信息管理与信息系统毕业论文《基于siem平台的大型企业网络安全的策略分析与实现》

2023年12月2721:51:42发布者:小杰 52 views 举报
总字数:约27351字
第1页

第2页

第3页

第4页

第5页

第6页

第7页

第8页

第9页

第10页

北方民族大学本科毕业论文(设计)

基于 SIEM 平台的大型企业网络的策略分析与实现

摘要

安全信息和事件管理(简称 SIEM), 安全信息和事件管理平台通过收集各种安全设

备的日志记录,根据日志做威胁事件的预警和响应。SIEM 的核心功能是收集和分析来自

不同设备的日志信息,是应用企业网络中的一款安全设备。防火墙、网络设备和入侵检

测系统会生成大量与事件相关的数据。SIEM 通过收集、整理和范化所有这些数据,然后

识别进行分类并分析事件,格式化这些数据便于理解和分析。这一般是通过机器学习、

专门的分析引擎和事件采集器完成的。SIEM 解决方案通过检查日志数据中的敏感信息,

寻找可能表示网络攻击的行为,然后关联设备之间的日志事件,以发现潜在的异常活动,

最后发出相应的告警。本论文主要通过探讨 SIEM 产品在实际大型企业网络中的应用情

况,分析和制定 SIEM 关联策略的过程,并观察策略在应用过程中的命中情况。在应用

的过程中,对 SIEM 筛选的高发危险事件进行分析和筛选,观察其应用情况以及在企业

生产过程中出现的安全事件。

关键词 :SIEM, 关联策略 , 事件分析 , 安全运营

北方民族大学本科毕业论文(设计)

Strategy analysis and implementation of large enterprise

network based on SIEM platform

Abstract

Security information and event management (Siem), the security information and e

vent management platform collects the log information of various security devices and

makes early warning and response of threat events based on the log. The core functi

on of Siem technology is extensive event collection and the ability to correlate and an

alyze events across different sources. It is a security device in the application enterpris

e network. Firewall, network equipment and intrusion detection system will generate a

large amount of event related data. Siem collects, collates and normalizes all these d

ata, then identifies, classifies and analyzes events, and formats these data for easy und

erstanding and analysis. This is usually done through machine learning, special analysi

s software and event collector. Siem solution checks the sensitive information in the l

og data to find the behavior that may indicate network attack, then correlates the log

events between devices to find potential abnormal activities, and finally sends out corr

esponding alarms. This paper mainly discusses the application of Siem products in the

actual large-scale enterprise network, analyzes and formulates the process of Siem As

sociation strategy, and observes the hit of the strategy in the application process. In th

e process of application, analyze and screen the high-risk events screened by Siem, an

d observe its application and events in the production process of the enterprise.

Keyword : SIEM; correlation strategy; event analysis,;safe operation;

北方民族大学本科毕业论文(设计)

目录

第一章 绪论 ............................................................................................................................... 1

1.1 课题研究背景与意义 ................................................................................................... 1

1.2 国内外研究现状 ........................................................................................................... 1

1.3 主要研究内容 .............................................................................................................. 2

第二章 SIEM 的基本介绍 .......................................................................................................... 3

2.1 SIEM 的发展与演变 ..................................................................................................... 3

2.2 SIEM 工作流 ................................................................................................................. 4

第三章 安全场景 ....................................................................................................................... 5

3.1 建立安全场景知识体系 .............................................................................................. 5

3.2主机中 windows 下的 PowerShell 场景 ..................................................................... 5

3.2.1 PowerShell 执行策略被修改 .......................................................................... 6

3.2.2 绕过执行策略 .................................................................................................... 6

3.2.3 PowerShell 的降级检测 .................................................................................. 7

3.2.4 PowerShell 的混淆 .......................................................................................... 8

3.2.5 利用 powershell 做内网信息收集 .................................................................. 9

3.2.6 使用 PowerShell 对文件系统进行增删查改 ............................................... 12

3.2.7 power shell 相关攻击工具的利用 .............................................................. 12

第四章 SIEM 在企业应用过程中的实例 ................................................................................. 14

4.1 SIEM 在企业应用的落地 ........................................................................................... 14

4.1.1 制定范化规则 ................................................................................................. 14

4.1.2 关联策略的制定 ............................................................................................. 18

4.2 SIEM 针对企业安全事件的分类 ............................................................................... 18

4.3 关联规则应用情况分析 ............................................................................................ 19

4.4 waf 攻击事件对比分析 ............................................................................................. 24

4.5 SIEM 与 SOAR 的联动 ................................................................................................. 25

第五章

总结与展望 ............................................................................................................... 28

北方民族大学本科毕业论文(设计)

5.1 总结 ............................................................................................................................ 28

5.3 展望 ............................................................................................................................. 29

参考文献 ................................................................................................................................... 30

致谢 ........................................................................................................................................... 31

北方民族大学本科毕业论文(设计)

1

第一章 绪论

1.1 课题研究背景与意义

由于实习原因接触到此类产品,在日常的产品使用与日志分析的过程中,萌生出以

此为主题做毕业设计的想法。

当前情况下, SIEM 在国内的日志分析市场占有率相对较低,研究本课题对使用此

产品以及对关键的安全问题有一定的借鉴作用。此外,研究此课题能够加深我对 SIEM

产品的理解,在研究的过程中,也会制定相应的日志范化规则和场景下的关联策略,为

团队建立起有关 SIEM 的知识工程。

1.2 国内外研究现状

国外自 2002 年提出 SIM SEM 的概念,并于 2008 年市场打开, SIEM 产品逐渐

被应用到公司的管理环境中;在 Gartner 2018 年SIEM(安全事件与信息管理)市

场分析》 [1] 的报告显示, SIEM 目前属于相对成熟的市场,而且竞争比较激烈。全球 SI

EM 市场的增幅相对也比较大。 SIEM 的主要目的是管理威胁事件和做出相应的响应与

告警,其次, SIEM 也可以做安全监管与合规管理。根据分析报告显示,拉美和亚太地

区的 SIEM 市场还不够成熟,但是近两年增速迅猛。欧洲北美市场的 SIEM 市场增速慢

慢水平。

SIEM 的品牌销量上看,主要还是集中在欧美的一些公司如: Arcsight Splunk

IBM McAfee LogRhythm 身上,国内做 SIEM 的厂商数量相对也不少,但是 SIEM

在国内一直是不温不火的状态。在今年安在新媒体发布的《 2021 中国网络安全创新实践

调查报告》 [2] 中显示, XDR SIEM 等扩展的检测与响应还处于创新的第三位,市场占

有率相对来说也很低。

北方民族大学本科毕业论文(设计)

2

1.3 主要研究内容

本论文主要研究将以下作为主要内容:

1. 关于 SIME 产品的基本运作,包括 SIEM 本身通过什么样的方式去收集各种安全

设备的日志,如何对收集来的日志进行整理和范化,在范化后制定关联策略的过

程。

2. 结合在实际的项目中遇到的日志,剖析其出现的影响以及对应的响应政策,制定

并落地相应的关联策略,分析其关联策略在应用过程中的影响,并对关联策略进

行优化;

3. 分析 SIEM 平台在应用过程中的优缺点,以及对 SIEM 产品的展望;

北方民族大学本科毕业论文(设计)

3

第二章 SIEM 的基本介绍

2.1 SIEM 的发展与演变

SIEM 发展的萌芽阶段,收集网络设备产生的日志,然后进行存储和查询的日志

管理是 SIEM 的主要功能。最早的 SIEM 的定义产生在 2005 年, Gartner 第一次将 SIM

SEM 的定义合并在一起,并提出了 SIEM 的概念,为安全运营和管理揭开了新的序

幕。此后,随着安全合规政策的出现,又诞生出了新一代日志管理技术 LM6 LM6

前者的区别在于,更加重视海量的日志收集、日志存储以及安全合规,并借鉴搜索引擎

的技术实现海量数据快速的查找和分析的能力。

现在 SIEM 的概念其实是融合了 SIM SEM LM 三者在一起,尽管各个厂商产品

间的侧重的技术能力和功能不同,但以此为基础的总体方向是一致的:即基于大数据基

础架构的集成式 SIEM ,为来自企业和组织中所有网络设备和主机产生的,如:日志、

告警等安全信息进行统一监控、历史分析,对来自内部的违规、误操作行为和外部的入

侵进行监控管理、分析审查、调查取证、出示报告和报表,实现安全设备及内部人员合

规管理的目的。

2010 年以后,随着安全运营的热度, SIEM 随之迎来蓬勃的发展阶段,在市场的占

领和技术的发展上都有了新的进步。 2013 年, SIEM 全球市场规模达到 15 亿美元,相

2012 年度增长 16% ,预示着 SIEM 市场完全成熟且竞争激烈 [3] 。同时,在合规管理的

要求下, SIEM 的购买群体中小型企业的比例渐渐升高,为了解决小型企业购买整体 SI

EM 及解决方案的资金匮乏以及缺乏运营 SIEM 的专业分析师等问题, SIEM 开始在产品

界面、实现的功能,还有商业模式上进行创新,推出 SaaS 软件即服务,进一步推动 SI

EM 在中小型企业的市场占有率。

近两年的 SIEM 平台慢慢在突破原来的功能,开始发展自己对安全事件的响应和处

置能力,慢慢向 SOAR 的方向靠拢,但其核心的竞争力还是体现在出众的日志分析与关

联策略上;有相当一部分的项目都是采用了 SIEM 对日志进行审计,将庞大的日志量精

准筛选到只有威胁行为上,然后发送到 SOAR 上,再进行进一步的处置与响应;

北方民族大学本科毕业论文(设计)

4

2.2 SIEM 工作流

SIEM 需要从企业的安全设备或者主机中收集日志或告警,每次在发生某个行为时,

安全设备都会生成一条日志,并将日志收集到数据库中。 SIEM 的任务是从网络设备或

安全设备上收集数据,对该数据进行范化成统一便于分析的格式。一般来讲, SIEM

过四种方式收集数据 [3]

1. 系统日志记录协议 syslog 。通过设置一台 Syslog 服务器,用来接收来自多个安全设

备产生的日志,并将其以简洁的格式进行存储,存储后便于查询。

2. SNMP/Netflow/IPFIX 等协议允许网络设备提供有关其操作的标准信息,这些信息可

以被日志探针拦截,解析并添加到日志存储中。

3. 厂商自研的或者使用的开源的日志收集器,捕获网络设备上的日志信息,对其进行

解析,然后将其发送到 SIEM 上以进行存储和分析。

4. 直接访问日志探针可以使用 API 或网络协议直接访问网络设备或计算系统,以直接

接收日志。这种方法需要对每个数据源进行自定义集成。

这些发送到 SIEM 上的日志,首先 SIEM 会将基本的日志进行筛选,将来自不同的

设备的日志进行范化,有些字段信息比较复杂,甚至要做二次范化,范化的目的是为了

让所有的日志信息统一,以便后面关联规则更好的实现对日志的分析。范化的三种方式

分别是 Key-Value 、正则匹配和 Json 解析的方式。

通过制定关联的规则,对日志进行审计和筛选,将匹配到的一些恶意高风险行为,

可以以邮件的形式发送给运维人员,能够有效的提高应急响应的能力。

北方民族大学本科毕业论文(设计)

5

第三章 安全场景

3.1 建立安全场景知识体系

在企业日常的网络事件运营中,会有相当多的日志事件,甚至每天就可以多达几千

万条。要想合理有效的从这纷繁复杂的日志中抽离出存在安全威胁的日志样本出来,就

需要建立相当丰富的场景以应对形形色色的攻击渗透事件。场景的运营是我平常的工作

任务之一。建立一个完善的场景需要时间、经验和知识的积累;

在这个过程中,我首先对建立主机安全日志的识别规则;但是在建立的过程中我发

现主机入侵的面太大了,里面设计的场景也是非常多的。所以本文针对 PowerShell 的攻

击面进行建立场景。

3.2 主机中 windows 下的 PowerShell 场景

在使用 SIEM 产品接收 windows 日志时,过程主要是通过 syslog 协议,将主机上的日

志发送到 SIEM 平台上,而后通过 SIEM 平台再将其进行范化;

Windows 日志主要作用是:记录监控系统事件和软、硬件信息,记录系统问题;

Windows 事件日志的主要组成是系统日志、安全日志和应用日志,其中系统日志主要

记录驱动程序、应用崩溃、数据丢失错误等相关日志信息,应用日志主要是记录程序错

误、处理程序调试和开发人员自定义的功能,所以这两类日志主要用于安全运维人员的

排错;安全日志主要用于记录登录日志、对象访问日志、进程追踪日志和特权使用、策

略变更等审计类信息,这一类主要用于系统安全审计,也是溯源取证的重要日志;

除了在日常通过项目真实运营的场景之外,针对于某一类事件的分析,我主要是通

过模拟环境(如 windows 中的域环境,部署 syslog 收发器),通过模拟真实攻击者的行

为,设置审核策略等,最后得到自己想得到的日志;

在这个过程中,本文主要研究了主机下 windows 场景中的 PowerShell 模块,并就此

举例说明在企业应对的安全事件中,可能出现哪些安全情况;

PowerShell 是一种命令行程序和脚本环境,内置在每个受支持的 Windows 系统中。

北方民族大学本科毕业论文(设计)

6

PowerShell 有如下特点 [4]

1. windows7 windows server2008 以上版本是默认安装的;

2. 脚本可以在内存中运行;

3. 可以远程执行;

4. 几乎不会触发杀毒软件;

5. 有很多基于 PowerShell 开发的工具;

6. 执行 PowerShell 一般不会被阻止;

7. 可以用来管理活动目录;

由于 PowerShell 的这些特性,在实际的内网渗透测试中,有相当多的攻击方式都是

通过 PowerShell 展开的。在最初的 PowerShell 版本 2 中,由于运行命令几乎不会被记录,

也就是说攻击者的攻击不会被留下痕迹,所以在 PowerShell 版本 2 中,几乎可以为所欲

为;所以微软官方在版本 3 4 中,加入了更加详细的日志记录,来加强对入侵者的痕

迹记录;因此在针对版本 3 4 PowerShell ,攻击者为了躲避检测记录,使用了各种

各样的绕过和混淆的方法。在 PowerShell 版本 5 中,又加入了反混淆的脚本块日志记录;

于是攻击者就无法再想出好的方法去绕过日志检测了,只能通过去降级 PowerShell 到版

2 中,才能躲避记录。

3.2.1 PowerShell 执行策略被修改

策略的获取使用 "Get-execution Policy" 或者 "Get-Host" 通过命令 “Set-ExecutionPo

licy <Policy name>” 去修改设置(管理员运行),但是在域策略下,有可能依旧不能

更改 powershell 的执行权限,这个时候就需要去绕过执行策略。

3.2.2 绕过执行策略

1 )指定执行策略为 Bypass 或者 Unrestricted 绕过

如: PowerShell.exe -ExecutionPolicy Bypass -File PowerUp.ps1

2 .Base64 编码绕过

即将脚本文件内的命令进行编码,然后再执行

3 powerup 本地特权调用

总页数:34
提示:下载前请核对题目。客服微信:diandahome
下载的文档都包含参考答案
特别声明:以上内容(如有图片或文件亦包括在内)为“电大之家”用户上传并发布,仅代表该用户观点,本平台仅提供信息发布。