【前言】根据美国网络安全公司Vectra最近的一项调查研究表明，攻击者在成功取得对用户网络主机的控制权后，发生数据立即窃取行为的可能性只有3%左右。在此之前，攻击者通常会利用失陷主机进行深入侦查用户网络、暴力破解等一些不会产生严重破坏的活动。相对那些会造成直接破坏的活动而言，这类活动更不易被察觉。

从入侵分析的角度看，这意味着在造成重大损失前，用户有更多的时间发现潜在的攻击和入侵。但关键是，发现它们的难度有多大？

我们认为，这主要取决于两方面：一，用户自身发现入侵的知识和经验；二，用户可利用的工具。那么对于用户而言，特别重要的是后者。如果工具能降低对用户的能力要求，并且能够跟用户自身的业务知识很好地结合，及早发现这些入侵威胁的可能性就会明显提高。作为入侵分析领域的领军产品，启明星辰FlowEye产品在某运营商用户网络成功发现点击欺诈（Click Fraud）的入侵案例就很好地诠释了这一点。

【背景】点击欺诈是指自然人或者组织为获取商业利润或者其他利益，利用自动化脚本、计算机程序和雇佣自然人的方式，模仿正当合法的网络用户，对网络广告进行恶意点击并且达到一定规模的行为。一项针对僵尸网络的调查表明，攻击者在成功建立僵尸网络后，绝大多数（约85%）会控制“肉鸡”实施点击欺诈，利用“肉鸡”发动DDoS攻击、暴力破解等其他活动只占15%左右。

国内某运营商用户在部署启明星辰FlowEye产品2个小时之后，安全管理员的手机上接收到一条非法境外访问行为告警，告警显示一台内网服务器与境外机构存在可疑的网络行为。安全管理员随后通过FlowEye提供的IP资产画像能力，获取了该IP的行为分析、流量统计分析、原始网络报文解析等结果，简单、快速的确认了该服务器存在点击欺诈行为，同时，也进而防止了攻击者利用失陷主机实施后果更加严重的网络破坏活动。

【问题发现】FlowEye产品上线之后，用户对某些重要服务器配置了网络黑白名单，其中有一台服务器配置的黑名单规则是：该服务器不能主动向外网发起网络连接（因为该服务器只是被动响应其它主机的服务请求，不会向外网主机主动发起请求）。名单配置之后，FlowEye便对网络开始了实时监控。安全域管理员收到告警短信之后，在FlowEye的监控图上也发现了命中黑名单的网络行为，如下图所示：

【分析确认】通过FlowEye提供的该服务器的行为画像，发现该服务器存在大量与美国某IP的http会话，而且很频繁。再通过查看事件内容，发现这些http会话是经由国外某网站（http://lanandwan.com）到google的广告链接，如下图所示：

结合原始会话验证如下：

随后通过统计信息发现，该服务器发起的大量http会话全部是类似内容，具体参数会有所变化。用户随机抽取了几个会话，发现访问内容都是针对中国用户的广告，如英语学习、投资理财等等，如下图所示：

综合以上现象可以断定，这些行为属于异常行为，怀疑该服务器已被种植某种木马，该木马的功能是自动访问网站（http://lanandwan.com）并点击广告链接，属于典型的点击欺诈，需要立即对该服务器进行安全加固。

后经启明星辰安全服务人员对该服务器进行安全加固之后，网络流量恢复正常，该服务器行为恢复正常。

【结束语】上述案例表明，攻击者在成功侵入用户网络后，在对用户网络造成重大破坏之前，及时发现异常是可能的，如果选择合适的工具甚至是很容易的。特别是，我们发现许多威胁，如木马、后门、蠕虫等大多数都会在某个阶段产生外联行为，通过FlowEye的互联行为监控，结合用户的业务知识（如业务访问规则、资产合法性）能够及时有效发现威胁的蛛丝马迹，并且利用FlowEye灵活的行为分析、流量统计分析、原始包捕获、图形化展示等能力，可以快速确认问题，及时发现网络入侵，最终防止造成重大损失的安全事故发生。