seci-log 開源日誌分析軟體發布了

標籤：

隨著互連網和雲端運算的發展，公用雲端伺服器是人們越來越容易接受的產品，其最普遍受益的一點就是節省成本。企業不必像擁有私人雲端那樣去購買，安裝，操作或營運伺服器或是其他裝置。在一個公用雲端的服務供應商提供的平台上，企業只需使用或開發他們自己的應用程式即可。但公用雲端的安全問題也是顯而易見的，基於Internet的公用雲端服務的特性，全世界只要能上網的人就可以訪問到其雲端服務器，其在雲主機及其雲上的資料受到威脅會更多而且更複雜，資料相對於私人雲端處於一個不穩定的狀態。不管是傳統的資訊化還是未來趨勢的雲端運算，都面臨著安全的風險，從安全防護的角度來說，需要一個循序漸進的方式去完善安全體系。一般建設的順序是網路安全、主機安全、資料安全的順序逐步完善。

但對於很多中小企業來說，本身的裝置也不是太多，也就幾台到幾十台而已，如果花費太多的精力去搞安全也不划算，如果不搞又感覺不放心。那什麼方面的內容是中小企業關注的呢？個人認為應該優先關注訪問安全，就是有沒有人非法訪問你的伺服器，因為在雲平台下，任何人只要接入網路都可以訪問到你的機器。所以我認為應該優先關注此資訊，報告非上班時間訪問，非上班地點訪問，密碼猜測，帳號猜測，帳號猜測成功等行為。從我瞭解的情況下，這部分目前還沒有比較有效開源或者免費工具供大家使用，現在elk用的比較多，但大多數情況下都不太適合中小公司，門檻太高。因此本公司針對這種情況，專門開發了賽克藍德日誌分析軟體,並開源了web管理端。

賽克藍德日誌分析軟體(簡稱：SeciLog)能夠通過主被動結合的手段，即時不間斷地採集整合使用者網路中各種不同廠商的海量日誌、資訊、警示，包括安全裝置、網路裝置、主機、作業系統、以及各種應用系統等，並將這些內容彙集到審計中心，進行集中化儲存、備份、查詢、審計、警示、響應，並出具豐富的報表報告，獲悉全網的整體運行情況，實現全生命週期的營運管理。

    目前市場上企業監控類的開源免費的產品很多，在眼花繚亂中，有時候想找一款實用的既簡單又方便的軟體其實不容易，很多開源軟體只關注一個點，或許做的不錯，但很多時候企業需要的是一個面，從IT裝置到業務的監控，這樣就導致企業會部署很多的軟體來支撐系統的運行，除此之外，多開源或者免費的軟體配置也是比較複雜的，經常一個功能從學習熟悉到使用，需要花費大量的成本，如果遇到問題，很難有有效支援服務，絕大多數情況就是自己求助搜尋來解決，費時費力，還不一定能解決好。從體驗上，很多開源軟體之間又沒有什麼關係，導致介面入口很多，給使用者帶來繁瑣，經常沒有時間看或者乾脆就不看了。

    對很多中小企業來說，本身的裝置和系統不是太多，裝置一般是幾台到幾十台，軟體系統從幾套到幾十套不等，從營運的角度，中小企業在業務營運安全管理中的需求上和大公司沒有太大的區別，但花費同樣的資源和金錢去投入，也不現實，那怎麼辦呢，本產品就針對此類使用者由此而生。通過此產品，滿足企業對資訊化監控合規業務的需求，以及通過監控所有可能的日誌來滿足業務分析等。

門戶圖：

web報表

下面來分析下幾種警示：

非上班時間登入

本次警示規則為非上班時間登入系統，主要的目的是防止有人在非上班時間登入系統，這種情況是比較危險的。

驗證過程：

首先配置非上班時間，這個系統已經內建，在安全配置的安全配置中。預設0點到8點，晚上20點到24點為非上班時間。

然後再用ssh串連工具，比如SecureCRT登入系統。這個時候就會有一條日誌記錄。

從日誌上可以看出，登入時間為21:32:28秒，是屬於非上班時間。登入後等個兩三分中到WEB關係系統中查看日誌和警示。

可以看出系統記錄了日誌，併產生了警示。

非上班地點登入

本次警示規則為非上班地點登入系統，主要的目的是防止有人在非上班地點登入系統，這種情況是比較危險的。

驗證過程：

首先配置上班地點。這些資料要根據工作環境設定。從中可以看出這裡裡面沒有192.168.21.1。需要注意的是配置完成後需要重新啟動採集器來載入配置參數。

驗證的過程和非上班時間一致。這個時候會產生一條非上班地點警示。需要注意的是對同一條事件如果滿足多個警示規則，會產生多條警示，但日誌只有一條。

從警示日誌的詳情來看和剛才的非上班時間登入是同一條日誌。

當把192.168.21.1添加到上班地點中的時候，在做一次登入操作。這時候發現並沒有產生警示，則表示此規則生效。

密碼猜測攻擊

密碼猜測攻擊是一種非常常見的攻擊手段，其特徵是一段時間內容有連續的錯誤登入日誌，則可以確定為密碼猜測攻擊。

驗證過程：

在一段時間內連續輸錯密碼即可。從日誌上看，在短時間內輸錯了3次密碼。

產生的警示如下：

對應的事件：

這裡面有個疑問就是多條日誌在這裡面只有一條日誌，但對應的警示數量是3，這是因為在系統中對原始事件做了歸併處理，當系統發現原始事件是一類的時候，就把這些事件彙總成一條事件，對應的事件數目量為實際發生的數量。

帳號猜測攻擊

帳號猜測攻擊是一種非常常見的攻擊手段，一般被攻擊者首先要確定主機的帳號後才能對其發起進一步的攻擊。所以一般攻擊者首先會猜測root的帳號，所以修改root帳號名稱或者禁止root帳號遠程登陸是非常有效安全手段。其特徵是一段時間內容有連續的帳號不存在登入日誌，則可以確定為帳號猜測攻擊。警示規則如下：

驗證過程，用系統中不存在的帳號登入系統。

產生的警示如下：

所對應的日誌詳情如下：

密碼猜測攻擊成功

密碼猜測攻擊成功是一種非常嚴重的攻擊，表示攻擊者已經攻擊成功，進入了系統，這種情況是非常危險的，尤其要重點關注此警示。這種警示的主要特點是，剛開始的時候，使用者有密碼猜測的行為，緊接著使用者會有一條登入成功的行為，這兩種行為結合起來後就可以得出密碼猜測攻擊成功。

驗證過程，首先用錯誤的密碼連續登入系統幾次，之後再用正確的密碼登入。

產生的警示，可以看到產生了兩條警示，一條是密碼猜測攻擊，一條是密碼猜測攻擊成功。

我們在看一下系統裡面記錄的日誌，明顯能看到，先有5此失敗登入，緊接著有一條成功的日誌。

從上面可以看出，基本上可以滿足中小公司對登入日誌分析的要求。

：

linux版本：http://pan.baidu.com/s/1i3sz19V

window版本：http://pan.baidu.com/s/1mg00RQo

詳細的介紹請看：

https://git.oschina.net/secisland/seci-log

最新的下載連結後面統一到了http://pan.baidu.com/s/1qWt7Hxi，此目錄永久有效。

seci-log 開源日誌分析軟體發布了