Chinavis2018挑战赛1获奖论文总结(2)
接着上篇,接下来是问题三:
挑战 1.3:找出至少 5 个异常事件,并分析这些事件之间可能存在的关联,总结你认为有价值的威胁情报,并简要说明你是如何利用可视分析方法找到这些威胁情报的。
(1)解决方案
1.“流量分析”界面
“流量分析”界面主要用于分析 tcp 流量中出现的异常,分为左、中、右三部分。
中间在题二旭日图的基础上增加气泡图,以便显示在 login 中 id:ip 的 1:N 关系。
右边是 tcp 流量分析热力图。包含源 ip 和目的 ip 选项卡,选项卡内可选择“上传流量”、“下载流量”、 “上传流量最大值”、“下载流量最大值”,用于控制下面热力图最值范围。同时热力图包含 ip、day、all 三种 模式,用于切换视图节点热度度量方式:ip 模式下对单个 ip 数值大小进行比较,day 模式下比较同一天的 数值,all 模式下对全局所有值进行比较。可用于显示某个ip在某天的上下传流量大小。
左边是平行坐标图,有 dip、sip、day、hour 几个维度的轴。当用户点击中间视图的节点,显示 login 中的连接变化,当用户点击右边视图的节点,显示 tcpLog 中的连接变化。 可用于检测某一日各个时间段内tcp连接情况。
2.“异常威胁”界面介绍
“异常威胁”界面主要用于对异常进行进一步追踪,视图分三部分。
中间旭日图在“流量分析”界面中的旭日图基础上,开放了中间的日期选择的功能,点击圆弧可选择相 应日期。其中,深色部分标记了 11 月的周末。
左边表格展示了被选中 id 的网站访问信息和邮件收发情况的具体内容。其中网站访问信息表包含四个 属性维度:网站类型、网站链接、网站 IP、访问时间。邮件收发信息表包含三个属性维度:邮件主题、接 收方、邮件时间。
右边两个双向堆叠图,以 10 分钟为一个区间统计了被选中的 id 在指定日期内的 login 次数和 tcp 的流 量信息,通信的 8 种协议类型用不同颜色标识。其中,“登录信息”堆叠图的上下两部分显示了登录成功和 失败的次数。“流量信息”堆叠图的上下两部分显示了上传和下载的流量大小。
(2)分析
1.离职意向
重庆大学队首先观察了之前的weblog的散点图,重庆大学根据访问网站的类别添加了标签,如求职,内网,娱乐等。,看到 1376 和 1487 自 11 月 10 日开始访问专职招聘网站。追踪邮件往 来,两人于 11 月 27 日向 hr 发送辞职邮件,提出辞职请求,并于 1487 于 11 月 28 日辞职申请被上级批 准。
继续追踪邮件,发现 1281 的离职行为。1281 于 11 月 27 日向 hr 发送辞职邮件提出辞职请求,于 11 月 28 日被两层 1007 与 1224 上级批准并正式离职。
2.1487威胁分析
旭日图中全选 1059 部门,在 login 交互热力散点图的 Mo 模式下,发现公司 1059 部门 login 的 ssh 协议登录失败情况在 11 月 3 日、4 日、6 日异常多,特别是周六的 11 月 4 日。为减少干扰,选中 error 中的相应区域,发现在旭日图中仅高亮了 1487。但点击 1487,其异常区间却不完全重叠,如图 3.4。另 一方面,10.64.105.4 的 tcp 访问情况平行坐标图显示其在这几天活动频繁。
说明问题的关键在 1487 的 ip 地址 10.64.105.4 上。
同时观察到在气泡图中,10.64.105.4 上的登录行为对应 4 个 id(1487/1080/1211/1228),因此,对 这几个 id 进行追踪。发现 1080、1211、1228 分别在 11 月 3 日、4 日、6 日在 10.64.105.4 上多次 ssh 登录,目的 ip 为 10.50.50.44,状态全为 error。直到 11 月 6 日 19:42 登录成功。
综合以上情况,认为是 1487 分别于 11 月 3 日、4 日、6 日尝试在自己 ip 上盗取 1080、1211、1228 三人的账号登录 10.50.50.44,目的是为了连接上 ip 为 10.50.50.44 的服务器。最后与 6 日 19:42 成功盗 取 1228 账号并连接上了 10.50.50.44,值得一提的是,1228 正是 1487 的小组组长。自此重点观察 1228 和 1487 的异常行为。
另一方面,从流量分析界面中,“源 ip”选项卡选择上传流量最大值,单选框选择“all”,观察到一次明显 远大于所有上传行为的异常,其源 ip 为 10.50.50.44,目的 ip 为 13.250.177.223,发生时间为 24 日的 12 点。通过 weblog 又可以获知,13.250.177.223 为 github 的 ip 地址。因此怀疑有人在此时泄露公司机密文件。
平行坐标图显示,1228 于 11 月 24 日 12 点在 1487 的 ip 地址上登录到 ip 地址 10.50.50.43,而从 10.50.50.43 再次登录到了 10.50.50.44,如图 3.7。由此看来,1228 以 10.50.50.43 作为跳板,从 1487 的 ip 地址登录到了 10.50.50.44 并向外发送可疑文件,结合之前的 1228 被盗号的推论,和 1487 的离职 行为,确定 1487 为威胁人员,他冒用 1228 账号进行威胁活动,并于 11 月 24 日中午 12 点向外泄露公司 机密信息。
3.13.250.177.223 文件传输
由前文可知,1487 的最终目的是向 ip 地址 13.250.177.223 发送大文件,因此重点关注该 ip。在流量 分析界面中选择此 ip,如图,观察到 11 月内与其相连过的 id,包括 1487 的异常上传在内一共只有 5 次,通过关联分析,发现 4 个账号有对 github 的大文件上传:
a) 11 月 30 日,17:19,1151 直接登录 10.50.50.49,再登录到 10.7.133.16,向 13.250.177.223 发送 大文件,此 ip 为 github 地址
b) 11 月 21 日,13:34,1273 直接登录 10.50.50.49,再登录到 10.50.50.34,向 13.250.177.223 发送 大文件,此 ip 为 github 地址
c) 11 月 17 日,14:49,1183 从 自己的 ip10.64.105.165 登录到 10.7.133.20,再从此 ip 登录到 10.50.50.40,向 13.250.177.223 发送大文件,此 ip 为 github 地址
d) 11 月 27 日,21:03,1169 从自己的 ip10.64.105.199 登录到 10.50.50.37,再登录到 10.50.50.46,向 13.250.177.223 发送大文件,此 ip 为 github 地址。
4.Root25 号只有 5 次登录
每周六晚上两点都会有 7 次 root 账号的登录,而在最后一个周末,即 11 月 25 日,root 权限只有 5 次登录。
5.Alert的大量下载
16 日从 ip 地址 10.63.120.70 上出现全局最大的下载量,该 ip 对应 id 为 alert,同时 1059 部门于此 日集体较晚下班,推测此日为大型查找维护。
6.个人总结
要将各个表之间的数据结合起来,关联数据的内在关系。选择合适的可视化图表,能比较直观地显示数据的问题。既要有能显示整体数据关系的图表,也要有能显示具体细节的图表,细节图表和总体图表要存在关联。图表设计要尽量设计多的合适的筛选项,以方便想观察数据中特定几项的关系。