让网络监控耍上小“聪明”

引言：为了有效降低网络运维成本，不少单位在局域网中都部署了专业的网络监控系统，这些监控系统虽然可以在监控的深度和范围方面，能够满足单位全方面需求，但是它们的部署会带来新的运维成本，显然这对组网规模不大的单位来说，是不太适合的。网络管理员完全可以自己动手，也能让网络监控“聪明”高效！

为了有效降低网络运维成本，不少单位在局域网中都部署了专业的网络监控系统，这些监控系统虽然可以在监控的深度和范围方面，能够满足单位全方面需求，但是它们的部署会带来新的运维成本，况且这些监控操作还需要一定的专业性，显然这对组网规模不大的单位来说，是不太适合的。其实，对于中小单位来说，网络管理员完全可以自己动手，也能让网络监控“聪明”高效！

聪明监控DHCP服务

单位使用的是Windows Server 2003服务器系统内置DHCP服务，要聪明高效地监控该服务的运行状态，关键在于判断它能否持续不断地为终端系统提供地址分配功能。为了要达到这个监控目的，我们可以巧妙地编写脚本程序，强制系统每隔一段时间去执行“ipconfig /release”、“ipconfig /renew”命令，来频繁检测DHCP服务器的地址回收和地址分配功能。要是局域网中的DHCP服务器运行状态不正常，那么终端计算机将不能通过先前编写的脚本程序，获得有效的上网地址，这样就会引起其他相同子网的终端计算机不能Ping通本地系统的IP地址。

依照这种思路，我们可以在局域网中任意选择一台终端计算机，来作为运行上述脚本程序的探测计算机，这个脚本程序通过BAT格式的批处理文件实现，起到模拟终端用户不停向DHCP服务器申请IP地址的作用，该批处理文件中包含的命令代码有以下一些内容：

日后，一旦执行这个脚本处理程序时，本地终端系统就每隔20秒钟循环执行一 次“ipconfig /release”、“ipconfig /renew”命令，来不断地向DHCP服务器申请动态IP地址。要是地址申请操作能够顺利，那就意味着局域网DHCP服务器的运行状态是正常的，否则，就表示DHCP服务器不能向终端计算机正常分配上网地址。这时，相同子网中的其他计算机只要使用Ping命令，测试该探测计算机的IP地址，就能判断出局域网DHCP服务器是否能够正常工作了。

聪明监控FTP服务

局域网中的FTP服务器，常常会成为恶意用户的攻击对象，例如黑客为了窃取数据，可能会利用特定漏洞，悄悄向其植入木马程序，来非法窃取FTP服务管理权限。这时，我们不妨利用“FTP Guard”外力工具，聪明监控局域网中的FTP服务，及时捕获入侵行为，保障FTP服务器远离非法攻击。

开启“FTP Guard”工具运行状态，点击主界面左侧“Connections”处的“+”按钮（如图1所示），在新建对话框的“Connection Name”位置处输入好监控连接名称，在“FTP Host”位置处设置好需要监控的FTP服务器站点地址和网络端口，要是匿名登录FTP服务器时，不妨选中“Anonymous”选项。为了安全起见，建议使用身份验证登录，在“FTP Username”、“FTP Password”等位置处输入好登录FTP服务器的账号与密码，同时定义好监控路径。要对FTP服务器下面的子目录内容监控时，还要将“Recursive”选项同时选中，确认后退出监控连接对话框。

图1 按钮示意图

选中刚才创建的监控连接名称，打开它的右键菜单，点 选“Check Connection”命令，“FTP Guard”工具开始自动扫描特定FTP连接，同时将扫描检测结果记录存储下来，以作为以后监控分析的基础。重新选中特定FTP 连接，在“Alert Event”设置项处，将“Addition”、“Deletion”、“Modification”等选项逐一选中，开启文件添加监控、文件删除监控、文件修改监控等功能，这样FTP服务器中的任何数据文件发生变化，“FTP Guard”工具都能及时发出报警提示。

在“Notification”设置项处，选中“Sh ow SystemTray Messa ge”选项，强制“FTP Guard”工具在监控到异常状态时，及时将相关提示信息显示在系统屏幕右下方，看到这些提示管理员往往就可以直观了解到究竟有哪些文件发生了状态变化，这有利于管理员快速定位FTP服务器中的安全隐患。如果希望监控报警效果更好一些，建议使用“Play Sound”选项，来播放特定音乐文件来达到报警目的。此外，在“File/Directory Extension Filter”设置项处，还要定义好待监控的数据文件类型，每个文件类型独立占用一行。在“Directory Ingore Filter”设置项处，定义好不需要监控的特殊文件夹，每个文件夹名称也是单独占用一行。

“FTP Guard”工具默认每隔10分钟，扫描监测一次FTP服务器，但监控过于频繁，会影响FTP服务器的反应灵敏度，建议将该参数调整为半个小时左右。在进行这种调整操作时，单击主界面中的“Program Options”按钮，展开如图2所示的设置界面，在“Monitoring Interval”位置处输入“30”秒钟即可。值得注意的是，在这里也能按需选择报警音乐文件，只要单 击“Default Sound Notification File”设置项处的浏览按钮，从弹出的文件浏览框中，选择并添加自己喜欢的报警音乐文件即可。这里的其他参数，建议不要改变，最后进行确认保存设置操作。

至此，“FTP Guard”工具就能对局域网中的FTP服务器进行聪明监控了。只是每次重新启动计算机时，还要手工开启一下该工具的监控功能，因为它在默认状态下并没有启用监控功能。将主界面“Monitoring”处的红色“Off”选项，修改为绿色“On”选项，可以轻松开启FTP服务监控功能，将“Sound”处的“Off”选项，修改为绿色“On”选项，可以启用声音报警功能。所有监控内容都会被智能存储下来，要查看分析这些监控内容时，只要单击主界面中的“Monitoring Results”按钮，切换到监控报告列表窗口，从中可以发现FTP服务器的各种状态变化，例如新增了哪些文件，删除了哪些文件，内容发生修改的有哪些文件等。依照这些监控内容，管理员就能发现攻击FTP服务器的不法分子，同时采取有效安全措施，确保FTP服务器运行始终安全。

图2 所示的设置界面

聪明监控系统服务

为了不让自己暴露身份，不少网络病毒或木马在偷偷运行时，常常会“装扮”成系统后台服务，这样一来用户不能立即发现病毒、木马的“身影”。为了在第一时间发现终端系统的潜在安全隐患，我们不妨通过监控系统服务的状态变化，来快速寻找到陌生的后台服务，以便进一步判断终端系统的安全状态。

要聪明监控系统服务的安全状态，可以巧妙使用终端系统自带的“net start”命令，导出系统出现异常状态前后的服务列表信息，同时对这两个导出文件中的内容进行比较，就能识别出哪些系统服务是新创建的，哪些系统服务已经被悄悄关闭了。对于新生成的陌生系统服务，只要打开它的属性对话框，找到同时删除对应服务的可执行文件，就能实现清除病毒或木马程序目的了。下面就是详细的监控步骤：

首先在终端计算机运行状态正常时，逐一单击“开始”、“运行”命令，弹出系统运行对话框，输入“cmd”命令，展开MS_DOS工作窗口；在该窗口命令提示符下，输入字符串命令“net start> E:111.txt”，单击回车键后，Windows系统会自动将当前状态下所有已经启用的系统服务全部列写出来，同时集中导入到“E:111.txt”文本文件中，打开该文本文件时，我们就能看到究竟有哪些系统服务已被成功启用了，如图3所示，这些系统服务就是系统异常状态下的参照标准。

其次当哪一天发现终端计算机运行突然缓慢或出现其他不正常现象时，再在DOS命令行提示符下输入“net start > E:222.txt”命令，将异常状态下的系统服务启用列表信息导出保存到“E:222.txt”文本文件中，这时“乔装改扮”的系统后台服务也会出现在该文件中。

下面要做的就是比较两种正常状态下服务列表信息的异同，在进行比较操作时，直接输入“fc E:111.txt E:222.txt”字符串命令，要是系统中没有病毒或木马运行，那么结果会返回“找不到相异处”的提示信息。相反，要是系统已经遭遇了病毒或木马的攻击，那么结果会返回那些被关闭或新创建的系统服务名称。

图3 系统异常相关

要是搜索到陌生系统服务名称后，再打开终端系统运行对话框，输入“Services.msc”命令，在展开的系统服务列表界面中，找到陌生系统服务选项，用鼠标双击该选项，切换到对应服务选项设置对话框，从中找到调用该陌生服务的可执行文件。之后进入系统资源管理器窗口，切换到目标可执行文件所在文件夹窗口，选中并删除该文件，这样就能达到手工删除病毒或木马程序的目的了。当然，在手工删除病毒或木马文件之前，必须先关闭陌生系统后台服务；如果不能关闭病毒或木马服务时，可以考虑先将终端系统启动运行到安全模式状态，或者借助光盘版的Windows PE系统启动到DOS状态，再试着关闭病毒或木马等陌生服务，最后删除病毒或木马对应的可执行文件。

聪明监控DNS服务

终端计算机要想正常访问Internet上的信息，往往离不开本地DNS服务器的“鼎力”支持，因为这种支持是在后台悄悄进行，很多用户感觉不到DNS服务的存在。其实，本地DNS服务器的运行稳定性，影响着整个网络的上网稳定性，监控DNS服务器的安全运行性能，有利于确保整个网络的运行安全，毕竟在第一时间找到DNS服务器的安全隐患，能让其安全稳定地运行！

要聪明监控DNS服务，只要启用DNS服务器的日志监控报警功能即可。在进行该操作时，首先以超级用户身份登录DNS服务器所在主机系统，依次点击“开始”、“程序”、“管理工具”命令，展开DNS服务器控制台界面，在该界面的左侧显示窗格中，选中特定DNS服务器主机名称，用鼠标右键单击该名称，选择快捷菜单中的“属性”命令，切换到DNS服务器属性设置框。

点击“日志”标签，进入如图4所示的标签页面，根据实际情况定义好需要监控DNS服务器哪方面的状态内容，确认后退出设置对话框。日后，要查看DNS服务器安全方面的状态信息时，只需要进入DNS服务器系统资源管理器窗口，打开其中的“%systemroot%system32dnsdns.log”日志文件，就能监控到DNS服务器各方面的状态信息了，比方说，接收状态内容、应答状态内容、发送状态内容等，根据这些信息网络管理员就能有效识别出DNS服务器此时的运行安全性了。了信息安全风险评估。

信息安全风险评估是对信息资产（即某事件或事物所具有的信息集）所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估，是组织确定信息安全需求及解决方案的一个重要途径。但信息安全风险评估不能完全满足黑客、信息战、自然灾难、电力中断等新形势下的安全需求。可见，理想的威胁情报不但需要及时知道本单位信息系统存在何种容易被攻击的弱点，还要知道攻击者的动机和手段，知道如何部署防御措施，知道如何检测攻击，攻击会造成何种影响，该如何响应攻击事件等。威胁情报的获取及响应都能体现防御能力的建设程度，因此，建立有长效机制的威胁情报服务体系尤为重要。威胁情报服务体系至少包含了威胁监测及响应、数据分析及整理、业务情报及交付、风险评估及咨询、安全托管及应用等各个方面，涉及研究、产品、服务、运营及营销的各个环节。

图4 标签页面

在 2013年，Gartner给“威胁情报”作出了明确定义：“威胁情报是基于证据的知识，包括场景、机制、指标、含义和可操作的建议，针对一个现存的或新兴的威胁，可用于做出相应决定的知识。”

起什么作用呢？我们都知道，企业所面临的威胁不仅来自外部，而实际上大多是出自内部，很多外界发起的APT攻击环节都需通过“内部跳板”才能访问敏感数据。虽然企业已部署了必要的防护线，但是基于发现、预警和响应的时间差却更为关键。简而言之，企业能不能从海量的网络信息库中及时甄别、捕捉到有价值的安全威胁信息（也即“情报”），并通过完善、高效的沟通渠道来共享或发布这些信息，这就是威胁情报所要解决的问题。

具体来讲，威胁情报主要包括两大方面的应用，即战术威胁情报和战略威胁情报。前者通常是在网络安全监控过程中分析所收集的数据，识别安全威胁并采取相应的措施。战术威胁情报侧重于对威胁的技术分析与响应控制能力，它依靠感染指标来捕捉威胁入侵的迹象。感染指标一般包含以下几种参数：

1.原子指标信息，如IP地址，域名、邮件地址、网络或主机信息等。

2.可计算的指标信息，如恶意程序的数字哈希值（包括SHA1和MD5）。

3.行为指标信息，如攻击者的行为特征（包括恶意表征、爬虫行为）、攻击工具、TTP（战术、技术和行为模式）类型等。

依据战术威胁情报，企业可构建更高层面的威胁模型与威胁图示，这便形成战略威胁情报，用于发现威胁趋势，并以此来研判怎样降低威胁面，决定如何配置安全预算、部署何种安全产品和技术、人员应聚焦哪些环节等战略性问题。

这些情报对于部署高效型防御非常有帮助，但却不是仅由组织自身就能获取和维护的，需依靠专门的威胁情报分析系统才能实现目标。近两年，安全威胁情报行业在蓬勃发展，已形成一个潜力巨大的新兴安全细分市场，也活跃着一批专业的威胁情报服务商。国外比较知名的安全威胁情报来源有IBM X-Force Exchange、Symantec Deepsight、RSA NetWitness Live、Verisign iDefense、OSINT、SANS、Dell SecureWorks、McAfee Threat Intelligence、ThreatStream、OpenDNS、MAPP等。在我国，360公司建立了国内首个安全威胁情报中心，通过开放联动推进威胁情报生态环境的建设。

笔者认为，威胁情报不妨通过这些手段来实现。

持续性培训

敏感数据的接触来自企业关键部门人员，一旦关键人员受到外部原因诱惑，通过非法复制，让信息和数据长期而慢速的信息，或者让企业信息和业务大规模中断，这对于企业有着莫大的威胁。

因此，需要持续性的培训，包括制度、法规上的培训行为，在行政手段上降低部分威胁。

建立“触碰”机制

数据在有限范围内访问是允许的，但是非法复制和传播是绝对不允许的，如何预防需要建立核心数据的“触碰”机制是关键。

关键数据限制访问次数，一旦超过正常访问次数，立刻触发报警，有安全人员采取下一步措施。对于业务系统和服务器的敏感数据，不仅需要记录访问次数，还要记录用户访问时间、频率、访问地点等信息，同样是需要预警机制，关键指标一旦有任何触碰的行为，即反馈给安全中心。

利用大数据的精准分析和定位

企业/组织获得信息太多，包括那些不用的信息，如何清除这些噪音而获取真正的价值呢？

大数据给出答案，通过汲取、分析和自动化的挖掘数据，并和云端关联分析，可以对受害目标和攻击源头进行精准定位，率先洞悉风险和威胁，并将威胁情报快速递交给用户，对攻击行为进行前期预报和溯源。

360公司主防库覆盖中国5亿PC客户端，总日志数达到50000亿，互联网存活网址库每天有300亿条查询量，每天处理一百多亿条……，通过海量数据挖掘，360天眼发现了多起APT事件，将大量的威胁行为止于萌芽。

善用机器学习

所有的攻击行为都存在变数，预防是必要的，但是绝对难以解决所有威胁，因此对于威胁情报需要机器学习来完善防御体系。

对原始数据，需要聚类，然后开始训练数据，进行有监督学习，并适时进行干预，最终形成机器领域的规则和分类器，在威胁发生时进行比对、预防、告警。