攻击者画像构建：基于日志分析与威胁情报的追踪溯源技术

摘要：## 攻击者画像构建：别以为日志只是数字，那是黑客留下的“犯罪侧写” 上个月，一个做电商的朋友半夜给我打电话，声音都劈了：“服务器CPU直接飙到100%，订单页面全瘫了，后台全是看不懂的日志，像瀑布一样刷屏！” 他第一反应是加机器、重启。忙活两小时，勉…

攻击者画像构建：别以为日志只是数字，那是黑客留下的“犯罪侧写”

上个月，一个做电商的朋友半夜给我打电话，声音都劈了：“服务器CPU直接飙到100%，订单页面全瘫了，后台全是看不懂的日志，像瀑布一样刷屏！”

他第一反应是加机器、重启。忙活两小时，勉强恢复，但第二天同一时间，袭击准时又来。他彻底懵了，问我：“这到底是谁干的？同行？还是惹了哪个黑客？”

我让他把日志和近期的异常访问记录发我看看。翻了一个多小时，我在一堆杂乱的IP和请求里，发现了一些“怪癖”：攻击流量总在凌晨1点后启动，优先试探几个特定的、冷门的API接口，而且每次试探失败后，会有一个固定间隔的“停顿”，像在观察反应。

我告诉他：“不像自动化工具无脑乱打。这人可能是个夜猫子，懂点技术但不多，对你们业务结构有点了解，但了解得又不深——像是离职不久的员工，或者某个盯上你们很久的‘散户’。”

后来他们顺着这个“感觉”，结合威胁情报里的关联信息，果然定位到一个半年前离职的运维。对方承认，就是想“给老东家找点不痛快”。

你看，这就是攻击者画像构建的魅力。它干的不是“抓现行”，而是“画素描”。通过分析日志、流量这些“现场痕迹”，结合外部的威胁情报，把躲在IP地址后面的那个“人”或“团伙”的行为习惯、技术偏好、甚至意图，给勾勒出来。

这活儿，比单纯封IP有意义多了。

一、日志不是“废纸”，是黑客的“行为日记”

很多公司对待日志的态度，跟对待财务部的旧报表差不多——存着是因为规定，真要看的时候头大，干脆不看。等出了事，日志就是一堆天书。

大实话： 90%的安全事件，答案早就写在日志里了，只是没人愿意去“读”。

日志里有什么宝贝？

• 时间规律： 总是固定时间攻击？那可能攻击者有时差，或者只在某个时间段有空（比如下班后）。像我开头说的案例，夜猫子属性就很明显。
• 攻击路径： 他总在试探哪个入口？是登录页、忘记密码接口，还是某个查询API？这暴露了他的攻击目标优先级。专打支付接口的，和专爬商品信息的，肯定是两拨人。
• 工具指纹： 用的扫描器是AWVS、Nessus，还是自己写的Python脚本？请求头里的User-Agent、报错信息里带的特定字符串，都是工具的“身份证”。用现成工具的小白，和能修改工具特征的中手，威胁等级完全不同。
• 失误与“怪癖”： 有没有哪个请求明显“手滑”了？比如，误访问了一个不存在的管理页面，暴露了他对后台结构的猜测；或者，在大量攻击请求中，夹杂了一两个来自他个人代理IP的“测试请求”。这种“失误”，是画龙点睛的侧写素材。

说白了，看日志不能光看“出了什么事”，要像侦探看监控一样，琢磨“这人为什么这么干”、“他习惯怎么干”。

二、威胁情报不是“新闻推送”，是江湖的“通缉令”

如果说日志是内部监控，那威胁情报就是外部线报。但很多人买来威胁情报，就当个IP黑名单用，更新一下防火墙规则，完了。

——这相当于拿到一份详细的犯罪团伙档案，却只用了他们的车牌号。

真正的威胁情报，至少得回答三个问题：

1. 这伙人是谁？（归属） 是某个知名黑客组织（比如搞勒索的Conti），还是某个活跃的僵尸网络（如Mirai），或者是某个地域性的攻击团伙？知道是谁，你就能预测他的大致动机（为钱、为数据、为破坏）。
2. 他们最近在忙啥？（活动） 情报里会共享他们的最新攻击手法（TTPs）、常用漏洞（CVEs）、甚至钓鱼邮件模板。如果你在日志里发现相似手法，关联度就大大提高了。比如，情报说某个团伙最近专攻某款OA系统的漏洞，而你公司正好在用，那你就得把警报级别调高。
3. 他们的基础设施在哪？（基础设施） 他们常用的C2（命令与控制）服务器IP、域名、注册的邮箱是什么？这些信息，能帮你从海量攻击IP中，筛选出“高相关”的那一批，而不是眉毛胡子一把抓。

举个例子：你发现一批攻击IP，在日志里看着就是普通代理。但一丢到威胁情报平台里，发现其中好几个IP，在过去一周内，同时出现在其他三家金融公司被攻击的报告中，而且攻击手法雷同。这下，性质就变了——你不是被“随机扫描”扫到了，你是被一个有明确金融行业指向的团伙盯上了。

三、怎么把这两样“拼”起来？——画像构建的实战三步

别想得太复杂，其实就三步，但每一步都需要点“人”的直觉。

第一步：从“异常”里找“个性” 别一上来就搞大数据分析。先聚焦在最明显的异常事件上。比如那次导致宕机的CC攻击。把攻击时间段的日志单独拎出来，别只看成功的攻击，更要看那些“失败尝试”和“边缘请求”。

• 他尝试的路径顺序是什么？有没有一种“学习曲线”？
• 遇到WAF拦截后，他是换姿势继续怼，还是果断放弃换目标？
• 攻击流量里，是否混有少量看起来“正常”的爬虫或探测请求？（这可能是他在测试绕过规则）

这些细节，构成了攻击者的初始行为素描。

第二步：拿“素描”去“江湖”上对答案 把你总结出的几个关键特征（比如：攻击时间、特定漏洞利用方式、某个可疑的User-Agent），放到威胁情报库、开源社区（如Github、安全论坛）、甚至同行交流群里去问、去搜。

• 有没有其他机构报告过类似特征的攻击？
• 这些特征是否关联到某个已知的恶意软件家族或攻击平台？
• 那个可疑的IP或域名，历史信誉如何？

这一步，是把你的内部发现，放到更大的背景板上去验证和丰富。可能给你一个确切的组织名称，也可能只是告诉你：“嗯，这风格很像最近活跃的‘XX帮’。”

第三步：拼出“人物小传”，指导行动 最后，把内外信息融合，给这个攻击者写一段“人物小传”：

“嫌疑人A”画像

• 活跃时间： 北京时间凌晨1点至5点（可能位于西半球，或作息特殊的个体）。
• 技术能力： 中等。熟练使用公开渗透工具（如Xray），但自定义恶意载荷能力一般，遇到定制化WAF规则容易受阻。
• 攻击偏好： 倾向于针对“用户登录”和“订单查询”API进行撞库和参数爆破。对业务逻辑有一定了解。
• 潜在动机： 窃取用户账户进行欺诈交易或倒卖数据，而非直接勒索破坏。
• 关联情报： 所用部分代理IP，与近期针对东南亚电商平台的攻击活动存在重叠。

有了这个“小传”，你的防护策略就活了：

• 防守策略： 在攻击活跃时段，自动提升相关API的防护等级；针对他偏好的攻击路径，设置更精细的速率限制和语义分析规则。
• 溯源策略： 可以尝试部署针对他工具特征的诱饵（蜜罐），获取更多样本；将他使用的所有基础设施（IP、域名）标记，用于未来预警。
• 业务决策： 通知业务侧（如风控、客服），在相应时间段注意异常订单和用户投诉。

四、几个让你少走弯路的“坑”点

1. 别追求100%的确定。画像不是警方通缉令，不需要精确到身份证号。它是一个不断修正的假设。今天你觉得他是“散户”，明天新情报来了，可能发现他是某个大组织的“外包”。这很正常，动态更新就好。
2. 日志质量是关键。你喂给分析系统的如果是残缺不全、格式混乱的日志，那输出的只能是垃圾。确保关键应用、网络设备、安全设备的日志都收集全了，且时间戳是同步的。这件事很基础，但很多公司就没做好。
3. 别迷信自动化。市面上有UEBA（用户实体行为分析）产品，能帮你做基线分析和异常检测，非常好用。但最终的“拼图”和“解读”，尤其是结合业务逻辑的解读，目前还得靠人。安全分析师的经验和直觉，暂时无法被完全替代。
4. 小公司也能做。你没钱买高级威胁情报？没关系。充分利用免费的社区情报（如AlienVault OTX）、开源情报（OSINT）工具。重点是把内部日志分析做扎实。哪怕你只是清晰地总结出“最近总在周二下午，有个固定IP用慢速扫描试探我们后台”，这也是一个极有价值的、属于你自己的攻击者画像起点。

说到底，攻击者画像构建，是把安全防护从“被动挨打”转向“主动预判”的关键一步。它让你面对的，不再是冰冷的流量数字，而是一个个有习惯、有弱点、有意图的“对手”。

当你下次再看安全日志时，不妨换个角度：别只想着怎么把这次攻击挡出去，多想想“这家伙，到底是个什么样的人？”

答案，可能就藏在那些你忽略的细节里。