本文探讨了如何利用图数据库技术，结合流量日志和主机日志（如Sysmon），来更全面地分析和还原安全事件的攻击链路。文章介绍了在文件上传、Webshell连接、后渗透等场景下，通过关联五元组信息，将不同来源的日志数据串联起来，从而弥补单一日志源的不足。通过具体案例演示，展示了如何追踪进程创建、文件操作、网络连接等行为，即使在面对免杀或流量混淆的攻击时，也能提供更清晰的攻击路径。文章也指出了实际应用中数据量巨大、时间关联性、日志不完整以及图分析算法的局限性等挑战，并对未来安全运营和溯源技术的发展进行了展望。

📊 **日志融合与关联分析**：文章强调了图数据库在安全分析中的核心作用，通过整合流量日志（如Snort）和主机日志（如Windows Sysmon），利用五元组（源IP、目的IP、协议、源端口、目的端口）作为关键关联点，能够有效地打破数据孤岛，将分散的安全事件信息串联起来，形成完整的攻击链路视图。

🔗 **还原攻击链路的实践**：通过模拟文件上传、Webshell连接和Cobalt Strike后渗透等典型攻击场景，文章详细展示了如何利用Sysmon记录的进程创建、网络连接、进程注入等主机行为，以及流量日志中的网络通信信息，从而精确地追踪攻击者从初始入侵到最终目标的每一步操作，即使攻击者采取了免杀或流量混淆等规避手段。

⚠️ **实际应用中的挑战与思考**：文章坦诚地指出了在实际安全运营中，面对海量告警数据、日志时间颗粒度问题、日志记录不完整性（尤其是在Linux环境下缺乏类似Sysmon的工具）、以及图分析算法的“天花板”等现实挑战。作者呼吁结合外部知识（如ATT&CK框架）和AI、大数据等技术，不断优化溯源分析能力，以期最终实现更主动、更有效的安全防御。

🚀 **未来发展方向展望**：作者对安全运营和攻击溯源的未来发展表达了期待，认为虽然现有产品和技术在不断迭代，但真正能够高效落地、全面还原攻击链路的解决方案仍需持续探索。结合算法、AI、大数据技术以及实战经验的反馈，是推动攻击溯源技术向前发展的重要途径。

原创 KID 2024-07-22 12:10 北京

前言

图关系型数据库已经出现很久了，也或多或少的应用在了安全领域，如：

1. 代码审计，漏洞挖掘，如：https://github.com/wh1t3p1g/tabby-path-finder/；

2. 资产关联：各个态势感知平台会用作来展示关系；

3. 漏洞信息/威胁信息等：

4. 还有很多通过日志去还原攻击链路：https://xz.aliyun.com/t/11147?time__1311=Cq0x2Dg7GQKWqGNDQiuAxAx7weQw9gELbD、https://mp.weixin.qq.com/s/ofP4j2TEfNoCYqrLhMsvZA。

     这些都或多或少的增强了安全的实力，图可以用更直接的方式来展示和分析各个节点之间的关系，在分析日志的时候，大家的文章考虑过分别用流量日志、主机日志来用图去分析，也讨论过去综合分析，现在来考虑，在流量/主机日志都尽可能抓到的情况下，结合图数据库，能做到什么地步。

场景搭建

     逻辑很简单，通过文件上传，上传一个webshell，在通过webshell工具去连接、通过cs来进行后渗透，如：进程注入等其他工作等。这些东西很简单，几个虚拟机都可以完成，就不详细说明了。流量日志使用支持snort规则库的引擎来进行，主机日志是在windows上的sysmon，因为他们都有不错的检测规则，特别是sysmon，对于windows，基本上所有需要的字段都能得到（不愧是微软自己的），然而，虽然有SysmonForLinux，经过简单测试，并不理想。

思路介绍

先看下绿盟的文章

https://mp.weixin.qq.com/s/ofP4j2TEfNoCYqrLhMsvZA

其实给了不错的思路，通过5元组来进行配置来尽可能的将主机和网络侧的日志来进行关联。

主机事件

     sysmon可直接参考微软的官方教程：https://learn.microsoft.com/zh-cn/sysinternals/downloads/sysmon 里面涉及到网路连接、文件的增删、进程的注入等等，详情可根据具体情况分析。

ID标记事件1ProcessCreate进程创建2FileCreateTime文件创建时间3NetworkConnect检测到网络连接4不适用Sysmon 服务状态更改（无法筛选）5ProcessTerminate进程已终止6DriverLoad驱动程序已加载7ImageLoad映像已加载8CreateRemoteThread检测到 CreateRemoteThread9RawAccessRead检测到 RawAccessRead10ProcessAccess进程被访问11FileCreate文件已创建12RegistryEvent已添加或删除注册表对象13RegistryEvent注册表值已设置14RegistryEvent注册表对象已重命名15FileCreateStreamHash文件流已创建16不适用Sysmon 配置更改（无法筛选）17PipeEvent已命名管道已创建18PipeEvent已命名管道已连接19WmiEventWMI 筛选器20WmiEventWMI 使用者21WmiEventWMI 使用者筛选器22DNSQueryDNS 查询23FileDelete文件删除已存档24ClipboardChange剪贴板中的新内容25ProcessTampering进程映像更改26FileDeleteDetected文件删除已记录27FileBlockExecutable文件阻止可执行28FileBlockShredding文件阻止粉碎29FileExecutableDetected可执行文件已删除

流量事件

     流量的基础信息为五元组（源ip、目的ip、协议、源端口、目的端口）、预警信息等。

综合考量

     主机日志与流量日志所共用的点在于网络连接信息即四元组（源ip、目的ip、源端口、目的端口），那么我就可以通过这个来将两个日志类型关联起来。然后就是对日志事件的字段进行分析，如：

1. 网络连接：源ip->告警日志->进程->目的ip；

2. 创建文件：进程->文件；

3. 进程注入：进程->目标进程；

理论上通过自定义的规则就可以将所有的行为与进程串联起来了。

具体分析

前面已经说了思路，那么我们来一步步来测试下情况，原始情况：

因为存在扫描行为，和正常请求行为，所以不可避免的造成爆炸，那么我们先去掉扫描的事件和一些不重要的请求日志：

然后具体分析下

可以看到根据流量告警关联到了httpd.exe，httpd.exe下的php-cgi.exe创建了一个cs.exe，并且执行

这是在webshell工具上执行的命令，通过主机日志可以弥补流量日志的不足，了解攻击者到底做了什么。

然后攻击者通过cs木马连接到攻击者的c2上，也可通过流量/主机日志进行关联。通过日志的综合分析，可以将攻击者的整个行为串联，在复杂情境下，对于通过免杀或者流量混淆绕过安全设备的行为也可以尽量找出踪迹，发现攻击者。

一点点思考

     在实际过程里，很多设备的日志都是割裂开来的，流量是流量，终端是终端，导致大家进行分析溯源分析都比较割裂，无法准确的还原攻击链路，虽然edr等设备已经出来很久了，但实战上与流量设备的配合并不太理想。实验只使用了很简单很简单的场景，对于日志自定义了一些处理规则，实现了将整个攻击链路展现的情景。然而，真正情况下，会有一下问题：

1. 流量告警的数量超级多，数据清理和策略的编写是个大问题；

2. 攻击者的阶段性攻击可能并不发生在同一时间，那么日志关联的时间颗粒度也是问题；

3. 不管是流量/终端日志都会有存储不完全的情况，没有监测到行为或者被攻击者kill掉/删除，之所以使用windows实验，也是没在linux下发现类似于sysmon一样好用的日志记录工具；

4. 正如绿盟的文章说的：完全利用图分析算法进行复杂攻击识别是有天花板的，外部知识的引入是一种有效的手段，但是当前外部知识只是简单的根据规则抽象出一些已有攻击的威胁子图，利用ATT&CK相关的攻击战术手法。需要在实战不断去试验、反馈、结合算法、ai、大数据等技术去发展；

安全运营的概念提出好久，产品也更新换代了很多，攻击溯源依然是实现主动防御的一种思路，希望某一天真的可以看到有真正好用的落地产品。

参考文章

1. https://mp.weixin.qq.com/s/ofP4j2TEfNoCYqrLhMsvZA

2. https://xz.aliyun.com/t/11147?time__1311=Cq0x2Dg7GQKWqGNDQiuAxAx7weQw9gELbD

3. https://github.com/wh1t3p1g/tabby-path-finder/

阅读原文

跳转微信打开