1 总体思路

IPS，WAF等 *** 安全设备构筑起 *** 边界上的之一道防线，在攻方演练实战中，能准确及时地分析日志，从日志中发现攻击方的痕迹，对于防守方至关重要。针对初中级防守方人员如何快速分析IPS日志的问题，本文从IPS规则开发人员视角分享几条常用的经验，欢迎交流讨论。

IPS日志分析人员，首先需要具备一定的攻防基础知识，能读懂IPS日志所对应攻击、漏洞或工具流量的大致含义，其次可以从攻击方和正常业务角度深度思考日志的来源，再次对于各类日志形成自己的总结经验，后续碰到相似情况可果断处置。

2 技巧总结

2.1? 从日志发现攻击方源ip

在攻防演练前期，最重要的是识别出攻击方的ip，进行及时防护处理。攻击方源ip打出的日志具有以下类别及特点：

2.1.1 扫描探测类

扫描探测类日志占所有日常IPS日志的90%以上，此类日志主要来源于自研/开源全网扫描器、僵尸 *** 发起的自动化感染传播。

而在攻防演练实战中，攻击者通常采用fofa，zoomeye等搜索引擎对目标进行资产收集。在找到资产的 *** 区间后，细心的攻击方会对c段进行全端口扫描，连续的端口扫描日志或者nmap指纹信息日志，通常能判定出攻击者是在针对性的对客户 *** 进行攻击探测，很可能是演练攻击方。

同时，有的攻击方在探测目标时，习惯性的会使用自研的扫描器进行主动扫描，或者通过 *** 转发至xray、w13sca扫描器进行被动扫描。这种扫描会在短时间内出现一个源ip对一个目标服务器大量的SQL注入、XSS等常规的WEB漏洞等攻击日志，这种情况基本也能判定为攻击方行为。

这类扫描类日志，特点是日志量特别大，攻击源ip相对固定，攻击持续时间短或长或短，扫描产生的日志类型较多。值得注意的是，很多客户 *** 是部署有负载均衡和反向 *** 设备的，需要获取到日志的真实源ip才能进行针对性的防护，否则日志可能记录的是 *** 设备的内网ip。

2.1.2 手工试探类

在激烈的攻防对抗中，很多攻击方不会进行盲目的扫描。在找到目标资产后，他们会进行谨慎的手工尝试，这类尝试性的日志，很容易被大量的扫描日志所淹没。因此，对于某些提示攻击方意图的告警日志，也需要进行重点处理。

比如攻击方找到上传点，会进行手工上传测试，找到疑似struts2，thinkphp框架的系统，会用开源工具或者带编码绕过的自研工具进行尝试，在登录框进行SQL手工尝试，或者用shiro反序列化工具尝试等。这些攻击流量产生的日志数量极少，却不能被防守方轻易忽略。

这类能反映攻击方意图的尝试类IPS检测规则列表，我们在进行归纳和总结，反馈给服务人员和客户参考。

2.1.3 异常属性类

考虑到攻击方有很多扫描器和C2服务器都部署在个人vps上以方便一键使用，这些vps有可能是个人购买的云服务器。在分析攻击日志时，如果源ip归属地是国内外的云服务商，则值得特别警惕。

有的攻击方会在深夜乘防守方警惕性降低时进行攻击尝试，因此半夜出现的攻击日志源ip，也属于值得关注。

攻击源ip的时间段属性也可以简单分析，例如某个源ip只在攻防演练开始之才出现日志，而之前并未打出过攻击日志，很可能来自于演练攻击方。

单纯从攻击日志的各类属性特点来分析日志，也能起到一定作用。

2.2? 关注重点事件日志

在攻防演练中后期，更需要关注一些重点事件，及时发现风险。攻击方会使用很多0day和针对防护设备的变形绕过工具，因此防护设备很难全面覆盖到攻击链的每一个点，这时针对重点事件的分析就极有意义。这些重点事件类型包括：

2.2.1 木马连接类

Webshell连接工具，包括老式的大马，小马，菜刀，及各类新式的冰蝎，哥斯拉，天蝎，内存马等；木马远控连接工具，包括cobalt strike的命令下发流量(HTTP协议)和证书指纹规则（HTTPS协议），msf自带木马meterpreter及各类开源远控等。这些工具通信流量产生的日志（部分工具的加密流量通信单纯靠规则无法检测，所以不会产生）是十分值得关注的，出现相关日志说明服务器或者PC已经沦陷，需要及时排查。

2.2.2 *** 隧道类

在获取权限后，攻击方会使用 *** 工具搭建隧道进入内网，一般IPS规则只能检测到明文 *** 流量。一旦出现 *** 隧道的日志，也能说明形势较为危急，攻击方已打入内网。这些 *** 类日志包括socks的反向 *** （earthworm），frp反向 *** ，及reduh、regeorg等各类web *** 隧道规则。

2.2.3 横向扫描类

利用 *** 隧道进入内网的攻击方，可能通过ladon等工具进行网段、端口、服务探测，爆破，撞库方式进行内网密码破解。因此由内网ip发起的扫描探测日志，如果被内网的IPS检测到，这些日志也是非常值得关注的。

这几类重点事件规则，一般表明有系统被攻陷，因此这些规则的关注级别更高，即使出现的日志条数只有一条，也要优先处理。理解这类攻击和规则，需要有一定攻防基础，初级防守方人员可以多进行攻击负载和攻击类型的总结。

2.3? 其他技巧

日志分析人员若不知道某条攻击日志的具体含义，无法判定攻击源ip是否可疑，可以分别根据源ip和事件的其他日志进行综合判断是否存在该ip的攻击意图。

如果理解常见业务通信流量和常见攻击负载的区别，防守方的分析人员一般也不知道IPS具体的规则的检测点，但可以根据IPS日志的攻击负载，初步判断是攻击试探还是执行高危命令。

一般客户是部署安全事件自动处置系统，很多经验技巧已经转换成到系统内进行自动处理了。但是在防守方未配置此类系统的情况下，如果分析人员具备一定脚本编写能力，也能写脚本自动化处理日志数据，筛选出高风险源ip进行批量处理，及时发现失陷资产。

3 总结

整体来看，IPS日志分析人员，需要对各类厂商的IPS设备事件都比较熟悉，毕竟分析人员一般不会接触到IPS的规则定义，能依赖的主要还是自己对攻击负载的理解、关联分析等。攻防演练属于高强度的对抗比赛，需要分析人员坚持不懈的细心分析，才能避免攻击方的突破。