來源：https://linkurious.com/blog/graph-data-visualisation-cyber-security-threats-analysis/

https://linkurious.com/blog/top-javascript-graph-libraries/

在這篇博客文章中，我們將概述如何處理安全信息和事件管理/日志管理(SIEM/LM)數(shù)據(jù)溢出。讓我們看看Linkurious的高級圖形可視化解決方案是如何幫助輕松識別和調(diào)查網(wǎng)絡(luò)安全威脅的。

對于那些希望使用Linkurious等圖形數(shù)據(jù)可視化解決方案開始可視化SIEM/LM數(shù)據(jù)的分析師來說，轉(zhuǎn)換到數(shù)據(jù)湖架構(gòu)通常是必要的第一步。Linkurious使分析人員能夠處理SIEM/LM數(shù)據(jù)溢出，并執(zhí)行精確的實時和/或攻擊后取證分析。在第二部分中，我們將使用一個真實的SIEM/LM數(shù)據(jù)集用例來演示Linkurious的可能性范圍，并執(zhí)行一個取證分析示例。

一、處理SIEM/LM數(shù)據(jù)溢出:讓安全分析師重新控制

SIEM/LM解決方案在過去15年中不斷發(fā)展，以適應(yīng)不斷變化的網(wǎng)絡(luò)安全威脅。SIEM/LM解決方案旨在為分析人員提供所需的所有必要信息和上下文，以確定攻擊的性質(zhì)、其復(fù)雜程度和在網(wǎng)絡(luò)內(nèi)擴散的程度。為了有效地包含安全漏洞損害并有效地做出反應(yīng)，分析師需要在正確的時間獲得正確的信息。

今天，對于各種規(guī)模的組織來說，滿足其必要的運營、審計和安全需求仍然是一個相當(dāng)大的挑戰(zhàn)。隨著網(wǎng)絡(luò)變得越來越復(fù)雜，需要監(jiān)控的設(shè)備數(shù)量也顯著增加。分析師們確實被數(shù)據(jù)淹沒了。因此，將這些不同的SIEM/LM數(shù)據(jù)源聚合在一起本身就是一個挑戰(zhàn)。這些重要的框架限制使分析師無法工作。他們有太多的數(shù)據(jù)，但沒有足夠的信息。確實需要將分析的規(guī)模和復(fù)雜性降低到更容易理解的水平，以便分析人員提出適當(dāng)?shù)慕鉀Q方案來提高整體安全性。高級數(shù)據(jù)可視化解決方案正是實現(xiàn)了這一點。

但目前，SIEM/LM解決方案仍然很少包含數(shù)據(jù)可視化工具。即使這樣，它們也不能有效地處理如此大量的數(shù)據(jù)，也不能提供實時的模式檢測和探索的可能性。目前，大多數(shù)依賴SIEM/LM數(shù)據(jù)可視化解決方案的公司只將它們用于演示目的，而不是用于分析。他們經(jīng)常需要依靠外部服務(wù)來進(jìn)行攻擊后取證，因為這些操作需要大量的技能和時間。

二、使用圖形數(shù)據(jù)可視化解決了這個問題，并使SIEM/LM數(shù)據(jù)再次運行

如今，網(wǎng)絡(luò)安全領(lǐng)域解決這些問題的趨勢是從傳統(tǒng)的數(shù)據(jù)倉庫框架轉(zhuǎn)向更靈活、可擴展的數(shù)據(jù)后端。這使得圖形數(shù)據(jù)可視化分析解決方案等新工具的使用成為可能。通常，這些新的后端采用數(shù)據(jù)湖框架的形式:通常是Hadoop與其他服務(wù)(如圖形數(shù)據(jù)庫和其他分析工具)相結(jié)合。與數(shù)據(jù)倉庫相比，數(shù)據(jù)湖在管理tb級的安全日志方面有很多優(yōu)勢:集中化、靈活性、可操作性和高可伸縮性。那些認(rèn)真考慮使用新的分析應(yīng)用程序(如Linkurious)來處理SIEM/LM數(shù)據(jù)的公司遲早要做出改變。有人可能還會補充說，根據(jù)公司的需要，這種切換對整個現(xiàn)有系統(tǒng)架構(gòu)來說是非侵入性的。

三、Linkurious如何授權(quán)安全分析師

一旦SIEM/LM數(shù)據(jù)集中到數(shù)據(jù)湖中，使用像Linkurious這樣的圖形數(shù)據(jù)可視化解決方案來探索和調(diào)查數(shù)據(jù)，為分析師的日常運營提供了真正的附加價值。它們可以實時操作，可以即時可視化數(shù)據(jù)，并可以以比以往任何時候都更簡單的方式進(jìn)行精確的攻擊后取證分析。使用模式識別算法可以在很大程度上實現(xiàn)可疑活動模式的檢測。這樣，分析人員就可以專注于目測調(diào)查可疑活動。

可視化增強了分析師的能力，因為它在很大程度上解決了需要解釋大量數(shù)據(jù)的問題?？梢暬蟠蠼档土朔治龅囊?guī)模和復(fù)雜性。它還允許公司在內(nèi)部進(jìn)行大部分的取證分析。通過Linkurious先進(jìn)的協(xié)作和安全功能，分析師可以一起工作，共享可視化數(shù)據(jù)，并管理用戶對數(shù)據(jù)的訪問權(quán)限。最后，Linkurious提供的高級定制功能允許其集成到內(nèi)部安全系統(tǒng)中。

接下來，我們將使用現(xiàn)實生活中的SIEM/LM數(shù)據(jù)集演示Linkurious的可能性，以了解圖形可視化技術(shù)在實時監(jiān)控網(wǎng)絡(luò)和執(zhí)行高級取證分析方面的優(yōu)勢。

四、將Linkurious用于網(wǎng)絡(luò)安全:一個真實的用例

這個數(shù)據(jù)集是使用企業(yè)網(wǎng)絡(luò)的真實日志存檔創(chuàng)建的。由維多利亞大學(xué)提供，該大學(xué)創(chuàng)建并公開了用于一般研究目的的數(shù)據(jù)集。該數(shù)據(jù)集是多個公開可用的惡意和非惡意SIEM/LM日志數(shù)據(jù)集的組合。數(shù)據(jù)集再現(xiàn)企業(yè)網(wǎng)絡(luò)的日常使用情況。關(guān)于數(shù)據(jù)集的更多信息請點擊這里。

PCAP文件是用Wireshark生成的，我們將其轉(zhuǎn)換成CSV文件。然后我們生成了幾個CSV文件來對數(shù)據(jù)集建模，并將其導(dǎo)入到Neo4j中。

1、建模

我們對Neo4j數(shù)據(jù)庫使用了以下模型:

導(dǎo)入腳本:

cd C:\Users\linkurious\Downloads\neo4j-community-3.0.1-windows\neo4j-community-3.0.1\bin

neo4j-import –USING PERIODIC COMMIT 1000 –skip-bad-relationships –C:\Users\linkurious\Downloads\neo4j-community-3.0.0-RC1-windows\neo4j-community-3.0.0-RC1\bin –nodes nodeip.src.csv –nodes nodeport.csv –relationships Relationshipdst.portip.dst.csv –relationships RelationshipIP.srcdst.port.csv –into C:\

將連接與起始日期和結(jié)束日期聚合在一起，以減少邊數(shù)量。為每個傳輸?shù)陌鼊?chuàng)建一條邊會創(chuàng)建超級節(jié)點，使得圖很難讀取。我們使用的模型非常簡單，但是根據(jù)分析人員所尋找的內(nèi)容，可以使建模適合非常具體的用例。

2、使用Linkurious識別UMTP風(fēng)暴僵尸網(wǎng)絡(luò)

Linkurious使分析師能夠?qū)⒛切┛雌饋砗茈y概念化的數(shù)據(jù)可視化。經(jīng)驗豐富的分析師知道他們管理的網(wǎng)絡(luò)上的“正常”行為是什么樣子的。這使得他們能夠設(shè)置模式檢測算法，從數(shù)據(jù)庫中提取異常行為。例如，下面的可視化顯示了網(wǎng)絡(luò)中的“正常”交互。IP與各種各樣不同的服務(wù)端口(131.243.125.208)交互。

另一方面，這是一種不正常的行為模式。大多數(shù)連接“172.16.0.11”的ip地址使用的端口為25 (SMTP端口)，除了其他服務(wù)的流量外，不產(chǎn)生其他流量。這本身就很可疑。但是大量的IP在同一時間進(jìn)行相同的操作似乎表明僵尸網(wǎng)絡(luò)正在進(jìn)行UDP風(fēng)暴攻擊。這些攻擊基本上是拒絕服務(wù)攻擊(DoS)。

如果地理定位服務(wù)獲取IP地址的GPS坐標(biāo)，就有可能在地圖上直接顯示它們。使用Linkurious地理空間可視化功能，只需點擊一下，我們就可以看到大多數(shù)屬于僵尸網(wǎng)絡(luò)的ip都在同一個區(qū)域。他們大多數(shù)來自烏克蘭的敖德薩。

Geospatial representation of the IP adresses of the UDP Botnet attack

Zoom in to the most concentrated activity region

大部分有害流量來自敖德薩附近的烏克蘭

然后，我們可以探索特定IP地址的活動，并查看哪些服務(wù)受到其活動的影響。例如，地址“12.166.237.145”具有我們還沒有研究過的其他鏈接。讓我們分別檢查它，并展開它來查看所有的連接。通過這種方式，我們可以看到它鏈接到網(wǎng)絡(luò)上的另一個IP:“172.16.0.12”。

Exploring 12.166.237.145 connections on the network

如果我們擴展IP地址“172.16.0.12”來查看它的連接，我們發(fā)現(xiàn)它連接到另一個攻擊。這意味著這兩個可能是連接在一起的，網(wǎng)絡(luò)可能被破壞了幾次。該攻擊遵循與我們剛才看到的第一次SMTP風(fēng)暴攻擊相同的模式。

五、Linkurious:用于網(wǎng)絡(luò)安全威脅分析的圖形數(shù)據(jù)可視化

這個簡單的用例顯示了圖形可視化技術(shù)對于網(wǎng)絡(luò)安全分析師的巨大潛力。分析師現(xiàn)在可以開始理解他們連接的數(shù)據(jù)，并調(diào)查他們網(wǎng)絡(luò)上的任何可疑行為。Graph visualization為分析人員提供了高水平的精度，以便快速理解任何類型的安全事件。評估攻擊的復(fù)雜程度并作出相應(yīng)的反應(yīng)比以往任何時候都更容易。

一旦該公司的數(shù)據(jù)框架為圖形數(shù)據(jù)可視化做好準(zhǔn)備，Linkurious將成為所有安全分析師的堅實盟友。像Linkurious這樣的解決方案提供的多種可能性使分析師能夠克服SIEM/LM數(shù)據(jù)的溢出，并提取他們需要的信息。圖形可視化有可能降低分析的復(fù)雜性，使SIEM/LM數(shù)據(jù)可操作。取證分析也變得更便宜，因為現(xiàn)在可以更頻繁地在內(nèi)部進(jìn)行。

圖技術(shù)實現(xiàn)了檢測過程的很大一部分自動化。這樣，分析人員就可以專注于調(diào)查網(wǎng)絡(luò)上的安全警報。Linkurious的協(xié)作功能也使他們能夠更高效、更快速地一起工作。Linkurious滿足此類敏感數(shù)據(jù)的所有安全標(biāo)準(zhǔn)，并提供所有必要的工具來管理用戶權(quán)限訪問。在處理非技術(shù)用戶和公司內(nèi)部的其他部門時，使用基于圖的方法也提供了許多優(yōu)勢，因為它固有的簡單性。誰不了解節(jié)點和邊呢?