Day-095-系统监控与检测

# Day 97: 系统监控与检测 - 入侵检测/日志分析/威胁狩猎

> 系统安全系列第 7 天 | 预计阅读时间：35 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [系统监控概述](#系统监控概述)
2. [入侵检测技术](#入侵检测技术)
3. [日志分析技术](#日志分析技术)
4. [威胁狩猎基础](#威胁狩猎基础)
5. [事件响应流程](#事件响应流程)
6. [实战配置](#实战配置)
7. [总结与思考](#总结与思考)
8. [参考资料](#参考资料)

---

## 系统监控概述

### 监控目标

**安全监控目的**：
- 检测入侵行为
- 发现异常活动
- 支持事件响应
- 满足合规要求

**监控层次**：
```
L1: 网络层监控
- 网络流量分析
- 入侵检测系统
- 防火墙日志

L2: 主机层监控
- 系统日志
- 进程监控
- 文件完整性

L3: 应用层监控
- 应用日志
- 数据库审计
- API 访问日志
```

### 监控架构

```
┌─────────────────────────────────────────────────────────────┐
│                  系统监控架构                                │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  数据源 → 采集 → 聚合 → 分析 → 告警 → 响应                  │
│   ↓        ↓       ↓       ↓       ↓       ↓                │
│  主机    Agent   SIEM    规则    通知    处置               │
│  网络    Syslog  平台    关联    工单    修复               │
│  应用    API     数据湖  ML      邮件    隔离               │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

---

## 入侵检测技术

### 检测类型

**基于签名检测**：
```
原理：匹配已知攻击特征

优点:
- 准确率高
- 误报率低
- 规则明确

缺点:
- 仅检测已知攻击
- 需要持续更新
- 无法检测 0day

工具:
- Snort
- Suricata
- OSSEC
```

**基于异常检测**：
```
原理：偏离正常行为基线

优点:
- 可检测未知攻击
- 适应性强
- 发现内部威胁

缺点:
- 误报率高
- 需要训练基线
- 计算资源消耗大

工具:
- Splunk UBA
- Exabeam
- 自研 ML 模型
```

### 主机入侵检测 (HIDS)

**OSSEC 部署**：
```xml

<ossec_config>
  <syscheck>
    <frequency>7200</frequency>
    <directories>/etc,/usr/bin,/usr/sbin</directories>
    <directories>/bin,/sbin</directories>
  </syscheck>
  
  <rootcheck>
    <disabled>no</disabled>
    <check_unixaudit>yes</check_unixaudit>
    <check_trojans>yes</check_trojans>
  </rootcheck>
  
  <localfile>
    <log_format>syslog</log_format>
    <location>/var/log/auth.log</location>
  </localfile>
  
  <localfile>
    <log_format>syslog</log_format>
    <location>/var/log/secure</location>
  </localfile>
</ossec_config>
```

**文件完整性监控**：
```bash
# AIDE 配置示例
# /etc/aide/aide.conf

# 关键目录监控
/etc R+i+n+u+g+s+m+c+acl+selinux+xattrs
/bin R+i+n+u+g+s+m+c+acl+selinux+xattrs
/sbin R+i+n+u+g+s+m+c+acl+selinux+xattrs
/usr/bin R+i+n+u+g+s+m+c+acl+selinux+xattrs

# 初始化数据库
aide --init

# 检查变更
aide --check
```

### 网络入侵检测 (NIDS)

**Suricata 部署**：
```yaml
# suricata.yaml 配置
%YAML 1.1
---
vars:
  address-groups:
    HOME_NET: "[10.0.0.0/8,172.16.0.0/12,192.168.0.0/16]"
    EXTERNAL_NET: "!$HOME_NET"

default-rule-path: /etc/suricata/rules

rule-files:
  - suricata.rules
  - emerging-threats.rules

outputs:
  - eve-log:
      enabled: yes
      filetype: regular
      filename: /var/log/suricata/eve.json
      types:
        - alert
        - http
        - dns
        - tls
        - flow
```

**检测规则示例**：
```
# SQL 注入检测
alert http any any -> any any (
  msg:"SQL Injection Attempt";
  flow:to_server,established;
  content:"SELECT"; nocase;
  content:"FROM"; nocase;
  content:"WHERE"; nocase;
  classtype:web-application-attack;
  sid:1000001;
  rev:1;
)

# 可疑 Shell 命令
alert http any any -> any any (
  msg:"Suspicious Shell Command in HTTP";
  flow:to_server,established;
  content:"|"; http_client_body;
  content:"bash"; http_client_body;
  classtype:attempted-admin;
  sid:1000002;
  rev:1;
)
```

---

## 日志分析技术

### 日志源识别

**Linux 关键日志**：
```
/var/log/auth.log      # 认证日志 (Debian/Ubuntu)
/var/log/secure        # 认证日志 (RHEL/CentOS)
/var/log/syslog        # 系统日志
/var/log/messages      # 系统消息
/var/log/kern.log      # 内核日志
/var/log/audit/audit.log  # 审计日志
/var/log/apache2/      # Apache 日志
/var/log/nginx/        # Nginx 日志
```

**Windows 关键日志**：
```
Security          # 安全日志 (事件 ID: 4624,4625,4672...)
System            # 系统日志
Application       # 应用日志
PowerShell        # PowerShell 日志 (4103,4104)
Sysmon            # Sysmon 日志 (事件 ID: 1,3,7...)
```

### 日志分析工具

**ELK Stack 部署**：
```yaml
# docker-compose.yml
version: '3'
services:
  elasticsearch:
    image: docker.elastic.co/elasticsearch/elasticsearch:8.0.0
    environment:
      - discovery.type=single-node
      - xpack.security.enabled=false
    volumes:
      - elasticsearch_data:/usr/share/elasticsearch/data
  
  logstash:
    image: docker.elastic.co/logstash/logstash:8.0.0
    volumes:
      - ./logstash/pipeline:/usr/share/logstash/pipeline
  
  kibana:
    image: docker.elastic.co/kibana/kibana:8.0.0
    ports:
      - "5601:5601"
    depends_on:
      - elasticsearch

volumes:
  elasticsearch_data:
```

**Logstash 管道配置**：
```
# logstash/pipeline/security.conf

input {
  file {
    path => "/var/log/auth.log"
    start_position => "beginning"
    type => "auth"
  }
  
  file {
    path => "/var/log/syslog"
    start_position => "beginning"
    type => "syslog"
  }
  
  beats {
    port => 5044
  }
}

filter {
  if [type] == "auth" {
    grok {
      match => { "message" => "%{SYSLOGTIMESTAMP:timestamp} %{SYSLOGHOST:hostname} sshd\[%{NUMBER:pid}\]: %{GREEDYDATA:auth_message}" }
    }
    
    # 检测暴力破解
    if "Failed password" in [auth_message] {
      mutate {
        add_tag => ["failed_login"]
      }
    }
  }
}

output {
  elasticsearch {
    hosts => ["elasticsearch:9200"]
    index => "security-logs-%{+YYYY.MM.dd}"
  }
}
```

### 异常检测查询

**Splunk 查询示例**：
```spl
# 检测暴力破解
index=security sourcetype=auth:ssh "Failed password"
| stats count by src_ip user
| where count > 10
| sort -count

# 检测异常登录时间
index=security sourcetype=auth:ssh "Accepted password"
| eval hour=strftime(_time, "%H")
| where hour < 6 OR hour > 22
| stats count by user hour

# 检测权限提升
index=security sourcetype=auth:secure "sudo"
| stats count by user command
| where count > 50
```

**Elasticsearch 查询**：
```json
// 检测多次登录失败
{
  "query": {
    "bool": {
      "must": [
        { "match": { "event.action": "login_failed" } },
        { "range": { "@timestamp": { "gte": "now-1h" } } }
      ]
    }
  },
  "aggs": {
    "by_source_ip": {
      "terms": { "field": "source.ip" },
      "aggs": {
        "fail_count": { "value_count": { "field": "_id" } }
      }
    }
  }
}
```

---

## 威胁狩猎基础

### 狩猎方法

**假设驱动狩猎**：
```
流程:
1. 形成假设 (基于威胁情报)
2. 设计搜索查询
3. 执行狩猎分析
4. 验证或证伪假设
5. 输出新检测规则

示例假设:
"攻击者可能使用 PowerShell 进行横向移动"

搜索查询:
- PowerShell 远程执行
- WMI 远程执行
- PsExec 使用
```

**情报驱动狩猎**：
```
流程:
1. 接收威胁情报 (IOC/TTP)
2. 在环境中搜索匹配
3. 发现潜在威胁
4. 启动事件响应

示例 IOC:
- 恶意 IP/域名
- 文件哈希
- 注册表键
```

### 狩猎查询

**PowerShell 异常执行**：
```spl
# 检测编码的 PowerShell 命令
index=security sourcetype=windows:powershell
| search "EncodedCommand" OR "-enc" OR "-e"
| stats count by user command
| where count > 5

# 检测下载执行
index=security sourcetype=windows:powershell
| search "Invoke-WebRequest" "Invoke-Expression"
| search "IEX" "DownloadString"
```

**横向移动检测**：
```spl
# 检测 PsExec 使用
index=security sourcetype=windows:sysmon EventCode=1
| search Image="*psexec*" OR Image="*PsExec*"
| stats count by user ComputerName

# 检测 WMI 远程执行
index=security sourcetype=windows:sysmon EventCode=3
| search Image="*wmiprvse*"
| stats count by user DestinationIp
```

---

## 事件响应流程

### 响应阶段

**准备阶段**：
```
- 制定响应计划
- 准备工具包
- 团队培训演练
- 建立沟通渠道
```

**检测与分析**：
```
- 告警接收
- 初步分析
- 事件确认
- 影响评估
```

**遏制与根除**：
```
短期遏制:
- 隔离主机
- 禁用账户
- 阻断网络

长期遏制:
- 系统加固
- 权限调整
- 规则更新

根除:
- 清除恶意软件
- 删除后门
- 修复漏洞
```

**恢复与总结**：
```
恢复:
- 系统恢复
- 数据恢复
- 业务恢复

总结:
- 事件复盘
- 经验教训
- 改进建议
```

### 响应工具包

**取证工具**：
```bash
# Linux 取证脚本
#!/bin/bash

HOSTNAME=$(hostname)
TIMESTAMP=$(date +%Y%m%d_%H%M%S)
EVIDENCE_DIR="/evidence/${HOSTNAME}_${TIMESTAMP}"

mkdir -p "$EVIDENCE_DIR"

# 收集系统信息
uname -a > "$EVIDENCE_DIR/system_info.txt"
uptime >> "$EVIDENCE_DIR/system_info.txt"
who >> "$EVIDENCE_DIR/system_info.txt"

# 收集进程信息
ps auxf > "$EVIDENCE_DIR/processes.txt"
netstat -tulpn > "$EVIDENCE_DIR/network.txt"

# 收集登录历史
last > "$EVIDENCE_DIR/login_history.txt"
lastb > "$EVIDENCE_DIR/failed_logins.txt"

# 收集 cron 任务
crontab -l > "$EVIDENCE_DIR/crontab.txt" 2>/dev/null
ls -la /etc/cron.* >> "$EVIDENCE_DIR/cron_jobs.txt"

# 压缩证据
tar -czf "${EVIDENCE_DIR}.tar.gz" "$EVIDENCE_DIR"
rm -rf "$EVIDENCE_DIR"

echo "Evidence collected: ${EVIDENCE_DIR}.tar.gz"
```

**响应脚本**：
```bash
#!/bin/bash
# 恶意进程隔离脚本

MALICIOUS_PID=$1

if [ -z "$MALICIOUS_PID" ]; then
    echo "Usage: $0 <pid>"
    exit 1
fi

# 记录响应动作
echo "$(date): Isolating process $MALICIOUS_PID" >> /var/log/incident_response.log

# 停止进程
kill -STOP $MALICIOUS_PID

# 收集进程信息
ps -p $MALICIOUS_PID -o pid,ppid,user,cmd > /evidence/process_${MALICIOUS_PID}.txt

# 收集网络连接
netstat -tulpn | grep $MALICIOUS_PID > /evidence/network_${MALICIOUS_PID}.txt

# 收集打开的文件
lsof -p $MALICIOUS_PID > /evidence/files_${MALICIOUS_PID}.txt

echo "Process isolated. Evidence collected."
```

---

## 实战配置

### Linux 监控配置

**Auditd 配置**：
```bash
# /etc/audit/rules.d/security.rules

# 监控文件删除
-w /etc/passwd -p wa -k identity
-w /etc/shadow -p wa -k identity
-w /etc/sudoers -p wa -k identity
-w /etc/ssh/sshd_config -p wa -k sshd

# 监控权限变更
-w /etc/chrootusers -p wa -k chroot
-w /etc/hosts -p wa -k etc_hosts

# 监控命令执行
-a exit,always -F arch=b64 -S execve -k exec

# 监控网络配置
-w /etc/sysconfig/network -p wa -k network
-w /etc/network -p wa -k network

# 查看审计日志
ausearch -k identity
ausearch -k exec
```

**Fail2ban 配置**：
```ini
# /etc/fail2ban/jail.local

[DEFAULT]
bantime = 3600
findtime = 600
maxretry = 5

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 7200

[nginx-http-auth]
enabled = true
port = http,https
filter = nginx-http-auth
logpath = /var/log/nginx/error.log
maxretry = 3
```

### Windows 监控配置

**Sysmon 配置**：
```xml

<Sysmon schemaversion="4.70">
  <HashAlgorithms>md5,sha256</HashAlgorithms>
  
  <EventFiltering>
    
    <RuleGroup groupRelation="or">
      <ProcessCreate onmatch="exclude">
        <Image condition="is">C:\Windows\System32\lsass.exe</Image>
      </ProcessCreate>
    </RuleGroup>
    
    
    <RuleGroup groupRelation="or">
      <NetworkConnect onmatch="include">
        <Image condition="is">C:\Users\*\AppData\Local\Temp\*.exe</Image>
        <DestinationPort condition="is">4444</DestinationPort>
        <DestinationPort condition="is">5555</DestinationPort>
      </NetworkConnect>
    </RuleGroup>
    
    
    <RuleGroup groupRelation="or">
      <FileCreate onmatch="include">
        <TargetFilename condition="end with">.exe</TargetFilename>
        <TargetFilename condition="end with">.bat</TargetFilename>
        <TargetFilename condition="end with">.ps1</TargetFilename>
      </FileCreate>
    </RuleGroup>
  </EventFiltering>
</Sysmon>
```

**PowerShell 日志配置**：
```powershell
# 启用模块日志
New-Item -Path "HKLM:\Software\Policies\Microsoft\Windows\PowerShell\ModuleLogging" -Force
New-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows\PowerShell\ModuleLogging" -Name "EnableModuleLogging" -Value 1 -PropertyType DWORD -Force

# 启用脚本块日志
New-Item -Path "HKLM:\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Force
New-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Name "EnableScriptBlockLogging" -Value 1 -PropertyType DWORD -Force
New-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Name "EnableScriptBlockInvocationLogging" -Value 1 -PropertyType DWORD -Force
```

---

## 总结与思考

### 核心要点回顾

1. **系统监控**：网络层、主机层、应用层三层监控
2. **入侵检测**：签名检测、异常检测、HIDS、NIDS
3. **日志分析**：日志源识别、ELK Stack、异常查询
4. **威胁狩猎**：假设驱动、情报驱动、狩猎查询
5. **事件响应**：准备、检测、遏制、根除、恢复、总结
6. **实战配置**：Auditd、Fail2ban、Sysmon、PowerShell 日志

### 深入思考

**监控挑战**：
- 海量日志处理
- 误报与漏报平衡
- 加密流量检测
- 隐私合规要求

**发展方向**：
- AI/ML 驱动检测
- 自动化响应 (SOAR)
- 云原生监控
- 零信任监控

### 最佳实践

**监控部署**：
- 关键系统优先
- 分阶段实施
- 持续调优规则
- 定期演练测试

**日志管理**：
- 集中收集存储
- 标准化格式
- 合理保留期限
- 访问控制审计

---

## 参考资料

### 学习资源

- **SANS Incident Response**: https://www.sans.org/incident-response
- **NIST SP 800-61**: 事件处理指南
- **MITRE ATT&CK**: https://attack.mitre.org

### 工具资源

- **Suricata**: https://suricata.io
- **OSSEC**: https://www.ossec.net
- **ELK Stack**: https://www.elastic.co/elastic-stack
- **Sysmon**: https://docs.microsoft.com/sysinternals/downloads/sysmon

---

*Day 97 完成 | 系统监控与检测详解 | 字数：约 18,000 字*