引言：為了有效降低網(wǎng)絡(luò)運維成本，不少單位在局域網(wǎng)中都部署了專業(yè)的網(wǎng)絡(luò)監(jiān)控系統(tǒng)，這些監(jiān)控系統(tǒng)雖然可以在監(jiān)控的深度和范圍方面，能夠滿足單位全方面需求，但是它們的部署會帶來新的運維成本，顯然這對組網(wǎng)規(guī)模不大的單位來說，是不太適合的。網(wǎng)絡(luò)管理員完全可以自己動手，也能讓網(wǎng)絡(luò)監(jiān)控“聰明”高效！

為了有效降低網(wǎng)絡(luò)運維成本，不少單位在局域網(wǎng)中都部署了專業(yè)的網(wǎng)絡(luò)監(jiān)控系統(tǒng)，這些監(jiān)控系統(tǒng)雖然可以在監(jiān)控的深度和范圍方面，能夠滿足單位全方面需求，但是它們的部署會帶來新的運維成本，況且這些監(jiān)控操作還需要一定的專業(yè)性，顯然這對組網(wǎng)規(guī)模不大的單位來說，是不太適合的。其實，對于中小單位來說，網(wǎng)絡(luò)管理員完全可以自己動手，也能讓網(wǎng)絡(luò)監(jiān)控“聰明”高效！

聰明監(jiān)控DHCP服務(wù)

單位使用的是Windows Server 2003服務(wù)器系統(tǒng)內(nèi)置DHCP服務(wù)，要聰明高效地監(jiān)控該服務(wù)的運行狀態(tài)，關(guān)鍵在于判斷它能否持續(xù)不斷地為終端系統(tǒng)提供地址分配功能。為了要達到這個監(jiān)控目的，我們可以巧妙地編寫腳本程序，強制系統(tǒng)每隔一段時間去執(zhí)行“ipconfig /release”、“ipconfig /renew”命令，來頻繁檢測DHCP服務(wù)器的地址回收和地址分配功能。要是局域網(wǎng)中的DHCP服務(wù)器運行狀態(tài)不正常，那么終端計算機將不能通過先前編寫的腳本程序，獲得有效的上網(wǎng)地址，這樣就會引起其他相同子網(wǎng)的終端計算機不能Ping通本地系統(tǒng)的IP地址。

依照這種思路，我們可以在局域網(wǎng)中任意選擇一臺終端計算機，來作為運行上述腳本程序的探測計算機，這個腳本程序通過BAT格式的批處理文件實現(xiàn)，起到模擬終端用戶不停向DHCP服務(wù)器申請IP地址的作用，該批處理文件中包含的命令代碼有以下一些內(nèi)容：

日后，一旦執(zhí)行這個腳本處理程序時，本地終端系統(tǒng)就每隔20秒鐘循環(huán)執(zhí)行一 次“ipconfig /release”、“ipconfig /renew”命令，來不斷地向DHCP服務(wù)器申請動態(tài)IP地址。要是地址申請操作能夠順利，那就意味著局域網(wǎng)DHCP服務(wù)器的運行狀態(tài)是正常的，否則，就表示DHCP服務(wù)器不能向終端計算機正常分配上網(wǎng)地址。這時，相同子網(wǎng)中的其他計算機只要使用Ping命令，測試該探測計算機的IP地址，就能判斷出局域網(wǎng)DHCP服務(wù)器是否能夠正常工作了。

聰明監(jiān)控FTP服務(wù)

局域網(wǎng)中的FTP服務(wù)器，常常會成為惡意用戶的攻擊對象，例如黑客為了竊取數(shù)據(jù)，可能會利用特定漏洞，悄悄向其植入木馬程序，來非法竊取FTP服務(wù)管理權(quán)限。這時，我們不妨利用“FTP Guard”外力工具，聰明監(jiān)控局域網(wǎng)中的FTP服務(wù)，及時捕獲入侵行為，保障FTP服務(wù)器遠離非法攻擊。

開啟“FTP Guard”工具運行狀態(tài)，點擊主界面左側(cè)“Connections”處的“+”按鈕（如圖1所示），在新建對話框的“Connection Name”位置處輸入好監(jiān)控連接名稱，在“FTP Host”位置處設(shè)置好需要監(jiān)控的FTP服務(wù)器站點地址和網(wǎng)絡(luò)端口，要是匿名登錄FTP服務(wù)器時，不妨選中“Anonymous”選項。為了安全起見，建議使用身份驗證登錄，在“FTP Username”、“FTP Password”等位置處輸入好登錄FTP服務(wù)器的賬號與密碼，同時定義好監(jiān)控路徑。要對FTP服務(wù)器下面的子目錄內(nèi)容監(jiān)控時，還要將“Recursive”選項同時選中，確認后退出監(jiān)控連接對話框。

圖1 按鈕示意圖

選中剛才創(chuàng)建的監(jiān)控連接名稱，打開它的右鍵菜單，點 選“Check Connection”命令，“FTP Guard”工具開始自動掃描特定FTP連接，同時將掃描檢測結(jié)果記錄存儲下來，以作為以后監(jiān)控分析的基礎(chǔ)。重新選中特定FTP 連接，在“Alert Event”設(shè)置項處，將“Addition”、“Deletion”、“Modification”等選項逐一選中，開啟文件添加監(jiān)控、文件刪除監(jiān)控、文件修改監(jiān)控等功能，這樣FTP服務(wù)器中的任何數(shù)據(jù)文件發(fā)生變化，“FTP Guard”工具都能及時發(fā)出報警提示。

在“Notification”設(shè)置項處，選中“Sh ow SystemTray Messa ge”選項，強制“FTP Guard”工具在監(jiān)控到異常狀態(tài)時，及時將相關(guān)提示信息顯示在系統(tǒng)屏幕右下方，看到這些提示管理員往往就可以直觀了解到究竟有哪些文件發(fā)生了狀態(tài)變化，這有利于管理員快速定位FTP服務(wù)器中的安全隱患。如果希望監(jiān)控報警效果更好一些，建議使用“Play Sound”選項，來播放特定音樂文件來達到報警目的。此外，在“File/Directory Extension Filter”設(shè)置項處，還要定義好待監(jiān)控的數(shù)據(jù)文件類型，每個文件類型獨立占用一行。在“Directory Ingore Filter”設(shè)置項處，定義好不需要監(jiān)控的特殊文件夾，每個文件夾名稱也是單獨占用一行。

“FTP Guard”工具默認每隔10分鐘，掃描監(jiān)測一次FTP服務(wù)器，但監(jiān)控過于頻繁，會影響FTP服務(wù)器的反應(yīng)靈敏度，建議將該參數(shù)調(diào)整為半個小時左右。在進行這種調(diào)整操作時，單擊主界面中的“Program Options”按鈕，展開如圖2所示的設(shè)置界面，在“Monitoring Interval”位置處輸入“30”秒鐘即可。值得注意的是，在這里也能按需選擇報警音樂文件，只要單 擊“Default Sound Notification File”設(shè)置項處的瀏覽按鈕，從彈出的文件瀏覽框中，選擇并添加自己喜歡的報警音樂文件即可。這里的其他參數(shù)，建議不要改變，最后進行確認保存設(shè)置操作。

至此，“FTP Guard”工具就能對局域網(wǎng)中的FTP服務(wù)器進行聰明監(jiān)控了。只是每次重新啟動計算機時，還要手工開啟一下該工具的監(jiān)控功能，因為它在默認狀態(tài)下并沒有啟用監(jiān)控功能。將主界面“Monitoring”處的紅色“Off”選項，修改為綠色“On”選項，可以輕松開啟FTP服務(wù)監(jiān)控功能，將“Sound”處的“Off”選項，修改為綠色“On”選項，可以啟用聲音報警功能。所有監(jiān)控內(nèi)容都會被智能存儲下來，要查看分析這些監(jiān)控內(nèi)容時，只要單擊主界面中的“Monitoring Results”按鈕，切換到監(jiān)控報告列表窗口，從中可以發(fā)現(xiàn)FTP服務(wù)器的各種狀態(tài)變化，例如新增了哪些文件，刪除了哪些文件，內(nèi)容發(fā)生修改的有哪些文件等。依照這些監(jiān)控內(nèi)容，管理員就能發(fā)現(xiàn)攻擊FTP服務(wù)器的不法分子，同時采取有效安全措施，確保FTP服務(wù)器運行始終安全。

圖2 所示的設(shè)置界面

聰明監(jiān)控系統(tǒng)服務(wù)

為了不讓自己暴露身份，不少網(wǎng)絡(luò)病毒或木馬在偷偷運行時，常常會“裝扮”成系統(tǒng)后臺服務(wù)，這樣一來用戶不能立即發(fā)現(xiàn)病毒、木馬的“身影”。為了在第一時間發(fā)現(xiàn)終端系統(tǒng)的潛在安全隱患，我們不妨通過監(jiān)控系統(tǒng)服務(wù)的狀態(tài)變化，來快速尋找到陌生的后臺服務(wù)，以便進一步判斷終端系統(tǒng)的安全狀態(tài)。

要聰明監(jiān)控系統(tǒng)服務(wù)的安全狀態(tài)，可以巧妙使用終端系統(tǒng)自帶的“net start”命令，導(dǎo)出系統(tǒng)出現(xiàn)異常狀態(tài)前后的服務(wù)列表信息，同時對這兩個導(dǎo)出文件中的內(nèi)容進行比較，就能識別出哪些系統(tǒng)服務(wù)是新創(chuàng)建的，哪些系統(tǒng)服務(wù)已經(jīng)被悄悄關(guān)閉了。對于新生成的陌生系統(tǒng)服務(wù)，只要打開它的屬性對話框，找到同時刪除對應(yīng)服務(wù)的可執(zhí)行文件，就能實現(xiàn)清除病毒或木馬程序目的了。下面就是詳細的監(jiān)控步驟：

首先在終端計算機運行狀態(tài)正常時，逐一單擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，輸入“cmd”命令，展開MS_DOS工作窗口；在該窗口命令提示符下，輸入字符串命令“net start> E:111.txt”，單擊回車鍵后，Windows系統(tǒng)會自動將當前狀態(tài)下所有已經(jīng)啟用的系統(tǒng)服務(wù)全部列寫出來，同時集中導(dǎo)入到“E:111.txt”文本文件中，打開該文本文件時，我們就能看到究竟有哪些系統(tǒng)服務(wù)已被成功啟用了，如圖3所示，這些系統(tǒng)服務(wù)就是系統(tǒng)異常狀態(tài)下的參照標準。

其次當哪一天發(fā)現(xiàn)終端計算機運行突然緩慢或出現(xiàn)其他不正常現(xiàn)象時，再在DOS命令行提示符下輸入“net start > E:222.txt”命令，將異常狀態(tài)下的系統(tǒng)服務(wù)啟用列表信息導(dǎo)出保存到“E:222.txt”文本文件中，這時“喬裝改扮”的系統(tǒng)后臺服務(wù)也會出現(xiàn)在該文件中。

下面要做的就是比較兩種正常狀態(tài)下服務(wù)列表信息的異同，在進行比較操作時，直接輸入“fc E:111.txt E:222.txt”字符串命令，要是系統(tǒng)中沒有病毒或木馬運行，那么結(jié)果會返回“找不到相異處”的提示信息。相反，要是系統(tǒng)已經(jīng)遭遇了病毒或木馬的攻擊，那么結(jié)果會返回那些被關(guān)閉或新創(chuàng)建的系統(tǒng)服務(wù)名稱。

圖3 系統(tǒng)異常相關(guān)

要是搜索到陌生系統(tǒng)服務(wù)名稱后，再打開終端系統(tǒng)運行對話框，輸入“Services.msc”命令，在展開的系統(tǒng)服務(wù)列表界面中，找到陌生系統(tǒng)服務(wù)選項，用鼠標雙擊該選項，切換到對應(yīng)服務(wù)選項設(shè)置對話框，從中找到調(diào)用該陌生服務(wù)的可執(zhí)行文件。之后進入系統(tǒng)資源管理器窗口，切換到目標可執(zhí)行文件所在文件夾窗口，選中并刪除該文件，這樣就能達到手工刪除病毒或木馬程序的目的了。當然，在手工刪除病毒或木馬文件之前，必須先關(guān)閉陌生系統(tǒng)后臺服務(wù)；如果不能關(guān)閉病毒或木馬服務(wù)時，可以考慮先將終端系統(tǒng)啟動運行到安全模式狀態(tài)，或者借助光盤版的Windows PE系統(tǒng)啟動到DOS狀態(tài)，再試著關(guān)閉病毒或木馬等陌生服務(wù)，最后刪除病毒或木馬對應(yīng)的可執(zhí)行文件。

聰明監(jiān)控DNS服務(wù)

終端計算機要想正常訪問Internet上的信息，往往離不開本地DNS服務(wù)器的“鼎力”支持，因為這種支持是在后臺悄悄進行，很多用戶感覺不到DNS服務(wù)的存在。其實，本地DNS服務(wù)器的運行穩(wěn)定性，影響著整個網(wǎng)絡(luò)的上網(wǎng)穩(wěn)定性，監(jiān)控DNS服務(wù)器的安全運行性能，有利于確保整個網(wǎng)絡(luò)的運行安全，畢竟在第一時間找到DNS服務(wù)器的安全隱患，能讓其安全穩(wěn)定地運行！

要聰明監(jiān)控DNS服務(wù)，只要啟用DNS服務(wù)器的日志監(jiān)控報警功能即可。在進行該操作時，首先以超級用戶身份登錄DNS服務(wù)器所在主機系統(tǒng)，依次點擊“開始”、“程序”、“管理工具”命令，展開DNS服務(wù)器控制臺界面，在該界面的左側(cè)顯示窗格中，選中特定DNS服務(wù)器主機名稱，用鼠標右鍵單擊該名稱，選擇快捷菜單中的“屬性”命令，切換到DNS服務(wù)器屬性設(shè)置框。

點擊“日志”標簽，進入如圖4所示的標簽頁面，根據(jù)實際情況定義好需要監(jiān)控DNS服務(wù)器哪方面的狀態(tài)內(nèi)容，確認后退出設(shè)置對話框。日后，要查看DNS服務(wù)器安全方面的狀態(tài)信息時，只需要進入DNS服務(wù)器系統(tǒng)資源管理器窗口，打開其中的“%systemroot%system32dnsdns.log”日志文件，就能監(jiān)控到DNS服務(wù)器各方面的狀態(tài)信息了，比方說，接收狀態(tài)內(nèi)容、應(yīng)答狀態(tài)內(nèi)容、發(fā)送狀態(tài)內(nèi)容等，根據(jù)這些信息網(wǎng)絡(luò)管理員就能有效識別出DNS服務(wù)器此時的運行安全性了。了信息安全風(fēng)險評估。

信息安全風(fēng)險評估是對信息資產(chǎn)（即某事件或事物所具有的信息集）所面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用所帶來風(fēng)險的可能性的評估，是組織確定信息安全需求及解決方案的一個重要途徑。但信息安全風(fēng)險評估不能完全滿足黑客、信息戰(zhàn)、自然災(zāi)難、電力中斷等新形勢下的安全需求?？梢姡硐氲耐{情報不但需要及時知道本單位信息系統(tǒng)存在何種容易被攻擊的弱點，還要知道攻擊者的動機和手段，知道如何部署防御措施，知道如何檢測攻擊，攻擊會造成何種影響，該如何響應(yīng)攻擊事件等。威脅情報的獲取及響應(yīng)都能體現(xiàn)防御能力的建設(shè)程度，因此，建立有長效機制的威脅情報服務(wù)體系尤為重要。威脅情報服務(wù)體系至少包含了威脅監(jiān)測及響應(yīng)、數(shù)據(jù)分析及整理、業(yè)務(wù)情報及交付、風(fēng)險評估及咨詢、安全托管及應(yīng)用等各個方面，涉及研究、產(chǎn)品、服務(wù)、運營及營銷的各個環(huán)節(jié)。

圖4 標簽頁面

在 2013年，Gartner給“威脅情報”作出了明確定義：“威脅情報是基于證據(jù)的知識，包括場景、機制、指標、含義和可操作的建議，針對一個現(xiàn)存的或新興的威脅，可用于做出相應(yīng)決定的知識?！?/p>

起什么作用呢？我們都知道，企業(yè)所面臨的威脅不僅來自外部，而實際上大多是出自內(nèi)部，很多外界發(fā)起的APT攻擊環(huán)節(jié)都需通過“內(nèi)部跳板”才能訪問敏感數(shù)據(jù)。雖然企業(yè)已部署了必要的防護線，但是基于發(fā)現(xiàn)、預(yù)警和響應(yīng)的時間差卻更為關(guān)鍵。簡而言之，企業(yè)能不能從海量的網(wǎng)絡(luò)信息庫中及時甄別、捕捉到有價值的安全威脅信息（也即“情報”），并通過完善、高效的溝通渠道來共享或發(fā)布這些信息，這就是威脅情報所要解決的問題。

具體來講，威脅情報主要包括兩大方面的應(yīng)用，即戰(zhàn)術(shù)威脅情報和戰(zhàn)略威脅情報。前者通常是在網(wǎng)絡(luò)安全監(jiān)控過程中分析所收集的數(shù)據(jù)，識別安全威脅并采取相應(yīng)的措施。戰(zhàn)術(shù)威脅情報側(cè)重于對威脅的技術(shù)分析與響應(yīng)控制能力，它依靠感染指標來捕捉威脅入侵的跡象。感染指標一般包含以下幾種參數(shù)：

1.原子指標信息，如IP地址，域名、郵件地址、網(wǎng)絡(luò)或主機信息等。

2.可計算的指標信息，如惡意程序的數(shù)字哈希值（包括SHA1和MD5）。

3.行為指標信息，如攻擊者的行為特征（包括惡意表征、爬蟲行為）、攻擊工具、TTP（戰(zhàn)術(shù)、技術(shù)和行為模式）類型等。

依據(jù)戰(zhàn)術(shù)威脅情報，企業(yè)可構(gòu)建更高層面的威脅模型與威脅圖示，這便形成戰(zhàn)略威脅情報，用于發(fā)現(xiàn)威脅趨勢，并以此來研判怎樣降低威脅面，決定如何配置安全預(yù)算、部署何種安全產(chǎn)品和技術(shù)、人員應(yīng)聚焦哪些環(huán)節(jié)等戰(zhàn)略性問題。

這些情報對于部署高效型防御非常有幫助，但卻不是僅由組織自身就能獲取和維護的，需依靠專門的威脅情報分析系統(tǒng)才能實現(xiàn)目標。近兩年，安全威脅情報行業(yè)在蓬勃發(fā)展，已形成一個潛力巨大的新興安全細分市場，也活躍著一批專業(yè)的威脅情報服務(wù)商。國外比較知名的安全威脅情報來源有IBM X-Force Exchange、Symantec Deepsight、RSA NetWitness Live、Verisign iDefense、OSINT、SANS、Dell SecureWorks、McAfee Threat Intelligence、ThreatStream、OpenDNS、MAPP等。在我國，360公司建立了國內(nèi)首個安全威脅情報中心，通過開放聯(lián)動推進威脅情報生態(tài)環(huán)境的建設(shè)。

筆者認為，威脅情報不妨通過這些手段來實現(xiàn)。

持續(xù)性培訓(xùn)

敏感數(shù)據(jù)的接觸來自企業(yè)關(guān)鍵部門人員，一旦關(guān)鍵人員受到外部原因誘惑，通過非法復(fù)制，讓信息和數(shù)據(jù)長期而慢速的信息，或者讓企業(yè)信息和業(yè)務(wù)大規(guī)模中斷，這對于企業(yè)有著莫大的威脅。

因此，需要持續(xù)性的培訓(xùn)，包括制度、法規(guī)上的培訓(xùn)行為，在行政手段上降低部分威脅。

建立“觸碰”機制

數(shù)據(jù)在有限范圍內(nèi)訪問是允許的，但是非法復(fù)制和傳播是絕對不允許的，如何預(yù)防需要建立核心數(shù)據(jù)的“觸碰”機制是關(guān)鍵。

關(guān)鍵數(shù)據(jù)限制訪問次數(shù)，一旦超過正常訪問次數(shù)，立刻觸發(fā)報警，有安全人員采取下一步措施。對于業(yè)務(wù)系統(tǒng)和服務(wù)器的敏感數(shù)據(jù)，不僅需要記錄訪問次數(shù)，還要記錄用戶訪問時間、頻率、訪問地點等信息，同樣是需要預(yù)警機制，關(guān)鍵指標一旦有任何觸碰的行為，即反饋給安全中心。

利用大數(shù)據(jù)的精準分析和定位

企業(yè)/組織獲得信息太多，包括那些不用的信息，如何清除這些噪音而獲取真正的價值呢？

大數(shù)據(jù)給出答案，通過汲取、分析和自動化的挖掘數(shù)據(jù)，并和云端關(guān)聯(lián)分析，可以對受害目標和攻擊源頭進行精準定位，率先洞悉風(fēng)險和威脅，并將威脅情報快速遞交給用戶，對攻擊行為進行前期預(yù)報和溯源。

360公司主防庫覆蓋中國5億PC客戶端，總?cè)罩緮?shù)達到50000億，互聯(lián)網(wǎng)存活網(wǎng)址庫每天有300億條查詢量，每天處理一百多億條……，通過海量數(shù)據(jù)挖掘，360天眼發(fā)現(xiàn)了多起APT事件，將大量的威脅行為止于萌芽。

善用機器學(xué)習(xí)

所有的攻擊行為都存在變數(shù)，預(yù)防是必要的，但是絕對難以解決所有威脅，因此對于威脅情報需要機器學(xué)習(xí)來完善防御體系。

對原始數(shù)據(jù)，需要聚類，然后開始訓(xùn)練數(shù)據(jù)，進行有監(jiān)督學(xué)習(xí)，并適時進行干預(yù)，最終形成機器領(lǐng)域的規(guī)則和分類器，在威脅發(fā)生時進行比對、預(yù)防、告警。