提示：正文共6400字，預(yù)計(jì)閱讀需要17分鐘

入侵檢測(cè)

入侵檢測(cè)是幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng))，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)是系統(tǒng)保護(hù)的最后一道安全閘門(mén)，在不影響網(wǎng)絡(luò)和主機(jī)性能的情況下進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。

入侵行為的影響程度取決于對(duì)信息安全CIA三元組的破壞程度、商業(yè)壓力及監(jiān)管壓力等多方面的影響。

黑客在未經(jīng)授權(quán)的情況下，控制、使用我方資源（包括但不限于讀寫(xiě)數(shù)據(jù)、執(zhí)行命令、控制資源等）達(dá)到各種目的。從廣義上講，黑客利用SQL注入漏洞竊取數(shù)據(jù)，或者拿到了目標(biāo)域名在ISP中的帳號(hào)密碼，以篡改DNS指向一個(gè)黑頁(yè)，又或者找到了目標(biāo)的社交帳號(hào)，在微博/QQ/郵箱上，對(duì)虛擬資產(chǎn)進(jìn)行非授權(quán)的控制，都屬于入侵的范疇。

企業(yè)入侵檢測(cè)的范圍，多數(shù)情況下比較狹義：一般特指黑客對(duì)PC、系統(tǒng)、服務(wù)器、網(wǎng)絡(luò)（包括辦公網(wǎng)、生產(chǎn)網(wǎng)）控制的行為。

黑客對(duì)PC、服務(wù)器等主機(jī)資產(chǎn)的控制，最常見(jiàn)的方法是通過(guò)Shell去執(zhí)行指令，獲得Shell的這個(gè)動(dòng)作叫做GetShell。

比如通過(guò)Web服務(wù)的上傳漏洞，拿到WebShell，或者利用RCE漏洞直接執(zhí)行命令/代碼（RCE環(huán)境變相的提供了一個(gè)Shell）。另外，通過(guò)某種方式先植入“木馬后門(mén)”，后續(xù)直接利用木馬集成的SHELL功能對(duì)目標(biāo)遠(yuǎn)程控制，這個(gè)也比較典型。

因此，入侵檢測(cè)可以重點(diǎn)關(guān)注GetShell這個(gè)動(dòng)作，以及GetShell成功之后的惡意行為（為了擴(kuò)大戰(zhàn)果，黑客多半會(huì)利用Shell進(jìn)行探測(cè)、翻找竊取、橫向移動(dòng)攻擊其它內(nèi)部目標(biāo)，這些區(qū)別于好人的特性也可以作為重要的特征）。

有一些商業(yè)產(chǎn)品，喜歡報(bào)告GetShell之前的一些“外部掃描、攻擊探測(cè)和嘗試行為”，并美其名曰“態(tài)勢(shì)感知”，告訴企業(yè)有人正在“試圖攻擊”。在筆者看來(lái)，實(shí)戰(zhàn)價(jià)值并不大。很多企業(yè)，基本上無(wú)時(shí)無(wú)刻都在遭受“不明身份”的攻擊，知道了有人在“嘗試”攻擊，如果并不能有效地去行動(dòng)，無(wú)法有效地對(duì)行動(dòng)進(jìn)行告警，除了耗費(fèi)心力之外，并沒(méi)有太大的實(shí)際價(jià)值。

當(dāng)我們習(xí)慣“攻擊”是常態(tài)之后，就會(huì)在這樣的常態(tài)下去解決問(wèn)題，可以使用什么加固策略，哪些可以實(shí)現(xiàn)常態(tài)化的運(yùn)營(yíng)，如果有什么策略無(wú)法常態(tài)化運(yùn)營(yíng)，比如需要很多人加班臨時(shí)突擊守著，那這個(gè)策略多半在不久之后就會(huì)逐漸消逝掉。跟我們做不做這個(gè)策略，并沒(méi)有本質(zhì)上的區(qū)別。

類(lèi)似于SQL注入、XSS等一些不直接GetShell的Web攻擊，暫時(shí)不在狹義的“入侵檢測(cè)”考慮范圍，建議可以劃入“漏洞”、“威脅感知”等領(lǐng)域，另行再做探討。當(dāng)然，利用SQL注入、XSS等入口，進(jìn)行了GetShell操作的，我們?nèi)宰etShell這個(gè)關(guān)鍵點(diǎn)，不必在乎漏洞入口在何處。

入侵檢測(cè)技術(shù)

入侵檢測(cè)技術(shù)：入侵檢測(cè)是指“通過(guò)對(duì)行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測(cè)到對(duì)系統(tǒng)的闖入或闖入的企圖”。

入侵檢測(cè)技術(shù)從結(jié)構(gòu)上包含：入侵檢測(cè)知識(shí)庫(kù)、入侵檢測(cè)主體、入侵檢測(cè)體系等子結(jié)構(gòu)。

1.     通過(guò)特征、模型、異常檢測(cè)等手段進(jìn)行入侵防御。

2.     部署于主機(jī)之上，實(shí)現(xiàn)無(wú)盲區(qū)覆蓋。

3.     在高可用場(chǎng)景下依然可用，基于異常的啟發(fā)式規(guī)則，將變種入侵手段通過(guò)行為特征捕獲。

4.     可通過(guò)時(shí)間窗口關(guān)聯(lián)多次行為特征，提高入侵檢測(cè)的敏感和準(zhǔn)確度。

5.     基于已知的行為判斷發(fā)現(xiàn)發(fā)現(xiàn)未知的入侵行為。

入侵檢測(cè)體系

入侵檢測(cè)體系是根據(jù)入侵檢測(cè)知識(shí)庫(kù)建立的對(duì)抗入侵行為的制度和框架。入侵檢測(cè)體系從粗糙臃腫、定位籠統(tǒng)不清晰的安全運(yùn)營(yíng)體系中抽離并對(duì)入侵檢測(cè)體系再次抽象。

從而對(duì)企業(yè)內(nèi)部入侵檢測(cè)制度規(guī)范、檢測(cè)策略、框架產(chǎn)生定義。入侵檢測(cè)主體根據(jù)入侵檢測(cè)知識(shí)庫(kù)提供設(shè)計(jì)指導(dǎo)思想，建設(shè)和實(shí)施入侵檢測(cè)體系。對(duì)檢測(cè)到入侵行為后還原事件提供極大的幫助。

入侵檢測(cè)框架

入侵檢測(cè)框架是入侵檢測(cè)實(shí)施主體結(jié)合入侵檢測(cè)體系的制度規(guī)范、入侵檢測(cè)框架的設(shè)計(jì)需求，對(duì)入侵檢測(cè)系統(tǒng)的產(chǎn)生定義。為入侵檢測(cè)系統(tǒng)實(shí)例提供設(shè)計(jì)標(biāo)準(zhǔn)，功能模塊等方面的指導(dǎo)思想。是為了提高同步性、整合性、解耦方面的產(chǎn)物。

魯棒性：比如說(shuō)，計(jì)算機(jī)軟件在輸入錯(cuò)誤、磁盤(pán)故障、網(wǎng)絡(luò)過(guò)載或有意攻擊情況下，能否不死機(jī)、不崩潰，就是該軟件的魯棒性。

入侵檢測(cè)目標(biāo)

1.      解決現(xiàn)有入侵檢測(cè)商業(yè)化方案不能完美符合企業(yè)要求的問(wèn)題：

• 性?xún)r(jià)比差：商業(yè)化解決方案對(duì)于技術(shù)成熟度高的企業(yè)收費(fèi)和回報(bào)不成正比。

• 擴(kuò)展性差：產(chǎn)品難以自主控制，擴(kuò)展性小，無(wú)法隨性更改功能模塊，難以滿足企業(yè)定制化要求。

• 定制性差：針對(duì)特殊場(chǎng)景的感知能力有限，不開(kāi)放檢測(cè)策略，難以滿足安全工程師對(duì)于自身企業(yè)自定義策略。

• 關(guān)聯(lián)性差，難以和其他入侵檢測(cè)系統(tǒng)進(jìn)行適配，無(wú)法完善的貼合已有入侵檢測(cè)框架及入侵檢測(cè)體系。

• 響應(yīng)度差，需求得不到及時(shí)的回應(yīng)，總是會(huì)被排期。

2.     解決入侵檢測(cè)效率低下的問(wèn)題

• 散亂無(wú)章的入侵檢測(cè)實(shí)例各自為戰(zhàn)、不能統(tǒng)一結(jié)合，既無(wú)法產(chǎn)生十分準(zhǔn)確的感知，每個(gè)實(shí)例又單獨(dú)生產(chǎn)出海量告警，使運(yùn)營(yíng)人員響應(yīng)效率低下，長(zhǎng)期以往意志消耗殆盡，從而喪失作戰(zhàn)能力。

• 通過(guò)入侵檢測(cè)框架中各個(gè)系統(tǒng)實(shí)例交叉驗(yàn)證、聯(lián)動(dòng)分析，降低誤報(bào)率

3.     解決無(wú)完善標(biāo)準(zhǔn)化流程的問(wèn)題

• 建立入侵檢測(cè)體系中策略、制度、規(guī)范流程，整體從而在入侵檢測(cè)體系上提升的預(yù)防、檢測(cè)、緩解、事件響應(yīng)、事件還原能力，而不是依賴(lài)單個(gè)入侵檢測(cè)實(shí)例、入侵檢測(cè)主體的技能經(jīng)驗(yàn)，無(wú)規(guī)范、無(wú)序的解決以上問(wèn)題。

4.     提升復(fù)雜入侵場(chǎng)景感知難的能力：

• 提升入侵檢測(cè)技術(shù)之間的協(xié)同：近幾年安全能力迅速發(fā)展，0day、Nday和APT泛濫，對(duì)抗利用各類(lèi)Web應(yīng)用、其他應(yīng)用，操作系統(tǒng)的0day、Nday等等的漏洞入侵過(guò)程中，如果沒(méi)有高效的情報(bào)協(xié)同，實(shí)施主體快速制定的制度、策略，準(zhǔn)確無(wú)誤的安全系統(tǒng)策略下發(fā)，無(wú)情報(bào)的協(xié)同的入侵檢測(cè)，就無(wú)法使制度、策略、框架等多元因素高效協(xié)同；

• 提升體系中各個(gè)元素之間的協(xié)同能力：通過(guò)入侵檢測(cè)體系中制度、策略、框架、主體之間有限融合、高效協(xié)同，通過(guò)解決復(fù)雜入侵場(chǎng)景中入侵行為感知困難的問(wèn)題。

• 彌補(bǔ)靜態(tài)的、未整合的資源下檢測(cè)能力不足的缺陷：靜態(tài)的，未整合的資源及環(huán)境在應(yīng)對(duì)多方位、多變的入侵時(shí)，無(wú)論從預(yù)防過(guò)程、實(shí)踐效率，還是結(jié)果上來(lái)看都很難滿足對(duì)抗部分現(xiàn)有入侵的需求，企業(yè)面臨的多變的入侵風(fēng)險(xiǎn)的現(xiàn)狀從本質(zhì)上決定了入侵監(jiān)測(cè)體系是動(dòng)態(tài)的，可擴(kuò)展的；而靜態(tài)則意味著包含缺陷、盲區(qū)、缺乏維護(hù)等因素。建立入侵檢測(cè)體系恰恰就是以高效檢測(cè)入侵行為為目標(biāo)，最大程度上解決這些問(wèn)題。

5.      解決經(jīng)驗(yàn)無(wú)法賦能至體系中的問(wèn)題

1)      事件響應(yīng)后通過(guò)復(fù)盤(pán)優(yōu)化入侵檢測(cè)知識(shí)庫(kù)，知識(shí)庫(kù)再對(duì)系統(tǒng)賦能形成響應(yīng)閉環(huán)。

6.     解決體系中因制度、策略、框架過(guò)度耦合帶來(lái)的一些問(wèn)題，將入侵檢測(cè)體系中的制度、策略、框架在一定程度上解耦。

• 避免制度發(fā)生變更后同步至策略、框架困難；

• 避免一類(lèi)入侵檢測(cè)實(shí)例發(fā)生問(wèn)題后，導(dǎo)致其他入侵檢測(cè)實(shí)例功能失效；

• 避免主體與框架過(guò)度耦合，如發(fā)生人員離職后檢測(cè)框架因入侵檢測(cè)實(shí)例缺乏維護(hù)，影響整個(gè)入侵檢測(cè)系統(tǒng)正常運(yùn)行。

• 避免實(shí)例間過(guò)度耦合，實(shí)例發(fā)生故障而導(dǎo)致?tīng)恳话l(fā)而動(dòng)全身的情況。

• 除復(fù)雜的入侵場(chǎng)景以外，應(yīng)依靠框架感知大部分入侵行為，避免更換主體后影響入侵檢測(cè)框架的感知、事件還原等功能。在框架中實(shí)例開(kāi)發(fā)時(shí)，應(yīng)盡量使用易用、易維護(hù)、符合評(píng)估要求的公共組件。

入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)是根據(jù)入侵檢測(cè)框架設(shè)計(jì)需求實(shí)現(xiàn)的結(jié)構(gòu)化系統(tǒng)實(shí)例。含有對(duì)入侵行為進(jìn)行自動(dòng)化的監(jiān)視、審計(jì)、緩解、阻斷，事件還原等方面功能。每個(gè)入侵檢測(cè)系統(tǒng)實(shí)例基本含有四個(gè)模塊：事件產(chǎn)生、事件數(shù)據(jù)庫(kù)、事件分析引擎、事件告警引擎觸發(fā)。每一個(gè)入侵檢測(cè)實(shí)例含有一個(gè)或多個(gè)模塊。根據(jù)企業(yè)環(huán)境，各個(gè)實(shí)例的數(shù)據(jù)庫(kù)、分析引擎、告警引擎可能有不同程度的統(tǒng)一。各個(gè)模塊也可能多次、交叉、無(wú)固定順序的進(jìn)行關(guān)聯(lián)形成一個(gè)聯(lián)合整體。（大多數(shù)情況下，阻斷功能可能會(huì)影響業(yè)務(wù)的正常進(jìn)行，不建議輕易嘗試）

入侵檢測(cè)實(shí)例

1.      基線監(jiān)控系統(tǒng)：基于安全策略基線的采集、審計(jì)、配置的近實(shí)時(shí)或定時(shí)基線監(jiān)控系統(tǒng)。基線監(jiān)控系統(tǒng)也可整合至HIDS，也可在依靠操作系統(tǒng)自帶的高級(jí)審核功能作為引擎。

策略：

制度：包含在入侵檢測(cè)體系內(nèi)

框架：包含在入侵檢測(cè)框架內(nèi)

2.      網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（NIDS）：基于網(wǎng)絡(luò)流量特征、網(wǎng)絡(luò)流量模型及啟發(fā)式邏輯對(duì)監(jiān)視、審計(jì)、控制的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（傳統(tǒng)NIDS及基于模型的Web IDS/WAF）；

3.      終端入侵檢測(cè)系統(tǒng)（HIDS）：基于終端行為對(duì)操作系統(tǒng)的程序，可執(zhí)行代碼，異常操作等可疑行為監(jiān)視、審計(jì)的主機(jī)入侵檢測(cè)系統(tǒng)；

4.      反病毒系統(tǒng)（AV）：基于終端的對(duì)惡意程序，惡意代碼執(zhí)行監(jiān)視、控制的反惡意（反木馬、病毒、蠕蟲(chóng)、勒索）行為的入侵防御系統(tǒng)；

5.      防泄漏系統(tǒng)：基于終端或網(wǎng)絡(luò)，對(duì)機(jī)密信息非正?；蜻^(guò)程的轉(zhuǎn)移、竊取、復(fù)制等異常行為預(yù)防、檢測(cè)、緩解的（針對(duì)企業(yè)機(jī)密的透明加解密（HDLP）、網(wǎng)絡(luò)行為審計(jì)（NDLP、行為審計(jì)）、非信任設(shè)備監(jiān)控）系統(tǒng)；

6.      公共流數(shù)據(jù)處理引擎：基于大數(shù)據(jù)產(chǎn)生的數(shù)據(jù)處理引擎，用于實(shí)時(shí)數(shù)據(jù)清洗和存儲(chǔ)，決定了告警的準(zhǔn)確性和實(shí)時(shí)性。

7.      公共安全信息事件管理系統(tǒng)：基于事件處理流程的事件告警、展示、管理的系統(tǒng)。

8.      威脅情報(bào)的系統(tǒng)：實(shí)施主體通過(guò)各種渠道積極獲取威脅情報(bào)或者購(gòu)買(mǎi)威脅情報(bào)廠商產(chǎn)品；

9.      惡意樣本分析沙箱：基于動(dòng)靜態(tài)結(jié)合的手段，通過(guò)分析未知文件的特征、行為的惡意文件檢測(cè)沙箱。

10.    蜜罐誘餌系統(tǒng)：基于偽/實(shí)狀態(tài)結(jié)合的陷阱、誘餌式信息系統(tǒng)對(duì)入侵者進(jìn)行情報(bào)收集的系統(tǒng)（蜜罐）；

11.    其他可擴(kuò)展的對(duì)非正常手段或過(guò)程監(jiān)視、審計(jì)、控制的入侵檢測(cè)系統(tǒng)；

    1.   基于單實(shí)例單點(diǎn)感知的直接異常檢測(cè)

    2.   基于單實(shí)例多點(diǎn)感知的時(shí)序異常檢測(cè)

    3.   基于短時(shí)間內(nèi)多個(gè)實(shí)例異常的組合事件檢測(cè)

常見(jiàn)的入侵手法與應(yīng)對(duì)

如果對(duì)黑客的常見(jiàn)入侵手法理解不足，就很難有的放矢，有時(shí)候甚至?xí)萑搿罢握_”的陷阱里。比如滲透測(cè)試團(tuán)隊(duì)說(shuō)，我們做了A動(dòng)作，你們竟然沒(méi)有發(fā)現(xiàn)，所以你們不行。而實(shí)際情況是，該場(chǎng)景可能不是一個(gè)完備的入侵鏈條，就算不發(fā)現(xiàn)該動(dòng)作，對(duì)入侵檢測(cè)效果可能也沒(méi)有什么影響。每一個(gè)攻擊向量對(duì)公司造成的危害，發(fā)生的概率如何進(jìn)行排序，解決它耗費(fèi)的成本和帶來(lái)的收益如何，都需要有專(zhuān)業(yè)經(jīng)驗(yàn)來(lái)做支撐與決策。

現(xiàn)在簡(jiǎn)單介紹一下，黑客入侵教程里的經(jīng)典流程（完整過(guò)程可以參考?xì)溎Ｐ停?/span>

入侵一個(gè)目標(biāo)之前，黑客對(duì)該目標(biāo)可能還不夠了解，所以第一件事往往是“踩點(diǎn)”，也就是搜集信息，加深了解。比如，黑客需要知道，目標(biāo)有哪些資產(chǎn)（域名、IP、服務(wù)），它們各自的狀態(tài)如何，是否存在已知的漏洞，管理他們的人有誰(shuí)（以及如何合法的管理的），存在哪些已知的泄漏信息（比如社工庫(kù)里的密碼等）......

一旦踩點(diǎn)完成，熟練的黑客就會(huì)針對(duì)各種資產(chǎn)的特性，醞釀和逐個(gè)驗(yàn)證“攻擊向量”的可行性，下文列舉了常見(jiàn)的攻擊方式和防御建議。

高危服務(wù)入侵

所有的公共服務(wù)都是“高危服務(wù)”，因?yàn)樵搮f(xié)議或者實(shí)現(xiàn)該協(xié)議的開(kāi)源組件，可能存在已知的攻擊方法（高級(jí)的攻擊者甚至擁有對(duì)應(yīng)的0day），只要你的價(jià)值足夠高，黑客有足夠的動(dòng)力和資源去挖掘，那么當(dāng)你把高危服務(wù)開(kāi)啟到互聯(lián)網(wǎng)，面向所有人都打開(kāi)的那一刻，就相當(dāng)于為黑客打開(kāi)了“大門(mén)”。

比如SSH、RDP這些運(yùn)維管理相關(guān)的服務(wù)，是設(shè)計(jì)給管理員用的，只要知道密碼/秘鑰，任何人都能登錄到服務(wù)器端，進(jìn)而完成入侵。而黑客可能通過(guò)猜解密碼（結(jié)合社工庫(kù)的信息泄露、網(wǎng)盤(pán)檢索或者暴力破解），獲得憑據(jù)。事實(shí)上這類(lèi)攻擊由于過(guò)于常見(jiàn)，黑客早就做成了全自動(dòng)化的全互聯(lián)網(wǎng)掃描的蠕蟲(chóng)類(lèi)工具，云上購(gòu)買(mǎi)的一個(gè)主機(jī)如果設(shè)置了一個(gè)弱口令，往往在幾分鐘內(nèi)就會(huì)感染蠕蟲(chóng)病毒，就是因?yàn)檫@類(lèi)自動(dòng)化的攻擊者實(shí)在是太多了。

或許，你的密碼設(shè)置得非常強(qiáng)壯，但是這并不是你可以把該服務(wù)繼續(xù)暴露在互聯(lián)網(wǎng)的理由，我們應(yīng)該把這些端口限制好，只允許自己的IP（或者內(nèi)部的堡壘主機(jī)）訪問(wèn)，徹底斷掉黑客通過(guò)它入侵我們的可能。

與此類(lèi)似的，MySQL、Redis、FTP、SMTP、MSSQL、Rsync等等，凡是自己用來(lái)管理服務(wù)器或者數(shù)據(jù)庫(kù)、文件的服務(wù)，都不應(yīng)該針對(duì)互聯(lián)網(wǎng)無(wú)限制的開(kāi)放。否則，蠕蟲(chóng)化的攻擊工具會(huì)在短短幾分鐘內(nèi)攻破我們的服務(wù)，甚至直接加密我們的數(shù)據(jù)，甚至要求我們支付比特幣，進(jìn)行敲詐勒索。

還有一些高危服務(wù)存在RCE漏洞（遠(yuǎn)程命令執(zhí)行），只要端口開(kāi)放，黑客就能利用現(xiàn)成的exploit，直接GetShell，完成入侵。

防御建議：針對(duì)每一個(gè)高危服務(wù)做入侵檢測(cè)的成本較高，因?yàn)楦呶７?wù)的具體所指非常的多，不一定存在通用的特征。所以，通過(guò)加固方式，收斂攻擊入口性?xún)r(jià)比更高。禁止所有高危端口對(duì)互聯(lián)網(wǎng)開(kāi)放可能，這樣能夠減少90%以上的入侵概率。

Web入侵

隨著高危端口的加固，黑客知識(shí)庫(kù)里的攻擊手法很多都會(huì)失效了。但是Web服務(wù)是現(xiàn)代互聯(lián)網(wǎng)公司的主要服務(wù)形式，不可能都關(guān)掉。于是，基于PHP、Java、ASP、ASP.NET、Node、C寫(xiě)的CGI等等動(dòng)態(tài)的Web服務(wù)漏洞，就變成了黑客入侵的最主要入口。

比如，利用上傳功能直接上傳一個(gè)WebShell，利用文件包含功能，直接引用執(zhí)行一個(gè)遠(yuǎn)程的WebShell（或者代碼），然后利用代碼執(zhí)行的功能，直接當(dāng)作Shell的入口執(zhí)行任意命令，解析一些圖片、視頻的服務(wù)，上傳一個(gè)惡意的樣本，觸發(fā)解析庫(kù)的漏洞......

Web服務(wù)下的應(yīng)用安全是一個(gè)專(zhuān)門(mén)的領(lǐng)域，具體的攻防場(chǎng)景和對(duì)抗已經(jīng)發(fā)展得非常成熟了。當(dāng)然，由于它們都是由Web服務(wù)作為入口，所以入侵行為也會(huì)存在某種意義上的共性。相對(duì)而言，我們比較容易能夠找到黑客GetShell和正常業(yè)務(wù)行為的一些區(qū)別。

針對(duì)Web服務(wù)的入侵痕跡檢測(cè)，可以考慮采集WAF日志、Access Log、Auditd記錄的系統(tǒng)調(diào)用，或者Shell指令，以及網(wǎng)絡(luò)層面Response相關(guān)的數(shù)據(jù)，提煉出被攻擊成功的特征，建議我們將主要的精力放在這些方面。

0day入侵

通過(guò)泄漏的工具包來(lái)看，早些年NSA是擁有直接攻擊Apache、Nginx這些服務(wù)的0day武器的。這意味著對(duì)手很可能完全不用在乎我們的代碼和服務(wù)寫(xiě)成什么樣，拿0day一打，神不知鬼不覺(jué)就GetShell了。

但是對(duì)于入侵檢測(cè)而言，這并不可怕：因?yàn)闊o(wú)論對(duì)手利用什么漏洞當(dāng)入口，它所使用的Shellcode和之后的行為本身依然有共性。Apache存在0day漏洞被攻擊，還是一個(gè)PHP頁(yè)面存在低級(jí)的代碼漏洞被利用，從入侵的行為上來(lái)看，說(shuō)不定是完全一樣的，入侵檢測(cè)模型還可以通用。

所以，把精力聚焦在有黑客GetShell入口和之后的行為上，可能比關(guān)注漏洞入口更有價(jià)值。當(dāng)然，具體的漏洞利用還是要實(shí)際跟進(jìn)，然后驗(yàn)證其行為是否符合預(yù)期。

辦公終端入侵

絕大多數(shù)APT報(bào)告里，黑客是先對(duì)人（辦公終端）下手，比如發(fā)個(gè)釣魚(yú)郵件，哄騙我們打開(kāi)后，控制我們的PC，再進(jìn)行長(zhǎng)期的觀察/翻閱，拿到我們的合法憑據(jù)后，再到內(nèi)網(wǎng)漫游。所以這些報(bào)告，多數(shù)集中在描述黑客用的木馬行為以及家族代碼相似度上。而反APT的產(chǎn)品、解決方案，多數(shù)也是在辦公終端的系統(tǒng)調(diào)用層面，用類(lèi)似的方法，檢驗(yàn)“免殺木馬”的行為。

因此，EDR類(lèi)的產(chǎn)品+郵件安全網(wǎng)關(guān)+辦公網(wǎng)出口的行為審計(jì)+APT產(chǎn)品的沙箱等，聯(lián)合起來(lái)，可以采集到對(duì)應(yīng)的數(shù)據(jù)，并作出相似的入侵檢測(cè)感知模型。而最重要的一點(diǎn)，是黑客喜歡關(guān)注內(nèi)部的重要基礎(chǔ)設(shè)施，包括但不限于AD域控、郵件服務(wù)器、密碼管理系統(tǒng)、權(quán)限管理系統(tǒng)等，一旦拿下，就相當(dāng)于成為了內(nèi)網(wǎng)的“上帝”，可以為所欲為。所以對(duì)公司來(lái)說(shuō)，重要基礎(chǔ)設(shè)施要有針對(duì)性的攻防加固討論，微軟針對(duì)AD的攻防甚至還發(fā)過(guò)專(zhuān)門(mén)的加固白皮書(shū)。

寫(xiě)在結(jié)尾

本文大多數(shù)思路來(lái)自于公開(kāi)資料，經(jīng)過(guò)自己學(xué)習(xí)結(jié)合工作經(jīng)驗(yàn)產(chǎn)出，如有錯(cuò)誤可聯(lián)系修改。

建了個(gè)群，有興趣的師傅可以加一下。

點(diǎn)贊，轉(zhuǎn)發(fā)，在看