1. 互联网网络攻击类

类别 序号 名称
互联网络攻击类 1 识别DDOS攻击
2 web高频攻击
3 外网主机发起特定端口扫描
4 webshell攻击
5 xss攻击检测
6 SQL注入检测
7 网站挂马
1.1 识别DDOS攻击
 场景描述
DDoS攻击通过大量合法的请求占用大量网络、系统资源，以达到瘫痪网络、系统的目的。 这种攻击方式可分为以下几种：
通过使网络过载来干扰甚至阻断正常的网络通讯；
通过向服务器提交大量请求，使服务器超负荷；
阻断某一用户访问服务器；
阻断某服务与特定系统或个人的通讯。
 所需日志
外网FW Traffic日志
 数据预处理
1、取前一周的FW Traffic日志入口流量数据：设备、时间、服务、持续时长、源IP地址、目的IP地址、源端口、目的端口、收到的流量；
2、对前一周的数据按照时间段（10分钟）进行流量统计，取中位数；
3、对前一周的数据按照时间段（10分钟）进行连接数统计，取中位数；
4、取10分钟内的FW Traffic日志入口流量数据，统计总入口流量和连接数。
 模型
1、以前一周入口流量按时间段统计的数据为基线；
2、将10分钟内的准实时入口流量与基线流量数据进行比对，若准实时入口流量比基线数据超出20%，则认为流量异常，疑似遭到大流量DDOS攻击；
3、将10分钟内的准实时入口连接数量与基线连接数进行比对，若准实时入口连接数比基线连接数超出20%，则认为连接数量异常，疑似遭到大连接数DDOS攻击；
4、流量异常或者连接数量异常，均认为异常。
 输出
1、”疑似DDOS攻击”告警：开始时间、结束时间、源IP、源端口、目的IP、目的端口、连接数量、总流量；
2、在界面上画出前一周的流量和连接数量的基线数据，再展示出准实时统计的流量和连接数量数据，最终由人工判断是否遭受了DDOS攻击。
 适用范围
准实时检测。
1.2 web高频攻击
 场景描述
正常的用户对页面的请求，频次相对来说较低。但是web高频攻击，通常采用程序极力模仿正常用户的网页请求行为，快速的访问页面请求，因此攻击容易发起而且可以长期高强度的持续。
 所需日志
Web服务器页面访问日志
 数据预处理
1、取前一周的Web服务器页面访问日志：时间、源IP地址、URL；
2、对前一周的数据按照时间段（10分钟）进行访问次数统计，取中位数；
3、取10分钟内的Web服务器页面访问日志，统计总的访问次数。
 模型
1、以前一周访问次数按时间段统计的数据为基线；
2、将10分钟内的访问次数与基线访问次数数据进行比对，若10分钟内的访问次数比基线基线访问次数超出20%，则认为访问异常，疑似遭Web高频访问攻击。
 输出
1、“Web高频攻击”告警：源IP地址、开始时间、结束时间、访问次数；
2、在界面上画出前一周的访问次数的基线数据，再展示出准实时统计的访问次数数据，最终由人工判断是否遭受了Web高频攻击。
 适用范围
准实时检测。
1.3 外网主机发起特定端口扫描
 场景描述
外部IP发动对多个内网主机的特定端口扫描，用于发现特定端口的开放情况，然后进一步地发现该端口对应的服务及漏洞，进而利用。
 所需数据
外网FW Traffic入口流量日志
 数据预处理
1、取十分钟之内的外网FW Traffic入口流量日志action=Permit的记录：
2、源IP地址、目的端口、目的IP地址
 模型
1、对十分钟内的入口流量日志记录，按照源IP地址和目的端口地址进行分组统计，统计出一个源IP地址，对同一个目的端口，对多少台内网主机发起了连接，伪代码如下：
SELECT 源IP地址,目的端口,COUNT(目的IP地址) FROM 外网入口流量记录
GROUP BY 源IP地址,目的端口
2、IF COUNT(目的IP地址) > 阈值
THEN 发生”外网主机发起特定端口扫描”行为
 输出
”外网主机发起特定端口扫描”告警；
实施端口扫描主机的IP地址、被扫描的端口、被扫描的IP主机数量、开始时间、结束时间。
 适用范围
准实时检测。
1.4 webshell攻击
 场景描述
WebShell通常是以asP、php、jsp或者cgi等网页文件形式存在的—种命令执行环境，也可以称为—种网页后门。 它可以上传下载文件、查看数据库、执行任意程序命令等。因此，可以根据webshell的功能进行判断，例如一个文件请求的参数带有文件名字，带有data数据，可以判断这个文件正在对另外一个文件进行编辑，同理可以判断这个文件名是否发送了常见的系统命令，或者判断这个文件是否发送数据，创建一个新的文件，然后这个文件在访问的时候返回的http代码是200.
 所需日志
系统Web日志（参数包含大量数据，脚本执行函数，系统命令）。
 数据预处理
提取一天内web访问日志。
 模型
1、如果日志中包含非常规文件名如 b374k.php/1.asp/php spy.php/XX.asp;.jpg等，则疑似webshell；
2、统计页面的访问次数，如果某个页面的访问量低于阈值，属于孤立页面，疑似webshell；
3、统计访问页面的IP数量，如果访问某个页面的IP数量低于阈值，属于孤立IP，疑似攻击者IP；
4、提取web日志中post行为,参数为upload提交内容为*.asp *.aspx .php，并且 状态码：200的 数据，疑似攻击者上传webshell行为；
5、提取孤立的访问时间窗口（非正常作息时间）数据，作为判断攻击者访问webshell的时间依据。
 输出
webshell文件名、访问ip 、访问时间、 何时创建webshell、访问窗口。
 适用范围
实时检测、日志检测。
1.5 xss攻击检测
 场景描述
网站程序在接受用户提交的内容后，没有对在HTML文件中有特殊含义的字符和关键字进行过滤，并将其直接显示在网页上，导致用户提交的内容改变了网页原有的结构，尤其是当输入的是有害脚本时，会危害网站网站程序的这类问题称为跨站脚本漏洞。
 所需数据
Web服务器页面访问日志。
 数据预处理
取Web服务器页面访问日志：源IP地址、访问时间、请求方法/参数。
 模型
1、如果请求方法/参数与正则表达式
javascript|vbscript|expression|applet|meta|xml|blink|link|style||embed|frame|frame|frameset|ilayer|layer|bgsound|title|base|alert|confirm|prompt|on[a-z|A-Z]{1,10}匹配，则说明发生“XSS攻击”事件。
 输出
”XSS攻击”告警：源IP地址、时间、请求方法/参数。
 适用范围
准实时检测。
1.6 SQL注入检测
 场景描述
网站程序在使用SQL语句执行数据库操作时，没有对用户提交的内容做出正确的处理，导致用户提交的内容破坏了程序原先的SQL语句结构，使得网站程序对数据库操作出错或改变预定的数据库操作行为，网站程序的这种问题称为SQL注入漏洞。
 所需数据
Web服务器页面访问日志。
 数据预处理
取Web服务器页面访问日志：源IP地址、访问时间、请求方法/参数。
 模型
1、如果请求方法/参数与正则表达式’union|and.1=1|select.from.|delete.|insert.into.|(CREATE|ALTER|DROP|TRUNCATE).(TABLE|DATABASE)‘,0) !=’'匹配成功，则说明发生“SQL注入”事件。
 输出
”SQL注入”告警：源IP地址、时间、请求方法/参数。
 适用范围
准实时检测。
1.7 网站挂马
 场景描述
在形形色色的互联网中，网站被挂马是非常严重的安全事件，因为这不仅标志着自己的网站被控制，而且还会影响到网站的用户，不管是杀毒软件的“友情”提示还是用户中木马，对网站的信誉都有严重的影响。对于黑客，他们通过网站挂马，可以直接批量控制中马用户的计算机，不仅可以盗取各类账号（邮箱、游戏、网络支付），还可以进行交易劫持等其他利益用途。针对安全资产，有报告网站挂马事件，则产生告警。
 所需日志
网站监测。
 数据预处理
取5分钟内的网站监测设备（各大厂商均有网站监测设备）日志：网站名称、时间、事件类型、事件描述。
 模型
如果事件类型为“网站挂马”，则认为“网站挂马”事件发生。
 输出
“网站挂马”告警：网站名称、时间、事件描述。
 适用范围
准实时监测。
2. 内部违规操作类

类别 序号 名称
内部违规操作类 1 Unix/Linux查看敏感文件
2 Unix/Linux 关闭syslog
3 Unix/Linux iptables关闭
2.1 Unix/Linux查看敏感文件
 场景描述
Unix/Linux系统中，passwd、shadow等文件一般是不能编辑和替换的，一旦发生编辑和替换此类文件的操作，则认为可能是主机已经被黑客攻陷或者有内部人员在恶意查看敏感文件。
 所需日志
Unix/Linux主机日志。
 数据预处理
取一天的Unix/Linux主机命令日志：时间、操作人、操作命令。
 模型
日志中匹配到shadow/passwd并且匹配到vi/vim/mv/cp/rm等则认为编辑/查看敏感文件事件发生。
 输出
“查看/编辑敏感文件”告警：操作人、操作命令。
2.2 Unix/Linux 关闭syslog
 场景描述
Uinx/Linux系统中，syslog是不应该被关闭的，一旦发生syslog关闭事件，则说明有人主观上不希望其操作被记录下来。
 所需数据
Unix/Linux主机日志。
 数据预处理
取一天的Unix/Linux主机命令日志：时间、操作人、操作命令。
 模型
日志中匹配到syslog并且匹配到stop等则关闭syslog事件发生。
 输出
“syslog关闭事件”告警：操作人、操作命令。
2.3 Unix/Linux iptables关闭
 场景描述
Uinx/Linux系统中，iptables是不应该被关闭的，一旦发生iptables关闭事件，则需要告警。
 所需数据
Unix/Linux主机日志。
 数据预处理
取一天的Unix/Linux主机命令日志：时间、操作人、操作命令。
 模型
日志中匹配到iptables并且匹配到stop或者off等则关闭iptables事件发生。
 输出
“iptables关闭事件”告警：操作人、操作命令。