异常检测技术的误报率比较高，而误用检 测技术误报率比较低。
新的区分方法
基于模式预测的方法 基于机器学习的方法 基于数据挖掘的方法 ······
NSM技术体系——分析
对提交的告警信息进行识别、验证和确认 分析技术：
数据包分析：纵向分析/关联性分析 数字取证：内存数据/硬盘数据/IDS记录 程序行为分析：沙箱
攻击方：夜深人静, 攻其弱点 防守方：全天候全面防护
信息不对称
攻击方：通过网络扫描、探测、踩点对攻击目标全 面了解
防守方：对攻击方一无所知
后果不对称
攻击方：任务失败，极少受到损失 防守方：安全策略被破坏，利益受损
网络安全监控概念
网络安全监控（Network Security Monitoring， NSM）
误用检测（特征检测）
误用检测的误报率较低
只需收集相关的数据集合，减少系统负担， 且技术已相当成熟。
误用检测的漏报率较高
仅仅刻画已知的入侵和系统误用模式，因此 该技术不能检测出未知的入侵
在模式匹配基础上增加了协议分析技术，以 提高误用检测的性能。
异常检测
假设：入侵者的行为与正常用户的行为不 同，利用这些不同可以检测入侵行为。
NSM作用机制
攻击者
攻击者
IPS NSM
敏感信息
FW
AV
攻击者
NSM DLP
FW—防火墙
IPS—入侵保护系统
DLP—数据泄露防护
攻击者
NSM—网络安全监控
NSM部署网络传感器，以整合有效的安全策略为基础，处
理分析收集到的信息，为检测和入侵响应提供依据。
NSM工作特征
聚焦检测响应
聚焦于事中检测和及时响应，及时发现和阻断攻击链
全包捕获数据
完整地记录了两个网络节点之间传输的每 一个数据包，PCAP数据格式
细粒度的且高价值的信息，常用于取证和 上下文分析
数据体量太大，所需存储成本过高，不适 合长期存储；
完整数据包不方便快速审计，解析难度也 较大。
包字符串数据
介于全包捕获数据和会话数据之间 根据自定义的数据格式从全包捕获数据中
误用检测（特征检测）
特征类型分类
主机/网络 稳定/可变 原子/可计算
特征构成了误用模式数据库（特征库） 误用检测的性能很大程度上依赖于特征库
的质量
误用检测（特征检测）
特征类型分类
主机/网络 稳定/可变 原子/可计算
特征构成了误用模式数据库（特征库） 误用检测的性能很大程度上依赖于特征库
·流量数据
·日志数据 ·告警数据
收集
·
·误用检测 ·异常检测
检测
NSM技术体系——规划
主要任务：制定网络安全监控方案 从安全需求分析开始，始终围绕“威胁” 步骤：
威胁建模 量化风险 确定数据源 细化重点
NSM技术体系——收集
NSM的可靠性和准确依赖于数据的可靠 性和完备性
传感器实现数据收集 数据类型丰富
确保网络信息系统安全运行 防止攻击者实施渗透、破坏和信息窃取 进行信息收集、事件分析 为网络安全应急处理提供决策依据
NSM发展历程
NSM最早起源于入侵检测 1998年美国空军计算机应急响应小组（AFCERT）部
署了第一个监控网络流量的入侵检测系统——网络安全 监控器（NSM） 1993年AFCERT在NSM基础上升级部署了自动化安全 事件评估系统（ASIM） 网络安全监控逐步由被动变为主动，采用蜜罐 （Honeypot）、沙箱（Sand Box）等欺骗式防御技术。 趋势：更加关注高级态势感知的情报需求
分析捕获数据来了解攻击新工具和新方法 主要包括：
网络协议分析 网络行为分析 攻击特征分析 ······
程序行为分析
一般利用沙箱对恶意程序的运行情况进行 跟踪分析
分析对象
文件操作 注册表操作 进程/线程操作 网络行为 内核加载操作
NSM部署
部署时重点考虑数据来源的可靠性与完备 性
一般通过工具或者dump文件来获取
数字取证——硬盘数据
从硬盘中提取与文件和文件系统有关的数 据信息
对读取的原始磁盘数据依照文件和文件系 统格式进行文件恢复，甚至对已经遭到破 坏的文件和文件碎片进行修复还原。
相关技术：痕迹检测、相关性分析、高效 搜索算法、完整性校验算法和数据挖掘算 法等
数字取证——网络取证
第十二章 网络安全监控
目录
12.1 网络安全监控概述 12.2 入侵检测系统 12.3 蜜罐 12.4 沙箱
12.1 网络安全监控概述
NSM概念 NSM背景和意义 NSM发展历程 NSM作用机制 NSM工作工作量不对称
网络流量数据
会话数据/全包捕获数据/包字符串数据
日志数据 告警数据
会话数据
两个网络节点之间的通信记录 包括协议、源和目的IP地址、源和目的端
口、通信开始和结束的时间戳、通信的数 据量等 会话数据体量小、使用灵活，适合大规模 存储，保存时间长 方便快速梳理和解析，常用于事后统计和 分析。
工具
Wireshark、Redline、Net Treat Analyzer、 Walleye等
NSM技术体系——分析
对提交的告警信息进行识别、验证和确认 帮助确定某个恶意行为在整个安全事件中
的作用和发生时机 分析技术：
数据包分析：纵向分析/关联性分析 数字取证：内存数据/硬盘数据/IDS记录 程序行为分析：沙箱
受监控服务器
以威胁为中心
以潜在的威胁为线索，优化数据收集和分析，提高攻击现场的 还原能力
注重情报使能
通过学习积累形成关于特定攻击者的网络“轮廓” 基于信誉度检测，提高效率
NSM技术体系
主要包括规划、收集、检测和分析
规划
·威胁建模
·量化风险
·明确数据源
·细化重点
·数据包分析 分析 ·恶意软件分析
·取证
数据来源：主机、网络和蜜罐 基于网络的IDS通过传感器收集网络流量
传感器独立的检测引擎 共享介质环境：任意位置接入 交换环境：交换机设置端口镜像
NSM部署
共享介质环境：任意位置接入
控制台
传感器
HUB
受监控服务器
NSM部署
交换环境：交换机设置端口镜像
控制台
传感器
交换机 通过端口镜像实现
（SPAN / Port Monitor）
数据包分析
根据告警信息对数据包进行细致的分析和 解读，以实现对告警信息的验证和潜在攻 击线索
纵向分析：严格按照协议层次和格式，对 封装的数据包进行拆分和解析。
关联性分析：对各类信息进行关联和综合， 从而对网络事件进行判断，帮助甄别误报 或查找漏报。
数字取证
源自于计算机取证 主要关注计算机内存、硬盘数据以及入侵
流量镜像的方式不会影响正常通信 网络分流器通常接在路由器和交换机之间，
专用的硬件设计，较高的性能和可靠性。
日志数据:目标主机上运行代理程序,获取 主机的审计数据、系统日志、应用程序日 志等。
NSM技术体系——检测
是指以网络流量、日志和审计信息为数据 源，对网络实时连接和主机文件等进行检 测，发现可疑事件并作出告警。
告警信息是检测的重要检测结果 入侵检测系统（IDS）进行检测
误用检测（特征检测） 异常检测
误用检测（特征检测）
发展相对成熟，最早且最广泛的检测技术 假设：
所有入侵行为都有可被检测到的特征
工作原理：
对入侵行为的特征进行描述，在收集的数据 中如果找到符合特征描述的行为，则视之为 入侵
导出 解决了全包捕获数据对存储空间要求过高，
而会话数据粒度不够、缺乏详细信息等问 题 容易存储管理、分析统计。
日志数据
充分利用系统和应用程序日志文件信息 源自设备、系统或应用的原始日志文件 通常包括：Web代理日志、防火墙日志、
操作系统安全日志和系统登录日志等 记录用户认证与授权、用户登录、网络访
工作原理是是对正常行为建模，在对网络 流量或事件监测时，所有不符合常规行为 模型的事件就被怀疑为攻击。
利用统计分析和预测等方法检测入侵 轮廓（Profile）：定义出各种行为参数及
其属性值的集合，描述正常行为。
异常检测
异常检测具有更强的针对未知网络攻击的 检测发现能力，但技术实现的难度也更大。
问、文件读取等各种网络和系统行为
告警数据
由检测工具依据配置规则在检查中所生成 的告警报警记录和说明
告警数据反映了网络或系统的异常
例如，系统目录和文件的非期望改变，替换 动态链接库等系统程序或修改系统日志文件。
告警数据本身体量非常小，通常仅包含指 向其他数据的指针，常用于分析。
数据收集
传感器实现：软件/硬件。 网络流量数据：流量镜像/网络分流器
的质量
误用检测（特征检测）
公开信誉度列表是由开源社区志愿者支持 维护的关于互联网恶意行为的信息列表
主要收录恶意域名、可疑IP地址、恶意程 序签名等
知名的公开信誉度列表有：恶意软件域名 列表MDL、ZeuS和SpyEye追踪器、 PhishTank，垃圾邮件IP地址封堵名单 Spamhaus，MalCode数据库等。
通过对网络安全状态进行动态、持续的监控， 及早发现为了安全威胁与内在隐患，有效遏止 和阻断攻击，最大限度降低威胁程度并减少危 害损失。
NSM背景
2002年有理查德·贝杰提出，定义为“关 于收集、分析和增强预警以检测和响应入 侵的技术”
基于两个根本性假设
安全漏洞不可避免 网络预防终究失效
NSM意义
检测系统的工作记录、系统审计记录、操 作系统日志记录和反病毒软件日志记录等 分为
内存数据取证 硬盘数据取证 网络取证
数字取证——内存数据
从内存中提取与攻击相关的数据信息。 主要包括：