用于网络安全威胁分析的图形数据可视化
来源:https://linkurious.com/blog/graph-data-visualisation-cyber-security-threats-analysis/
https://linkurious.com/blog/top-javascript-graph-libraries/
在这篇博客文章中,我们将概述如何处理安全信息和事件管理/日志管理(SIEM/LM)数据溢出。让我们看看Linkurious的高级图形可视化解决方案是如何帮助轻松识别和调查网络安全威胁的。
对于那些希望使用Linkurious等图形数据可视化解决方案开始可视化SIEM/LM数据的分析师来说,转换到数据湖架构通常是必要的第一步。Linkurious使分析人员能够处理SIEM/LM数据溢出,并执行精确的实时和/或攻击后取证分析。在第二部分中,我们将使用一个真实的SIEM/LM数据集用例来演示Linkurious的可能性范围,并执行一个取证分析示例。
一、处理SIEM/LM数据溢出:让安全分析师重新控制
SIEM/LM解决方案在过去15年中不断发展,以适应不断变化的网络安全威胁。SIEM/LM解决方案旨在为分析人员提供所需的所有必要信息和上下文,以确定攻击的性质、其复杂程度和在网络内扩散的程度。为了有效地包含安全漏洞损害并有效地做出反应,分析师需要在正确的时间获得正确的信息。
今天,对于各种规模的组织来说,满足其必要的运营、审计和安全需求仍然是一个相当大的挑战。随着网络变得越来越复杂,需要监控的设备数量也显著增加。分析师们确实被数据淹没了。因此,将这些不同的SIEM/LM数据源聚合在一起本身就是一个挑战。这些重要的框架限制使分析师无法工作。他们有太多的数据,但没有足够的信息。确实需要将分析的规模和复杂性降低到更容易理解的水平,以便分析人员提出适当的解决方案来提高整体安全性。高级数据可视化解决方案正是实现了这一点。
但目前,SIEM/LM解决方案仍然很少包含数据可视化工具。即使这样,它们也不能有效地处理如此大量的数据,也不能提供实时的模式检测和探索的可能性。目前,大多数依赖SIEM/LM数据可视化解决方案的公司只将它们用于演示目的,而不是用于分析。他们经常需要依靠外部服务来进行攻击后取证,因为这些操作需要大量的技能和时间。
二、使用图形数据可视化解决了这个问题,并使SIEM/LM数据再次运行
如今,网络安全领域解决这些问题的趋势是从传统的数据仓库框架转向更灵活、可扩展的数据后端。这使得图形数据可视化分析解决方案等新工具的使用成为可能。通常,这些新的后端采用数据湖框架的形式:通常是Hadoop与其他服务(如图形数据库和其他分析工具)相结合。与数据仓库相比,数据湖在管理tb级的安全日志方面有很多优势:集中化、灵活性、可操作性和高可伸缩性。那些认真考虑使用新的分析应用程序(如Linkurious)来处理SIEM/LM数据的公司迟早要做出改变。有人可能还会补充说,根据公司的需要,这种切换对整个现有系统架构来说是非侵入性的。
三、Linkurious如何授权安全分析师
一旦SIEM/LM数据集中到数据湖中,使用像Linkurious这样的图形数据可视化解决方案来探索和调查数据,为分析师的日常运营提供了真正的附加价值。它们可以实时操作,可以即时可视化数据,并可以以比以往任何时候都更简单的方式进行精确的攻击后取证分析。使用模式识别算法可以在很大程度上实现可疑活动模式的检测。这样,分析人员就可以专注于目测调查可疑活动。
可视化增强了分析师的能力,因为它在很大程度上解决了需要解释大量数据的问题。可视化大大降低了分析的规模和复杂性。它还允许公司在内部进行大部分的取证分析。通过Linkurious先进的协作和安全功能,分析师可以一起工作,共享可视化数据,并管理用户对数据的访问权限。最后,Linkurious提供的高级定制功能允许其集成到内部安全系统中。
接下来,我们将使用现实生活中的SIEM/LM数据集演示Linkurious的可能性,以了解图形可视化技术在实时监控网络和执行高级取证分析方面的优势。
四、将Linkurious用于网络安全:一个真实的用例
这个数据集是使用企业网络的真实日志存档创建的。由维多利亚大学提供,该大学创建并公开了用于一般研究目的的数据集。该数据集是多个公开可用的恶意和非恶意SIEM/LM日志数据集的组合。数据集再现企业网络的日常使用情况。关于数据集的更多信息请点击这里。
PCAP文件是用Wireshark生成的,我们将其转换成CSV文件。然后我们生成了几个CSV文件来对数据集建模,并将其导入到Neo4j中。
1、建模
我们对Neo4j数据库使用了以下模型:
导入脚本:
cd C:\Users\linkurious\Downloads\neo4j-community-3.0.1-windows\neo4j-community-3.0.1\bin
neo4j-import –USING PERIODIC COMMIT 1000 –skip-bad-relationships –C:\Users\linkurious\Downloads\neo4j-community-3.0.0-RC1-windows\neo4j-community-3.0.0-RC1\bin –nodes nodeip.src.csv –nodes nodeport.csv –relationships Relationshipdst.portip.dst.csv –relationships RelationshipIP.srcdst.port.csv –into C:\
将连接与起始日期和结束日期聚合在一起,以减少边数量。为每个传输的包创建一条边会创建超级节点,使得图很难读取。我们使用的模型非常简单,但是根据分析人员所寻找的内容,可以使建模适合非常具体的用例。
2、使用Linkurious识别UMTP风暴僵尸网络
Linkurious使分析师能够将那些看起来很难概念化的数据可视化。经验丰富的分析师知道他们管理的网络上的“正常”行为是什么样子的。这使得他们能够设置模式检测算法,从数据库中提取异常行为。例如,下面的可视化显示了网络中的“正常”交互。IP与各种各样不同的服务端口(131.243.125.208)交互。
另一方面,这是一种不正常的行为模式。大多数连接“172.16.0.11”的ip地址使用的端口为25 (SMTP端口),除了其他服务的流量外,不产生其他流量。这本身就很可疑。但是大量的IP在同一时间进行相同的操作似乎表明僵尸网络正在进行UDP风暴攻击。这些攻击基本上是拒绝服务攻击(DoS)。
如果地理定位服务获取IP地址的GPS坐标,就有可能在地图上直接显示它们。使用Linkurious地理空间可视化功能,只需点击一下,我们就可以看到大多数属于僵尸网络的ip都在同一个区域。他们大多数来自乌克兰的敖德萨。
Geospatial representation of the IP adresses of the UDP Botnet attack Zoom in to the most concentrated activity region大部分有害流量来自敖德萨附近的乌克兰
然后,我们可以探索特定IP地址的活动,并查看哪些服务受到其活动的影响。例如,地址“12.166.237.145”具有我们还没有研究过的其他链接。让我们分别检查它,并展开它来查看所有的连接。通过这种方式,我们可以看到它链接到网络上的另一个IP:“172.16.0.12”。
Exploring 12.166.237.145 connections on the network如果我们扩展IP地址“172.16.0.12”来查看它的连接,我们发现它连接到另一个攻击。这意味着这两个可能是连接在一起的,网络可能被破坏了几次。该攻击遵循与我们刚才看到的第一次SMTP风暴攻击相同的模式。
五、Linkurious:用于网络安全威胁分析的图形数据可视化
这个简单的用例显示了图形可视化技术对于网络安全分析师的巨大潜力。分析师现在可以开始理解他们连接的数据,并调查他们网络上的任何可疑行为。Graph visualization为分析人员提供了高水平的精度,以便快速理解任何类型的安全事件。评估攻击的复杂程度并作出相应的反应比以往任何时候都更容易。
一旦该公司的数据框架为图形数据可视化做好准备,Linkurious将成为所有安全分析师的坚实盟友。像Linkurious这样的解决方案提供的多种可能性使分析师能够克服SIEM/LM数据的溢出,并提取他们需要的信息。图形可视化有可能降低分析的复杂性,使SIEM/LM数据可操作。取证分析也变得更便宜,因为现在可以更频繁地在内部进行。
图技术实现了检测过程的很大一部分自动化。这样,分析人员就可以专注于调查网络上的安全警报。Linkurious的协作功能也使他们能够更高效、更快速地一起工作。Linkurious满足此类敏感数据的所有安全标准,并提供所有必要的工具来管理用户权限访问。在处理非技术用户和公司内部的其他部门时,使用基于图的方法也提供了许多优势,因为它固有的简单性。谁不了解节点和边呢?