過防火墻規則的一個工具。從技術開始，加上一些工具和軟件，統觀大局，留意細節，再結合你從過往經歷中獲取的經驗，你將創造出一套屬于自己的入侵分析哲學。至此，你才將自己的分析上升到藝術的層面，從而使你極具價值，無法被機器取代。

9、有時候，我們會失敗。

不管你多么努力阻止攻擊，總會出現你防護的網絡被成功攻擊和入侵的情況。在現代信息安全格局中，這是不可避免的，你能做的事情也很有限。這些時候，分析師很可能因為攻擊事件而受到批評。因此，你需要為防護失敗的發生做好準備。成功入侵事件不會因為如何發生而被記住，但會因為如何被應對、宕機時長、丟失的信息量以及其最終造成了公司多少財產損失而被記住。你能給管理者什么建議以保證此類事件不再發生？你怎么給自己的上司解釋這次入侵攻擊為什么沒被成功檢測？你使用的工具有什么缺陷？在發生入侵事件之前，這些問題都是無法得到充分的解答。但是你現在絕對可以開始考慮這些問題，并制定向關鍵人物回答以上問題的方案。你會措手不及，遭遇偷襲，但重要的是你不會表現出來并保持堅定嚴肅的姿態。這是決定你將獲得晉升還是被解雇的關鍵。

10、深度挖掘

到你光榮退休的那天，你需要代表榮譽的桂冠來證明你的功勛，而你的功勛應該是你盡職盡責并拼盡全力的事實。筆者在入侵分析方面的“座右銘”是“深度挖掘”。網絡防護人員必須控制 65535 個端口，而攻擊者只需入侵一個就足夠了。網絡防護人員必須保護一萬名用戶，而攻擊者只需要欺騙一個用戶就足夠了。網絡防護人員必須檢查成百上千萬的數據包，而攻擊者只需要在一個數據包中隱藏好惡意數據就足夠了。你要怎么樣做才能對數據有更敏銳的感知？你要鍛煉什么樣的能力，才能與攻擊者相抗衡？你有一種預感，事情并不像看到的那么簡單，你要怎么樣做才能深度挖掘？

原文鏈接：http://chrissanders.org/2011/01/the-10-commandments-of-intrusion-analysis/

本文轉自 OneAPM 官方博客

總結

以上是生活随笔為你收集整理的入侵分析十诫的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。