全面战争时代 ——大数据分析 演讲者 周涛.

Slides:



Advertisements
Similar presentations
复旦大学公共绩效与信息化研究中心 电话: ; http : // 主讲:牛军钰 复旦大学公共绩效与信息化 研究中心.
Advertisements

西南政法大学图书馆 江波 重庆. 传统图书馆自动化图书馆复合图书馆数字图书馆  图书馆为图书流通服务所制定的相关规则,包 括图书流通类型、读者类型、读者可借阅图书 数量、可借阅时间、可续借时间、可续借次数、 可预约数量等。
我国国有银行 资本构成及资本充足率变化 小组成员:金融 尹佳裕 王淼 刘钰 金融 吴昱.
教務處註冊組 /7 (二) 10 : 00 至 15 : 00 止 ★ 6/8 彙整報名資料後, 6/9 向高中承 辦學校報名 ★ 因校內作業時間緊迫,逾時恕不 受理。 校內報名時間.
一、老师申请题目,以下指导老 师操作。 1. 登录教务系统 web 端. 2. 点击 “ 毕业设计 ” 工具栏下拉菜单中的 “ 论文 _ 教师申请题目 ”
台南學習指導中心開學典禮. 吳碧娥 分機 重點期間每年 6 月及 11 月招生宣傳工作。 2. 報名網址 3. 空大分六大學系:人文、社科、商學、公行、生科、管資等六學系 〈各系再分若干學類,共計 40 多學類〉 4. 附設空中專科進修學校.
1 琉球鄉救護船暨護理之家 業務報告 報告者:醫政科張秀君科長. 屏東縣簡介 2 地形南北狹長,背山臨海,海 岸線長達 146 公里,全縣總面積 為 平方公里 33 個鄉鎮市(含 8 個山地鄉、 1 個離島鄉)。 102 年 6 月底全縣人口 867,113 人, 男性佔 52% ,女性佔.
三水区安监局 企业安全用电 2013年4月.
资源平台应用培训 武汉市交通学校信息化建设指导委员会.
童詩教學 爬格子工作坊 互動過程 童詩教學法 教學教案 相關資源 心得 林士翔
企业价值收益法评估 ----财务报表调整 主讲人:阮咏华 1.
软件学院11级实习前培训-论文和学位申请 任皖英 Tel: (办)
中文科 (六年級).
“营改增”税控开票软件(金税盘版)技术培训 2016年4月
广西师范大学教科院马佳宏 电 话 0773- (O) 高校教师资格认定考试的若干事项 广西师范大学教科院马佳宏 电 话 0773- (O)
104年度國立宜蘭大學新進主管研討 主計業務宣導說明
102年實施之高中職及五專多元入學(含免試入學)之招生機制
读者与图书馆 2009年春季版 总第 15 期 山 东 交 通 学 院 图 书 馆 2009年3月.
姻緣天注定 定婚店 李復言.
台 灣 頭 痛 學 會 全台有一百五十萬人為偏頭痛所苦,您是其中之一嗎? 簡介 為何會有偏頭痛? 偏頭痛自我檢測 宗旨與任務 頭痛網站
审计案例研究 第一讲 辅导教师 周桂芝.
二十世纪外国文学专题 章丘电大 李颜.
职 业 礼 仪 讲师:刘巍女士.
农业银行网上签约流程 宁夏金溢投资 内部资料 1.
廉政會報專題報告 農地重劃工程 施工常見缺失 報告:吳東霖 製作:張昌鈴 日期:103年12月23日.
專案製作經驗談.
心在哪裡 夢在哪裡.
李建民 教授 北京百川健康科学研究院 脊柱健康技术研究中心
2012级暑期放假安全教育 及宿舍搬迁工作布置会 北京化工大学理学院 辅导员:曹鼎 2013年6月6日.
從民主與經濟的發展談國家 認同的規範性與工具性變化
汇报大纲 一、报送系统总体介绍 二、自查及检查评分报送流程 三、自查及检查方法及关键点 四、建议及注意事项.
≠ 週休二日為何不是兩例假,要一例一休? 勞工 公務人員 例 假 例 假 但
峰信 电话管理系统 产品介绍 上海艾家电子商务有限公司 2011年7月.
2016年广州市中小学生科普知识竞赛 咨询与信息发布会.
我喜爱的一本书 魔法小仙子之梦境批发站 作者:晓玲叮当 一个色彩斑斓的仙境 一群精灵古怪的仙子 一次奇妙的心灵历险 一生受用美的熏陶
第八章 网络课程的设计与开发.
三大自然区的内部差异 地理 全日制普通高级中学教科书(选修) 第二册 人民教育出版社地理社会室 编著 人民教育出版社 关于.
2013年度企业财务会计决算 布置培训会.
102學年度 彰化縣國中新生編班作業 說明會 聯絡電話: #221(註冊組長) #223(資訊組長)
金門縣重大空難應變機制-消防局 壹、消防搶救、滅火、緊急救護 一、派遣作為:
录入准备: 地址: 密码:
海信FW3010PF防火墙介绍 北京海信数码科技有限公司
2015年云南财经大学图书馆 新生入馆教育考核试题 答题指南
發展東華特色課程 期末成果發表 呂進瑞 國立東華大學財金系.
互联网时代班主任的挑战 万玮 2014年9月20日.
報告人:古博文 彰師大運動健康研究所副教授 人權教育基金會執行長 100年8月
一、登录界面 (一)登录方式 1、访问广东工程咨询网 ( 动态里,“咨询师登记工作”专栏 2、 IE地址栏中直接键入管理系统 地址(
快樂志工向前行 -晨光補救教學辛苦談- 臺北市中山區 懷生國小輔導室.
金税三期网上电子申报系统 2016年5月.
授課大綱 第一章 緒 論 第一節 應用文的意義 第二節 應用文的種類 第二章 書 信 第一節 書信的種類 第二節 書信的結構 第三章 便 條
通过外网访问邮件系统的说明 信息中心.
鄉村尋根-農具篇.
考试题型 填空题(30) 选择题(20) 名词解释(10) 问答题(24) 计算题(16) 附加题(30) 成绩核算:
南瑞学堂 学员简明操作指南 上海时代光华教育发展有限公司 2013年.
生源地信用助学贷款系统 操作培训课件 福建省农村信用社联合社 张健明 2014年6月30日 共1-78页.
致 理 科 技 大 學 「106年大專校院弱勢學生助學計畫」 說 明 會 中 華 民 國 106 年 9 月 13日.
使用服务平台办理离校 操作指南.
新生與傳承 不同世代諮商心理師的交會 臺北市諮商心理師公會 107年度公會主辦研習課程.
如何检索统计申请与在研项目(科研人员) “科研之友”技术支持小组
学年第一学期领取教材明细查询的通知 学年第一学期学生使用的教材均在网上平台公示。现将有关事项通知如下:
新竹縣108學年度第1次國小以上 特殊教育鑑定安置說明會
進修學院與我.
“修身成材” 班级干部培训班 黑龙江大学党委学工部.
黑龙江省科学基金 项目验收填报培训 黑龙江省计算中心 2015年09月.
慈惠醫護管理專科學校圖書館 館際合作使用方法.
啟 基 學 校 年度校本課程 中華經典學習 目的:1. 提升品德學養,發展美善心靈,為世界大同作貢獻; 2
“上海市教师教育课程资源共享管理平台” 学分银行操作指南
公文辦理注意事項.
一般醫學訓練選配系統 系統操作說明(教學醫院)
制作:马克思主义学院 17级 政治学与行政学专业 王晓丽
Presentation transcript:

全面战争时代 ——大数据分析 演讲者 周涛

周 涛 博士后。 启明星辰核心研究院资深研究员。 周 涛 博士后。 启明星辰核心研究院资深研究员。 研究方向包括威胁检测、web安全、大数据处理技术等。曾承担过多项国家及省部级课题、产品新技术的研发工作。 目前已在国内外期刊发表论文多篇,申报发明专利15项。

典型APT攻击步骤 APT攻击的过程大概可以分为六个步骤: 1)包括情报的收集,也叫侦查,就是黑客有针对性的搜集某个组织网络和系统情况,以及员工联系信息情况,比如email地址。信息搜集的方法也很多,由于APT攻击一般是从组织的员工入手,因此,它非常注意搜集组织员工的信息,他们可以查看员工的微博、博客,了解它的社会关系以及爱好,然后通过社会工程方法来攻击该员工,从而进入组织网络。 2)攻击组织员工的个人电脑,采取的方法包括:1)社会工程学方法,比如,通过email发送恶意代码附件;2)远程漏洞攻击方法,比如在员工经常访问的网站上放置网页木马,最终的结果是,这些恶意代码或网页木马会在员工个人电脑上执行,从而感染了恶意代码,控制员工的电脑。 3)命令和控制通道,被控制的员工电脑需要通过各种渠道和黑客控制者取得联系,以获得进一步的攻击指令。这点也是和僵尸网络的组织方式是一样的。这个命令控制通道目前多采用HTTP协议,以便于突破组织的防火墙网络,比较高级的恶意代码则采取HTTPS协议来传输数据。 4)横向移动,就是说,攻击者首先攻陷的员工个人电脑并不是攻击者感兴趣的,它感兴趣的是组织中包含重要资产的服务器,因此,它将在攻击者的指令下进行横向移动,以攻陷更多的PC和服务器。采用的方法包括窃听获取口令、或者通过漏洞攻击获得权限。 5)则是收集重要服务器上的数据资产,并打包,加密。 6)APT攻击最后一步,就是将打包好的数据通过某个数据泄密通道传输到外面。

传统检测技术面临的挑战 APT 攻击行为特征难以提取 单点隐蔽能力强 攻击渠道多样化 攻击持续时间长

传统检测和防御技术的软肋 无法进行边界防御 缺乏长时间关联 难以识别异常行为模式 难以进行特征匹配

APT检测防御思路分类 主机应用 保护思路 恶意代码 检测思路 网络入侵 检测思路 大数据 分析思路 数据防泄密 思路

当前典型的微观检测步骤模式 设备类安全检测产品 工具类安全检测产品 采集 模式分析 综合关联 SOC等安全管理平台

探寻检测的真谛

APT检测新思路 扩大 浓缩 精确 场景 基于记忆的检测方法群 扩大:覆盖APT攻击的各个阶段,多点布控。客户端:桌面管理等;网络链路通道:UTM/IDS/IPS/WAF;主机:DLP 浓缩:采用大数据分析技术和智能分析算法来进行检测范围的收敛 精确:采用沙箱技术,完成对可以检测对象行为的监控和识别(静态和动态行为) 场景:根据安全事件查询到相关的网络流量,对网络流量进行重组,得到有意义的应用层会话,重放并还原应用场景

基于记忆的检测框架 展示层 分析层 存储层 攻击场景关联 多维数据可视化 异常检测 可疑识别 应用还原 统计分析 会话还原 元数据提取 应用识别 存储管理

攻击场景关联 关键技术 应用识别还原 可疑行为识别 大数据处理 异常流量分析 大数据处理:数据存储(原始的网络数据包、业务和安全日志) 异常流量检测:元数据提取技术、基于连接特征的恶意代码检测规则、基于行为模式的异常检测算法 可疑行为识别:沙箱检测技术 应用识别还原:基于大数据的应用数据回放

大数据处理 目的:构建海量数据高效分析平台 方法:采用最新的大数据处理技术 小型网络:单机模式 大中型网络:集群模式 采用RDBMS+NOSQL解决方案 大中型网络:集群模式 采用基于Hadoop的分布式计算框架

异常流量分析 目的:识别能引起统计异常的未知攻击 方法:安全态势指标体系 基础指标 衍生指标 应用指标 从流量数据中直接统计的参数 对基础指标 统计或运算的参数 应用指标

可疑行为识别 目的:识别不引起流量异常的未知攻击 方法:可疑行为建模 未知木马检测 可疑加密传输 可疑间歇性链接 恶意域名访问 上下行流量比分析

应用场景设想 检测 攻击图(示意) 攻击过程包含路径和时序 攻击过程的大部分是貌似正常操作的 不是所有的异常操作都能立即被检测 不能保证被检测到的异常在APT过程的开始或早期 … 基于记忆的检测可以有效缓解上述问题

应用场景举例 1.攻击者利用 0 day漏洞进行攻击 4. 全流量分析发现可疑加密传输行为 服务器 Hacker 实时IDS 流存储 攻击特征,未能检测 3.全流量存储设备进行了存储 4. 全流量分析发现可疑加密传输行为 服务器 Hacker 实时IDS 流存储 5.分析人员对相关历史流量进行 应用识别和还原,确定可疑行为

应用情况 某流氓软件流量分析

APT全生命周期检测 信息外传 资产发现 横向转移 远程控制 获取入口 情报收集 数据防泄密方案 基于记忆的检测方案 恶意代码检测方案 传统检测方案

总结 对抗APT:以时间对抗时间 对长时间、全流量数据进行深度分析 综合多种新检测技术,弥补特征匹配的不足 实现由实时检测向异步检测的转换 需要利用大数据分析的关键技术