网络安全事件研判需要哪些技能,网络安全事件研判心得体会

基于 TCP 的 Shell基于 UDP 的 Shell基于 ICMP 的 Shell（使用于内网主机主机只允许 ICMP 出入网即只能 ping 通的情况）基于 ICMP 的 Shell（具有较强的隐蔽性）按使用工具分析

Liunx bash 命令反弹 ShellNC 反弹 ShellTelnet 反弹 ShellSSH、iptables、sockets等工具端口转发AWK 反弹 Shell 链接各种编程语言的反弹 shellWebshell 的检测webshell 的检测可以分为两个方面一个是主机层面（既根据 webshell的文件特征和行为特征行为特征进行分析），第二个层面是流量层面（根据webshell 的传输流量分析）

主机层面文件特征分析

一个 webshell 要执行必然会包含某些危险函数，以 PHP shell 为例，可能存在以下危险函数

存在系统调用的命令执行函数，如eval、system、cmd_shell、assert等存在系统调用的文件操作函数，如fopen、fwrite、readdir等字符串拼接执行操作存在数据库操作函数，调用系统自身的存储过程来连接数据库操作通过自定义加解密函数、利用xor、字符串反转、压缩、截断重组等方法来绕过检测可以通过关键词匹配脚本文件找出 webshell，D盾之类的webshell查杀工具也是利用这种原理，对源码进行查杀

行为特征分析

webshell 在执行函数时这些对于系统调用、系统配置、数据库、文件的操作动作都是可以作为判断依据主机可以从以下方法进行分析

主机进程分析主机端口调用分析日志应用程序的事件日志系统调用日志（syscall）主机文件监控（系统文件、网站文件、配置文件）对搜索到的内容，可以手动查看是否是Wooden horse、查看网页生成时间或者上传至一些检测的网站进行检测（http://www.virscan.org/、https://x.threatbook.cn、https://www.virustotal.com/gui/home/upload）

防御方面：Linux 中可以使用 chkrootkit/rkhunter 来定时监测系统，以保证系统的安全

chkrootkit 主要功能：检测是否被植入后门、Wooden horse、rootkit

检测系统命令是否正常（避免在入侵检测分析时使用已被替换的命令）

检测登录日志

使用chkrootkit –n；如果发现有异常，会报出“INFECTED”字样

rkhunter 主要功能：系统命令（Binary）检测，包括Md5 校验

Rootkit检测

本机敏感目录、系统配置、服务及套间异常检测

三方应用版本检测

流量层面流量层面和主机层面相辅相成

基于流量的检测，是无法通过检测构成webshell危险函数的关键词来做检测的，但webshell带有常见写的系统调用、系统配置、数据库、文件的操作动作等，它的行为方式决定了它的数据流量中多带参数具有一些明显的特征，通过匹配行为的流量特征做检测，这也是基于webshell入侵后行为特征进行检测，当然也可以从系统层面webshell入侵行为进行检测

可以参考之前发的对于菜刀、冰蝎、的分析，我是链接，其流量中即使加密后或多或少也具有一些特征，通过大量数据分析比对发现其流量特征（或者网上的已知特征）后进行阻断拦击

流量分析的好处在于，在 web 访问日志中，是无法抓取 POST 方式的包，也就没法分析 webshell 入侵后的行为，而流量很好的做到了这一点

还有就是对于常见的内网工具 CS 流量可以通过在流量层面其 IP 端口，心跳包等特征进行检测

以及 N day 流量分析和 明文敏感信息传输分析

其他入侵检测方法

动态检测（沙箱）统计学入侵检测可以通过大数据和机器学习来强化设备

附录常见端口漏洞https://www.cnblogs.com/xiaozi/p/13296754.html

于常见的内网工具 CS 流量可以通过在流量层面其 IP 端口，心跳包等特征进行检测

以及 N day 流量分析和 明文敏感信息传输分析

其他入侵检测方法

动态检测（沙箱）统计学入侵检测可以通过大数据和机器学习来强化设备

附录常见端口漏洞https://www.cnblogs.com/xiaozi/p/13296754.html