AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 云防火墙 全流量威胁检测与响应NDR 操作指南 检测响应 行为分析

行为分析

更新时间:
产品详情
我的收藏

全流量威胁检测与响应NDR(Network Detection and Response)

背景信息

在当今数字化时代,企业面临日益严峻的安全威胁,尤其在身份验证和访问控制方面。传统边界防御难以应对不断进化的网络攻击,黑客常通过窃取高权限账号或利用弱口令、明文传输等漏洞入侵核心资产。可检测登录行为(如特权账号、弱口令、明文密码及已泄漏AKSK)、敏感数据操作及高危服务行为,并提供登录行为的可视化分析能力。

前提条件

资产流量已接入。具体操作,请参见接入管理

登录行为风险类型介绍

风险类型

风险分析

特权账号滥用

特权账号因其对系统和数据的高度访问权限,一旦被攻破,将带来灾难性后果。通过实时监控与分析特权账号的登录行为,能够迅速捕捉异常活动。例如来自未知地理位置的登录、非工作时间的访问尝试,或超出常规范围的登录频率等,从而有效防范并阻止潜在威胁的发生。

弱口令登录

账户被盗用的一个主要原因是使用简单、容易猜测的密码。通过定期检查并将密码更新为复杂且强大的形式,可以显著降低账户被暴力破解的风险。产品能够检测网络流量中的弱口令成功登录行为(例如:Web/MySQL/FTP等弱口令登录),并及时提醒安全运营团队采取措施进行治理,从而进一步提升系统的安全性。

明文密码传输

在网络中传输未加密的密码未使用指定加密算法或编码方式(例如:base64SHAAES)的密码,无异于为攻击者敞开大门。确保所有通信均经过加密处理,并通过监测网络流量来发现可能泄露密码的行为,是保障系统安全的关键环节。这不仅有助于抵御外部攻击者的入侵,还能有效防止内部人员因疏忽而导致敏感信息的意外暴露。

已泄露AKSK登录

在云端环境中,AK/SK(访问密钥/秘密密钥)是用于认证和授权的核心凭证。然而,一旦AK/SK被泄露,攻击者即可利用这些敏感信息访问云资源(如对象存储、数据库、虚拟机等),进而实施恶意操作,例如数据窃取、资源滥用或非法部署等。此外,攻击者可能进一步扩大攻击范围,通过横向移动访问其他云资源,甚至滥用云资源进行挖矿或DDoS攻击等活动。

更严重的是,攻击者可能借助AK/SK通过合法的API接口发起攻击,而无需依赖恶意文件或进程,从而实现“无文件攻击”。这种攻击方式隐蔽性强,传统端点检测工具往往难以发现其踪迹。产品通过监控使用已泄露的AKSK登录成功的行为,快速识别异常活动并进行告警,相关人员及时采取措施,可有效防范潜在威胁,保障云端环境的安全性。

登录行为可视分析

  1. 登录全流量威胁检测与响应控制台

  2. 在左侧导航栏,选择检测响应 > 行为分析

  3. 可视分析页签中,查看登录行为风险及数据库行为风险情况。可单击查看详情,跳转至对应功能页签中查看详细信息。

    image

查看登录行为

查看特权账号登录行为

登录行为 > 特权账号页签中

image

  • 查看日志

    单击操作列的查看日志,跳转至回溯分析 > 协议解析回溯功能,并根据该登录行为包含的IP目的IP目的端口等条件筛选日志信息。

  • 查看特权账号登录风险详情

    1. 单击操作详情,在详情面板,查看目标资产的特权账号的基本信息特权账号登录详情

    2. 单击操作查看Payload,可查看该条记录的详细Payload信息。单击image可导出该识别记录中包含的所有特权账号登录详情。

查看弱口令登录行为

登录行为 > 弱口令页签中

image

  • 查看资产详情

    1. 在弱口令登录风险列表中,单击资产IP列的地址,可查看资产IP对应的资产信息,包括资产名称资产类型公网IP地址私网IP地址专有网络ID/名称操作系统服务类型与服务等信息。

    2. 资产信息对话框下方区域,单击威胁分析协议日志报文检索跳转至对应页面,对当前指定IP进行分析。具体详情,请参见威胁分析日志分析回溯分析

  • 查看日志

    单击操作列的查看日志,跳转至回溯分析 > 协议解析回溯功能,并根据该登录行为包含的目的IP目的端口等条件筛选日志信息。

  • 查看弱口令风险详情

    1. 单击操作详情,在详情面板,查看目标资产的弱口令风险的基本信息弱口令登录详情

    2. 单击操作查看Payload,可查看该条记录的详细Payload信息。单击image可导出该识别记录中包含的所有弱口令登录详情。

查看明文密码登录行为

登录行为 > 明文密码页签中

image

  • 查看资产详情

    1. 在明文密码登录风险列表中,单击资产IP列的地址,可查看资产IP对应的资产信息,包括资产名称资产类型公网IP地址私网IP地址专有网络ID/名称操作系统服务类型与服务等信息。

    2. 资产信息对话框下方区域,单击威胁分析协议日志报文检索跳转至对应页面,对当前指定IP进行分析。具体详情,请参见威胁分析日志分析回溯分析

  • 查看日志

    单击操作列的查看日志,跳转至回溯分析 > 协议解析回溯功能,并根据该登录行为包含的目的IP目的端口等条件筛选日志信息。

  • 查看明文密码登录风险详情

    1. 单击操作详情,在详情面板,查看目标资产的明文密码登录的基本信息明文密码登录详情

    2. 单击操作查看Payload,可查看该条记录的详细Payload信息。单击image可导出该识别记录中包含的所有明文密码登录详情。

查看已泄漏AKSK登录行为

登录行为 > 已泄漏AKSK页签中

image

  • 查看资产详情

    1. 在已泄露AKSK登录风险列表中,单击资产IP列的地址,可查看资产IP对应的资产信息,包括资产名称资产类型公网IP地址私网IP地址专有网络ID/名称操作系统服务类型与服务等信息。

    2. 资产信息对话框下方区域,单击威胁分析协议日志报文检索跳转至对应页面,对当前指定IP进行分析。具体详情,请参见威胁分析日志分析回溯分析

  • 查看日志

    单击操作列的查看日志,跳转至回溯分析 > 协议解析回溯功能,并根据该登录行为包含的目的IP目的端口等条件筛选日志信息。

  • 查看已泄漏AKSK登录风险详情

    1. 单击操作详情,在详情面板,查看目标资产的基本信息已泄漏AKSK登录详情

    2. 单击操作查看Payload,可查看该条记录的详细Payload信息。单击image可导出该识别记录中包含的所有已泄漏AKSK登录详情。

其他操作

  • 数据导出

    1. 单击列表右上角的image按钮,可添加下载任务。

    2. 单击页面右上角的下载任务,在任务列表中,查看所有风险类型的下载任务。

    3. 执行完成的下载任务可以单击下载删除操作。

    image

  • 查看敏感数据

    单击敏感信息,可以查看登录行为中包含的敏感信息。

    image

  • 自定义列表展示字段

    单击image按钮,自定义列表展示字段。

    image

查看敏感数据行为

NDR

  1. 在左侧导航栏,选择检测响应 > 行为分析

  2. 敏感数据行为页签中,查看已接入资产检测到的敏感数据传输行为及敏感数据详情。

    image

    敏感等级

    说明

    S1

    不敏感数据,公开该类数据在绝大多数情况下不会造成危害。如省份、城市、商品名称等。

    S2

    一般敏感数据,不适合公开该数据,数据泄露的危害程度较低。如姓名、地址等。

    S3

    关键敏感数据, 数据敏感程度较高,少量泄漏即会带来严重危害。如各类身份证件、账号密码、数据库信息等。

    S4

    核心机密数据,任何情况下不应泄露。如基因、指纹、虹膜等。

    • 查看资产详情

      1. 在敏感数据行为列表中,单击IP地址列的IP,可查看资产IP对应的资产信息,包括资产名称资产类型公网IP地址私网IP地址专有网络ID/名称操作系统地域服务类型与服务等信息。

      2. 资产信息对话框下方区域,单击威胁分析协议日志报文检索跳转至对应页面,对当前指定IP进行分析。具体详情,请参见威胁分析日志分析回溯分析

    • 查看日志

      单击操作列的查看日志,跳转至回溯分析 > 协议解析回溯功能,并根据该登录行为包含的IP地址目的端口流量方向协议等条件筛选日志信息。

    • 查看敏感数据行为详情

      • 单击操作详情,在详情面板,查看目标资产敏感数据行为的基本信息敏感信息风险详情

      • 单击敏感信息数量列的数字,可查看该条记录中包含的敏感信息。

      • 单击操作查看Payload,可查看该条记录的详细Payload信息。单击image可导出该识别记录中包含的所有敏感信息风险详情。

查看高危服务行为

  1. 在左侧导航栏,选择检测响应 > 行为分析

  2. 高危服务行为页签中,查看检测的高危服务行为的详细信息。

    image

  3. 单击操作列的查看日志,跳转至检测响应 > 回溯分析 > 协议解析回溯页签中,并按照IP地址端口四层协议七层协议等条件筛选日志信息。

查看数据库行为分析

  1. 在左侧导航栏,选择检测响应 > 行为分析

  2. 数据库行为分析页签中,查看公网和私网的数据库风险行为相关信息。

    image

    风险类型说明

    风险类型

    说明

    数据与信息异常

    • 数据与信息异常风险是指数据库操作中涉及超出常规范围的敏感信息读取行为,可能导致系统关键信息泄露或暴露数据库内部状态。这类风险通常表现为未经授权的系统元数据查询、敏感表访问、环境参数获取等操作,例如尝试读取数据库核心配置、用户权限结构或系统版本信息。此类异常操作危害在于泄漏出系统内部敏感信息,为后续的数据窃取等安全事件提供了关键情报。因此,需通过审计机制识别潜在的非必要信息暴露路径,在满足业务需求的同时保障数据资产的机密性。

      SELECT * FROM information_schema.tables;
SELECT * FROM pg_settings;
SELECT * FROM mysql.user;

    • 此类异常操作可能为后续的安全攻击提供信息支持,构成潜在的安全威胁。因此,有必要通过完善的审计机制识别这些异常行为,限制非必要的信息暴露路径,在保障业务正常运作的同时,切实维护数据资产的机密性与安全性。

    文件系统修改风险

    • 文件系统修改风险主要指在数据库运行过程中,对关键文件或核心配置进行变更的操作行为。此类风险通常由运维操作失误或异常指令触发,可能导致系统核心参数被非法篡改、敏感数据泄露,或整体系统稳定性受到损害。例如,通过特定语句不当修改日志存储路径或调整安全策略限制,可能为未授权访问或恶意代码注入创造条件。

      SET GLOBAL slow_query_log_file = '/tmp/slow_query.log';
ALTER SYSTEM SET shared_preload_libraries = 'pg_stat_statements,auto_explain';
SET GLOBAL local_infile = 1;

    • 及时对这类操作进行审计与追踪,不仅有助于确保数据库配置的合规性和安全性,还能有效维护底层运行环境的完整性与可控性,防止因配置异常引发的连锁安全问题,从而提升整体系统的安全防护能力。

    权限配置风险

    • 权限配置风险是指在数据库运维过程中,由于权限分配不当或安全策略配置错误,导致特权信息被过度暴露或访问控制机制失效的安全隐患。该类风险通常涉及权限授予、身份验证参数调整、系统级资源管控等关键操作,具有较高的安全敏感性。例如:

      GRANT ALL PRIVILEGES ON *.* TO 'dev_user'@'%';
CREATE USER admin IDENTIFIED BY 'admin';  
GRANT ALL ON customer_data TO public;

    • 此类风险主要表现为:高危权限的非必要扩散、核心安全机制被降级、或启用可能被用于提权的敏感功能等。不当的权限配置可能破坏“最小权限原则”,为未授权操作、横向移动攻击提供可乘之机,进而导致敏感数据泄露或系统被非法控制。

    • 为有效防控此类风险,应通过审计机制识别超出业务需求的权限授予行为、偏离安全基线的参数配置等异常情况,确保权限体系设计符合职责分离原则,强化数据库整体的安全管控能力,防范因特权滥用引发的数据越权访问或系统级安全事件。

    数据删除风险

    • 数据删除风险是指在数据库运维过程中,可能直接导致数据丢失或关键结构被破坏的高危操作行为,主要涉及对数据表、数据库、视图等核心对象的删除操作。此类操作往往缺乏必要的筛选条件或业务合理性校验,例如无范围限制的敏感数据清除、整库删除、函数及存储过程等依赖组件的删除等,可能直接引发业务中断、历史数据不可逆丢失或系统功能链的断裂。

      DELETE FROM user_credentials;
TRUNCATE TABLE financial_transactions;
DROP DATABASE sales_system;
DROP TRIGGER trg_after_insert;

    • 该风险不仅涵盖显式的 DDL 操作(如 DROPTRUNCATE),还包括未设置精准过滤条件的 DML 删除语句(如 DELETE)。为有效识别并控制此类高危行为,需通过审计机制检测非常规的删除模式,在保障正常运维操作的前提下,防范因误操作或恶意行为引发的数据资产损毁风险,切实保障数据完整性与业务连续性。

  3. 单击操作列的详情,查看风险行为详情、AI智能分析及处置建议。

    image

  4. 单击操作列的查看日志,跳转至协议解析回溯功能中,并按照源IP、源端口、目的IP、目的端口及协议等条件筛选数据。具体操作,请参见协议解析回溯

相关文档

为确保数据安全,您可以配置NDR拒绝查看敏感数据和拒绝导出数据策略

上一篇:威胁分析下一篇:回溯分析