[[172737]]

如今網絡安全事件的復雜程度不斷攀升，從傳統的病毒到蠕蟲、木馬的過程，這是一種網絡威脅進化的過程，你再用傳統的監控工具就OUT了。要想對抗攻擊，首先需要發現攻擊，通過抓包的常規做法比較滯后，而且也只能發現局部問題，已不滿足我們對可視化網絡安全運維的需要,你選擇的多數軟件都無法滿足對網絡攻擊可視化的需求。若想更佳方便的發現網絡異常，這里我們還是使用OSSIM平臺，下面看幾個網絡常見的攻擊類型和OSSIM對策：

上圖中用System Compromise表示疑似被入侵或遭受損失的攻擊類型;

Exploitation表示含有漏洞，或出現漏洞利用的攻擊類型;

Delivery表示交付和攻擊類型;

Reconnaissance &Probing 表示偵測和探測，有試圖發現網絡攻擊的行為;

Environmental表示政策違規，易受攻擊的或可以的通訊;

在我們的身邊，每一秒都有可能有一個惡意軟件新樣本產生，高達83%的企業遭受過高級持續威脅的攻擊…大數據不僅僅是客戶所面臨的挑戰，對安全產品供應商也同樣。如果說，風險等于威脅乘以資產再乘以漏洞，那么大數據時代，風險正變得更加諱深莫測。OSSIM把這一切難題變得更加簡單易行。下面看幾個典型攻擊實例面對OSSIM的表現吧。

1. ICMP攻擊

主要包括利用大量ICMP Redirect包修改系統路由表的攻擊和使用ICMP協議實施的拒絕服務攻擊。

2.掃描攻擊- nmap掃描

聚合后的事件，如下圖所示。

在OSSIM中利用上面的攻擊圖和告警關聯工具可以結合在一起，進行危害評估，告警關聯工具可將一些特殊的，多步攻擊(往往是APT)產生的零散報警，“憑湊”在一起，以便把攻擊者的意圖展現給分析人員。

3.特洛伊木馬攻擊

最早的Zeusbot通過直接與它的C&C服務器進行通信來下載配置數據和上傳竊取的信息。

4.蠕蟲攻擊，例如Win32.Koobface.AC

Win32.Koobface.AC是一種通過Facebook社交網站進行傳播的蠕蟲.它通過發送信息到被感染用戶社交網站上的聯系列表進行傳播。如您看不懂這些也可先查詢惡意代碼知識百科

5. 檢查出感染惡意軟件

6.發現掛馬攻擊 EK是ExploitKit的縮寫，表示Angler釣魚工具套件或工具包

7.發現用指令控制服務器C&C(控制僵尸網絡)

8.發覺疑似MySQL攻擊

9. 實現手法

這種識別技術源于旁路監聽，即采用將網卡設置為混雜模式接入Switch鏡像口的方式實現網絡設局的實時旁路捕獲，并對所獲得的網絡數據進行檢測，它的基礎就在于NIDS基本體制。在NIDS中采用了基于精細的協議解析分流網絡數據，通過一些小特征庫進行并行匹配，由于在Snort時代是單線程處理，所以系統的效率瓶頸問題一直是匹配速度問題，目前升級到Suricata后情況有所緩解。NIDS檢測的速度和檢測顆粒度就跟協議解析深度、特征匹配的速度以及特征庫的質量息息相關。從某種角度上看OSSIM是一個網絡病毒傳播的監控系統，核心功能之一是在OSSIM中用到了關聯分析引擎搭配中間件和緩存系統輔助，要了解詳情請參考《開源安全運維平臺-OSSIM最佳實踐》一書。