Day-282-高级关联分析

# Day 303: 高级关联分析 - 时序分析/行为链/攻击图谱

> 安全运维系列第 13 天 | 预计阅读时间：25 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [高级关联概述](#高级关联概述)
2. [时序分析](#时序分析)
3. [行为链分析](#行为链分析)
4. [攻击图谱](#攻击图谱)
5. [图分析技术](#图分析技术)
6. [实战应用](#实战应用)
7. [总结与思考](#总结与思考)
8. [参考资料](#参考资料)

---

## 高级关联概述

### 为什么需要高级关联

**基础关联的局限**：
- 只能检测已知模式
- 难以发现复杂攻击
- 误报率高

**高级关联的价值**：
- 发现隐蔽攻击
- 还原完整攻击链
- 降低误报率

### 高级关联技术

| 技术 | 说明 | 适用场景 |
|------|------|----------|
| 时序分析 | 分析事件时间模式 | APT 检测、慢速攻击 |
| 行为链 | 关联多步行为 | 攻击链还原 |
| 图分析 | 实体关系分析 | 威胁传播分析 |
| 机器学习 | 异常模式识别 | 未知威胁检测 |

---

## 时序分析

### 时间窗口分析

**滑动窗口**：
```
窗口大小：1 小时
滑动步长：5 分钟

每 5 分钟分析过去 1 小时的事件模式
```

**示例**：
```python
def sliding_window_analysis(events, window_size, step_size):
    results = []
    start = events[0].time
    end = events[-1].time
    
    current_start = start
    while current_start + window_size <= end:
        window_end = current_start + window_size
        window_events = [e for e in events if current_start <= e.time < window_end]
        
        # 分析窗口内事件
        result = analyze_window(window_events)
        results.append(result)
        
        current_start += step_size
    
    return results
```

### 时间模式检测

**周期性检测**：
```
检测定时任务、C2 心跳等周期性活动

示例：
- 每天凌晨 2 点异常外联
- 每 5 分钟一次 C2 通信
- 每周一上午大量登录失败
```

**突发性检测**：
```
检测突然增加的活动

示例：
- 平时每小时 10 次登录，突然增加到 1000 次
- 平时每天 1GB 外传流量，突然增加到 100GB
```

### 时序关联规则

**序列模式**：
```
A →(t1)→ B →(t2)→ C

示例：
钓鱼邮件点击 →(1h)→ 恶意宏执行 →(5m)→ C2 通信
```

**时间约束**：
```
规则：检测暴力破解后横向移动

条件：
- 事件 A: 暴力破解成功 (t0)
- 事件 B: 从同一源访问其他系统 (t0 + 0-30m)
- 事件 C: 在新系统执行命令 (t0 + 0-60m)
```

---

## 行为链分析

### 行为链建模

**攻击链阶段**：
```
MITRE ATT&CK 杀伤链：
1. 侦察 (Reconnaissance)
2. 武器化 (Weaponization)
3. 投递 (Delivery)
4. 利用 (Exploitation)
5. 安装 (Installation)
6. C2 (Command & Control)
7. 目标行动 (Actions on Objectives)
```

**行为链检测**：
```
检测多个阶段的活动关联

示例：
阶段 1: 钓鱼邮件投递 (T1566)
阶段 2: 恶意文档执行 (T1059)
阶段 3: 持久化建立 (T1547)
阶段 4: 凭证窃取 (T1003)
阶段 5: 横向移动 (T1021)
阶段 6: 数据收集 (T1005)
阶段 7: 数据渗出 (T1041)

→ 检测到 5 个以上阶段 = 高置信度 APT
```

### 行为链规则

**多步攻击检测**：
```yaml
rule:
  name: "Multi-Stage Attack Detection"
  id: RULE-APT-001
  
  chain:
    - stage: "Initial Access"
      events:
        - type: "email_click"
          timeframe: "D-7 to D"
    
    - stage: "Execution"
      events:
        - type: "suspicious_script"
          timeframe: "0-1h after stage1"
    
    - stage: "Persistence"
      events:
        - type: "registry_modification"
          timeframe: "0-10m after stage2"
    
    - stage: "Lateral Movement"
      events:
        - type: "remote_login"
          timeframe: "0-24h after stage3"
  
  threshold:
    min_stages: 3
    confidence: "high"
  
  action:
    type: "alert"
    severity: "critical"
```

### 用户行为链

**正常行为基线**：
```
用户 A 的正常行为模式：
- 登录时间：9:00-18:00
- 登录地点：办公室
- 访问系统：OA、邮件、文件服务器
- 操作类型：文档编辑、邮件发送
```

**异常行为链**：
```
检测偏离基线的行为链：

异常链示例：
1. 凌晨 3 点登录 (时间异常)
2. 从国外 IP 登录 (地点异常)
3. 访问数据库服务器 (系统异常)
4. 大量数据查询 (操作异常)
5. 数据导出到外部 (行为异常)

→ 综合判定为高风险
```

---

## 攻击图谱

### 图谱构建

**实体节点**：
```
- IP 地址
- 用户账户
- 主机设备
- 进程
- 文件
- 域名
```

**关系边**：
```
- 通信关系 (IP ↔ IP)
- 登录关系 (用户 → 主机)
- 执行关系 (用户 → 进程)
- 访问关系 (进程 → 文件)
- 解析关系 (域名 → IP)
```

### 图谱分析

**路径分析**：
```
寻找攻击路径：

攻击者 IP → 防火墙 → Web 服务器 → 数据库服务器

分析：
- 路径长度：3 跳
- 关键节点：Web 服务器
- 阻断点：防火墙规则
```

**社区检测**：
```
识别相关实体群组：

社区 1: 攻击者相关
- 攻击者 IP
- C2 服务器
- 被攻陷主机

社区 2: 受害者相关
- 受害用户
- 被访问系统
- 被窃取数据
```

### 可视化展示

```
攻击图谱示例：

┌──────────┐
     │ 攻击者 IP │
     └────┬─────┘
          │ 攻击
          ▼
     ┌──────────┐         ┌──────────┐
     │ Web 服务器 │ ──────→ │ 数据库   │
     └────┬─────┘  利用    └────┬─────┘
          │ 植入                │ 窃取
          ▼                     ▼
     ┌──────────┐         ┌──────────┐
     │  后门    │         │  数据    │
     └──────────┘         └──────────┘
```

---

## 图分析技术

### 中心性分析

**度中心性**：
```
计算节点的连接数

高连接数节点可能是：
- 关键基础设施
- 攻击枢纽
- 传播中心
```

**介数中心性**：
```
计算节点在最短路径中的出现频率

高介数节点是：
- 关键桥梁
- 瓶颈点
- 优先保护目标
```

### 传播分析

**威胁传播模拟**：
```
假设主机 A 被攻陷，分析可能影响范围：

A → B → C → D
    ↓
    E → F

影响范围：B, C, D, E, F (5 台主机)
```

**关键路径识别**：
```
识别最可能的攻击路径：

路径 1: A → B → D (概率：60%)
路径 2: A → C → D (概率：30%)
路径 3: A → E → F → D (概率：10%)

优先防护路径 1
```

---

## 实战应用

### APT 检测

**检测指标**：
```
- 攻击链阶段数 >= 4
- 活动时间跨度 >= 7 天
- 涉及系统数 >= 3
- 使用 TTP 数 >= 5

满足以上条件 → APT 告警
```

**分析流程**：
```
1. 收集所有相关事件
2. 构建攻击图谱
3. 识别攻击链阶段
4. 映射到 MITRE ATT&CK
5. 评估威胁等级
6. 生成分析报告
```

### 内部威胁检测

**风险指标**：
```
- 离职倾向员工
- 权限异常提升
- 访问敏感数据
- 异常时间活动
- 大量数据下载
```

**检测规则**：
```yaml
rule:
  name: "Insider Threat Detection"
  
  indicators:
    - hr_status: "resignation_notice"
    - access_pattern: "abnormal"
    - data_access: "sensitive"
    - volume: "> 1GB"
    - time: "after_hours"
  
  scoring:
    hr_status: 30
    access_pattern: 20
    data_access: 25
    volume: 15
    time: 10
  
  threshold:
    score: ">= 60"
    action: "alert"
```

---

## 总结与思考

### 核心要点回顾

1. **时序分析**：滑动窗口、时间模式、时序关联
2. **行为链**：攻击链建模、多步检测、用户行为链
3. **攻击图谱**：实体关系、路径分析、可视化
4. **图分析**：中心性分析、传播分析
5. **实战应用**：APT 检测、内部威胁检测

### 深入思考

**技术挑战**
- 计算复杂度高
- 实时性要求
- 数据质量依赖

**发展方向**
- 图神经网络应用
- 实时图计算
- 自动化攻击链识别

---

## 参考资料

### 学习资源

- **MITRE ATT&CK**: https://attack.mitre.org
- **Graph Analytics for Cybersecurity**: NIST 报告

### 工具资源

- **Neo4j**: 图数据库
- **Elastic Graph**: 图分析功能

---

*Day 303 完成 | 高级关联分析详解 | 字数：约 10,000 字*