看得见的安全才放心

原创
2017/04/28 11:04
阅读数 54

随着信息化的快速发展,由互联网、通信网、计算机系统、自动化控制系统、数字设备、服务和数据等组成的网络空间,正在革命性地颠覆着延续几千年的生活方式及社会认知。现如今,网络已成功带动八新(信息传播的新渠道、生产生活的新空间、经济发展的新引擎、文化繁荣的新载体、社会治理的新平台、交流合作的新纽带、国家主权的新疆域)。但是,网络也是一把双刃剑,一面为社会带来便利,促进了生产力的发展,另一面也对国家政治、经济、文化、社会、国防安全及公民的合法权益带来严峻的风险与挑战。

不法分子利用网络进行窃取、泄露国家秘密等危害国家安全的活动;

谣言、淫秽、暴力、迷信、邪教等违法有害信息在网络空间传播蔓延;

网络诈骗、网络盗窃、贩枪贩毒、侵害公民个人信息、传播淫秽色情、黑客攻击、侵犯知识产权等违法犯罪行为,屡见不鲜。

网络病毒、 Dos/DDos 攻击等威胁也越来越常见

......

而网络安全带来的安全挑战,已经引起政府及社会各方面的高度重视。

自十八大以来,以习近平为总书记的新一届党中央高度重视网络安全的发展,习近平总书记在重大会议以及演讲中多次提及网络安全问题。

2014年2月27日,习近平主持召开中央网络安全和信息化领导小组第一次会议强调:没有网络安全就没有国家安全,没有信息化就没有现代化。

2015年9月23日,习近平会见参加第八届中美互联网论坛的双方代表时指出:当今时代,社会信息化迅速发展,一个安全、稳定、繁荣的网络空间,对一国乃至世界和平与发展越来越具有重大意义。

2016年4月19日,习近平主持召开网络安全和信息化工作座谈会并发表重要讲话时强调:加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力。

......

维护网络空间的安全已越来越重要,只有大力提高网络空间防护力量,才能及时发现和抵御网络入侵,铸造维护国家网络安全的坚强后盾。

几种常见的网络攻击方法

黑客的攻击方法很多,以下是比较常见的几种。

第一,(非法)外联事件

外联事件就像海关检查违禁品,但有些不同,海关是依据特征把违禁品拦截下来,而(非法)外联事件是根据个人行为习惯(比如,以往是先迈左脚还是先迈右脚,在接受检查时有没有抖腿的习惯,喜欢穿浅色还是深色的衣服,拿文件时用双手还是单手,走路时步长多少),来判断是否异常的一种安全分析方法。当然,个别异常并不会引起异常告警,只有在别人仿冒您的身份,或者被要挟,情绪和行为非常紧张,而导致大量平常都没出现的很大细节变化时才会告警。

当然,习惯是会改变的,在生活中,发现一些小细节的改变,外联事件分析模型也会记录您的改变,写到习惯库。如果现在的行为习惯与习惯库中的记录相去甚去,则可以判断出已受到黑客攻击。

第二,暴力破解

暴力破解,是一种通过不断登陆尝试而获取正确的用户账号和密码的攻击方法。攻击者系统地组合所有可能破解用户的账户名、密码的信息后,利用单机或控制的僵尸网络进行大量的登陆尝试,最终获得可以成功登陆的账号和密码。读完暴力破解的概念,您是不是觉得暴力破解就是一种体力活,拿一堆穷尽的用户名和密码去不断的尝试,直到找到可以成功登陆的帐号和密码为止,好像跟黑客用的高科技攻击手段相去甚远。其实,通过分析一些监测点的数据,我们发现暴力破解依然是网络中主要的攻击手段之一。

那么,暴力破解有什么危害,值得我们去研究呢?

这是因为一旦密码被破解,攻击者就拥有了相应的账号权限,就能进行提权、盗取信息或其他破坏性操作,如果是拥有更大权限的管理员帐号(比如,root),那产生的危害就更大。

目前,对暴力破解防护的研究较多,但通过海量级数据来进行防护分析的研究项目比较少见。

第三,webshell

webshell是什么?

它是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称作为一种网页后门。黑客在入侵一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。

出于网站安全防护目的,网络安全分析专家们总是极力根据一些线索找到webshell,从而采取措施。但是,有防就有攻,黑客也会想尽一切办法去隐藏他的webshell,让安全专家找不到。黑客常用的隐藏方法跟检测方法相对应。比如,通过特征匹配的方式去发现webshell,黑客一般通过字符异或、回避、拆分、编码等方式绕过检测。

看得见的安全分析流程及可视化

目前的网络空间安全监测技术,只有在出现了安全事件后才能检测出发生了什么。空有海量的威胁情报数据、全网络流量、安全设备事件、各类日志信息,但没有完全发掘出来,造成一没预测,二晚报的情况比较突出。

另外,光有强大的安全分析技术,如果不能以用户可理解的形式展示,那作用也是有限的。这就要求网络安全态势感知系统,要从整体上把握方向和细节,理解客户的需求和着重点,分析各项重点数据及其关联,从而能呈现出展示总体状态和发展趋势的数据。

基于以上考虑,我们以常见的外联事件场景分析、暴力破解场景分析、WebShell场景分析为例,向您展示什么是“看得见的安全才放心”!

一、外联事件场景分析

1、分析流程

外联事件通过传统的安全设备、威胁情报等信息来源,进行比对碰撞,碰撞出的结果进行行为分析,对剩余未比对中的信息进行聚类分析,产出结果进行人工智能研判后,输出最终结果。

2、实时数据量

通过心电图方式实时统计安全设备的数据情况。

3、群体分析

通过机器学习方法,对资产外联到情报数据的群体进行聚类分析。

4、结果输出

通过人工智能研判方法对外联情况进行分析和确认。

5、情报的类型和所属地分布

通过柱状图和散点图实时的展示现网中情报数据的信息,包括类型和来源地。

6、群体分析

通过机器学习算法,对已经确认为外联事件的资产和需要进一步确认的资产进行聚类分析,从而对待进行确认的外联事件进行进一步的确认。

7、外联信息统计

通过三层套图方式展现外联的详细信息,包括外联的资产IP,外联的目的IP,以及端口等情况。

二、暴力破解场景分析

1、分析流程

暴力破解分析模型通过两种类型的数据发现暴力破解,第一类是传统安全设备(如IDS、防火墙、IPS等),第二类是服务日志。服务日志是传统安全日志的一个补充,因为传统安全设备难免受到性能,解析能力的影响,存在漏报的可能,而服务日志则不存在这种问题。

通过这两类日志得到暴力破解事件后,结合服务日志中登录成功的信息,判断暴力破解是否成功。

对于尚未破解成功的暴力破解事件,再结合弱口令设备列表、设备安全配置信息、已尝试次数,对该暴力的威胁程度进行一个评估。

2、攻击IP地域分布

显示当前正在进行的暴力破解攻击来源地域分布。左下角的小图是暴力破解服务对象的分布情况。

3、破解失败IP排名

显示资产受到的暴力破解来源组成状况。

4、破解成功关联IP关系

这部分跟踪破解成功后,剔除以往正常登录的来源后,哪些IP使用已泄露的用户名、密码进行登录,从而收集有关联的组织信息,用于其他分析模型的数据输入。

三、WEBSHELL场景分析模型

1、分析流程

webshell分析模型通过 web服务访问日志,传统安全设备日志,网站结构扫描三种日志来源进行分析。

传统安全设备日志可以发现部分webshell的访问,但是这些访问几乎所有都是网络上的webshell扫描导致的,webshell本身并不存在,web服务访问日志记录了所有访问请求和相应的返回码,通过和网站服务的访问日志返回码匹配,确认哪些webshell访问是成功的。

通过多种来源获取确实存在的webshell,对这些webshell的多个访问维度进行学习建模。

2、网站结构扫描

 知己知彼,百战不殆,传统安全防护设备对自身防护的对象基本没有了解,而网站结构扫描可以让系统对防护对象有一定的了解,在webshell分析模块中,通过网站结构扫描的数据进行结构分析,再与web访问日志中url的对比,分析web访问日志中存在的孤链。

3、URL结果

提取web访问日志中各个url的访问维度,与webshell模型进行对比,预测这些url与webshell的相似度。

4、webshell探测趋势

通过心电图实时展现网络中进行webshell探测的趋势。

展开阅读全文
打赏
0
0 收藏
分享
加载中
更多评论
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部