全面战争时代 ——大数据分析 演讲者 周涛
周 涛 博士后。 启明星辰核心研究院资深研究员。 周 涛 博士后。 启明星辰核心研究院资深研究员。 研究方向包括威胁检测、web安全、大数据处理技术等。曾承担过多项国家及省部级课题、产品新技术的研发工作。 目前已在国内外期刊发表论文多篇,申报发明专利15项。
典型APT攻击步骤 APT攻击的过程大概可以分为六个步骤: 1)包括情报的收集,也叫侦查,就是黑客有针对性的搜集某个组织网络和系统情况,以及员工联系信息情况,比如email地址。信息搜集的方法也很多,由于APT攻击一般是从组织的员工入手,因此,它非常注意搜集组织员工的信息,他们可以查看员工的微博、博客,了解它的社会关系以及爱好,然后通过社会工程方法来攻击该员工,从而进入组织网络。 2)攻击组织员工的个人电脑,采取的方法包括:1)社会工程学方法,比如,通过email发送恶意代码附件;2)远程漏洞攻击方法,比如在员工经常访问的网站上放置网页木马,最终的结果是,这些恶意代码或网页木马会在员工个人电脑上执行,从而感染了恶意代码,控制员工的电脑。 3)命令和控制通道,被控制的员工电脑需要通过各种渠道和黑客控制者取得联系,以获得进一步的攻击指令。这点也是和僵尸网络的组织方式是一样的。这个命令控制通道目前多采用HTTP协议,以便于突破组织的防火墙网络,比较高级的恶意代码则采取HTTPS协议来传输数据。 4)横向移动,就是说,攻击者首先攻陷的员工个人电脑并不是攻击者感兴趣的,它感兴趣的是组织中包含重要资产的服务器,因此,它将在攻击者的指令下进行横向移动,以攻陷更多的PC和服务器。采用的方法包括窃听获取口令、或者通过漏洞攻击获得权限。 5)则是收集重要服务器上的数据资产,并打包,加密。 6)APT攻击最后一步,就是将打包好的数据通过某个数据泄密通道传输到外面。
传统检测技术面临的挑战 APT 攻击行为特征难以提取 单点隐蔽能力强 攻击渠道多样化 攻击持续时间长
传统检测和防御技术的软肋 无法进行边界防御 缺乏长时间关联 难以识别异常行为模式 难以进行特征匹配
APT检测防御思路分类 主机应用 保护思路 恶意代码 检测思路 网络入侵 检测思路 大数据 分析思路 数据防泄密 思路
当前典型的微观检测步骤模式 设备类安全检测产品 工具类安全检测产品 采集 模式分析 综合关联 SOC等安全管理平台
探寻检测的真谛
APT检测新思路 扩大 浓缩 精确 场景 基于记忆的检测方法群 扩大:覆盖APT攻击的各个阶段,多点布控。客户端:桌面管理等;网络链路通道:UTM/IDS/IPS/WAF;主机:DLP 浓缩:采用大数据分析技术和智能分析算法来进行检测范围的收敛 精确:采用沙箱技术,完成对可以检测对象行为的监控和识别(静态和动态行为) 场景:根据安全事件查询到相关的网络流量,对网络流量进行重组,得到有意义的应用层会话,重放并还原应用场景
基于记忆的检测框架 展示层 分析层 存储层 攻击场景关联 多维数据可视化 异常检测 可疑识别 应用还原 统计分析 会话还原 元数据提取 应用识别 存储管理
攻击场景关联 关键技术 应用识别还原 可疑行为识别 大数据处理 异常流量分析 大数据处理:数据存储(原始的网络数据包、业务和安全日志) 异常流量检测:元数据提取技术、基于连接特征的恶意代码检测规则、基于行为模式的异常检测算法 可疑行为识别:沙箱检测技术 应用识别还原:基于大数据的应用数据回放
大数据处理 目的:构建海量数据高效分析平台 方法:采用最新的大数据处理技术 小型网络:单机模式 大中型网络:集群模式 采用RDBMS+NOSQL解决方案 大中型网络:集群模式 采用基于Hadoop的分布式计算框架
异常流量分析 目的:识别能引起统计异常的未知攻击 方法:安全态势指标体系 基础指标 衍生指标 应用指标 从流量数据中直接统计的参数 对基础指标 统计或运算的参数 应用指标
可疑行为识别 目的:识别不引起流量异常的未知攻击 方法:可疑行为建模 未知木马检测 可疑加密传输 可疑间歇性链接 恶意域名访问 上下行流量比分析
应用场景设想 检测 攻击图(示意) 攻击过程包含路径和时序 攻击过程的大部分是貌似正常操作的 不是所有的异常操作都能立即被检测 不能保证被检测到的异常在APT过程的开始或早期 … 基于记忆的检测可以有效缓解上述问题
应用场景举例 1.攻击者利用 0 day漏洞进行攻击 4. 全流量分析发现可疑加密传输行为 服务器 Hacker 实时IDS 流存储 攻击特征,未能检测 3.全流量存储设备进行了存储 4. 全流量分析发现可疑加密传输行为 服务器 Hacker 实时IDS 流存储 5.分析人员对相关历史流量进行 应用识别和还原,确定可疑行为
应用情况 某流氓软件流量分析
APT全生命周期检测 信息外传 资产发现 横向转移 远程控制 获取入口 情报收集 数据防泄密方案 基于记忆的检测方案 恶意代码检测方案 传统检测方案
总结 对抗APT:以时间对抗时间 对长时间、全流量数据进行深度分析 综合多种新检测技术,弥补特征匹配的不足 实现由实时检测向异步检测的转换 需要利用大数据分析的关键技术