文档章节

看得见的安全才放心

openfea
 openfea
发布于 2017/04/28 11:04
字数 2898
阅读 17
收藏 0

随着信息化的快速发展,由互联网、通信网、计算机系统、自动化控制系统、数字设备、服务和数据等组成的网络空间,正在革命性地颠覆着延续几千年的生活方式及社会认知。现如今,网络已成功带动八新(信息传播的新渠道、生产生活的新空间、经济发展的新引擎、文化繁荣的新载体、社会治理的新平台、交流合作的新纽带、国家主权的新疆域)。但是,网络也是一把双刃剑,一面为社会带来便利,促进了生产力的发展,另一面也对国家政治、经济、文化、社会、国防安全及公民的合法权益带来严峻的风险与挑战。

不法分子利用网络进行窃取、泄露国家秘密等危害国家安全的活动;

谣言、淫秽、暴力、迷信、邪教等违法有害信息在网络空间传播蔓延;

网络诈骗、网络盗窃、贩枪贩毒、侵害公民个人信息、传播淫秽色情、黑客攻击、侵犯知识产权等违法犯罪行为,屡见不鲜。

网络病毒、 Dos/DDos 攻击等威胁也越来越常见

......

而网络安全带来的安全挑战,已经引起政府及社会各方面的高度重视。

自十八大以来,以习近平为总书记的新一届党中央高度重视网络安全的发展,习近平总书记在重大会议以及演讲中多次提及网络安全问题。

2014年2月27日,习近平主持召开中央网络安全和信息化领导小组第一次会议强调:没有网络安全就没有国家安全,没有信息化就没有现代化。

2015年9月23日,习近平会见参加第八届中美互联网论坛的双方代表时指出:当今时代,社会信息化迅速发展,一个安全、稳定、繁荣的网络空间,对一国乃至世界和平与发展越来越具有重大意义。

2016年4月19日,习近平主持召开网络安全和信息化工作座谈会并发表重要讲话时强调:加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力。

......

维护网络空间的安全已越来越重要,只有大力提高网络空间防护力量,才能及时发现和抵御网络入侵,铸造维护国家网络安全的坚强后盾。

几种常见的网络攻击方法

黑客的攻击方法很多,以下是比较常见的几种。

第一,(非法)外联事件

外联事件就像海关检查违禁品,但有些不同,海关是依据特征把违禁品拦截下来,而(非法)外联事件是根据个人行为习惯(比如,以往是先迈左脚还是先迈右脚,在接受检查时有没有抖腿的习惯,喜欢穿浅色还是深色的衣服,拿文件时用双手还是单手,走路时步长多少),来判断是否异常的一种安全分析方法。当然,个别异常并不会引起异常告警,只有在别人仿冒您的身份,或者被要挟,情绪和行为非常紧张,而导致大量平常都没出现的很大细节变化时才会告警。

当然,习惯是会改变的,在生活中,发现一些小细节的改变,外联事件分析模型也会记录您的改变,写到习惯库。如果现在的行为习惯与习惯库中的记录相去甚去,则可以判断出已受到黑客攻击。

第二,暴力破解

暴力破解,是一种通过不断登陆尝试而获取正确的用户账号和密码的攻击方法。攻击者系统地组合所有可能破解用户的账户名、密码的信息后,利用单机或控制的僵尸网络进行大量的登陆尝试,最终获得可以成功登陆的账号和密码。读完暴力破解的概念,您是不是觉得暴力破解就是一种体力活,拿一堆穷尽的用户名和密码去不断的尝试,直到找到可以成功登陆的帐号和密码为止,好像跟黑客用的高科技攻击手段相去甚远。其实,通过分析一些监测点的数据,我们发现暴力破解依然是网络中主要的攻击手段之一。

那么,暴力破解有什么危害,值得我们去研究呢?

这是因为一旦密码被破解,攻击者就拥有了相应的账号权限,就能进行提权、盗取信息或其他破坏性操作,如果是拥有更大权限的管理员帐号(比如,root),那产生的危害就更大。

目前,对暴力破解防护的研究较多,但通过海量级数据来进行防护分析的研究项目比较少见。

第三,webshell

webshell是什么?

它是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称作为一种网页后门。黑客在入侵一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。

出于网站安全防护目的,网络安全分析专家们总是极力根据一些线索找到webshell,从而采取措施。但是,有防就有攻,黑客也会想尽一切办法去隐藏他的webshell,让安全专家找不到。黑客常用的隐藏方法跟检测方法相对应。比如,通过特征匹配的方式去发现webshell,黑客一般通过字符异或、回避、拆分、编码等方式绕过检测。

看得见的安全分析流程及可视化

目前的网络空间安全监测技术,只有在出现了安全事件后才能检测出发生了什么。空有海量的威胁情报数据、全网络流量、安全设备事件、各类日志信息,但没有完全发掘出来,造成一没预测,二晚报的情况比较突出。

另外,光有强大的安全分析技术,如果不能以用户可理解的形式展示,那作用也是有限的。这就要求网络安全态势感知系统,要从整体上把握方向和细节,理解客户的需求和着重点,分析各项重点数据及其关联,从而能呈现出展示总体状态和发展趋势的数据。

基于以上考虑,我们以常见的外联事件场景分析、暴力破解场景分析、WebShell场景分析为例,向您展示什么是“看得见的安全才放心”!

一、外联事件场景分析

1、分析流程

外联事件通过传统的安全设备、威胁情报等信息来源,进行比对碰撞,碰撞出的结果进行行为分析,对剩余未比对中的信息进行聚类分析,产出结果进行人工智能研判后,输出最终结果。

2、实时数据量

通过心电图方式实时统计安全设备的数据情况。

3、群体分析

通过机器学习方法,对资产外联到情报数据的群体进行聚类分析。

4、结果输出

通过人工智能研判方法对外联情况进行分析和确认。

5、情报的类型和所属地分布

通过柱状图和散点图实时的展示现网中情报数据的信息,包括类型和来源地。

6、群体分析

通过机器学习算法,对已经确认为外联事件的资产和需要进一步确认的资产进行聚类分析,从而对待进行确认的外联事件进行进一步的确认。

7、外联信息统计

通过三层套图方式展现外联的详细信息,包括外联的资产IP,外联的目的IP,以及端口等情况。

二、暴力破解场景分析

1、分析流程

暴力破解分析模型通过两种类型的数据发现暴力破解,第一类是传统安全设备(如IDS、防火墙、IPS等),第二类是服务日志。服务日志是传统安全日志的一个补充,因为传统安全设备难免受到性能,解析能力的影响,存在漏报的可能,而服务日志则不存在这种问题。

通过这两类日志得到暴力破解事件后,结合服务日志中登录成功的信息,判断暴力破解是否成功。

对于尚未破解成功的暴力破解事件,再结合弱口令设备列表、设备安全配置信息、已尝试次数,对该暴力的威胁程度进行一个评估。

2、攻击IP地域分布

显示当前正在进行的暴力破解攻击来源地域分布。左下角的小图是暴力破解服务对象的分布情况。

3、破解失败IP排名

显示资产受到的暴力破解来源组成状况。

4、破解成功关联IP关系

这部分跟踪破解成功后,剔除以往正常登录的来源后,哪些IP使用已泄露的用户名、密码进行登录,从而收集有关联的组织信息,用于其他分析模型的数据输入。

三、WEBSHELL场景分析模型

1、分析流程

webshell分析模型通过 web服务访问日志,传统安全设备日志,网站结构扫描三种日志来源进行分析。

传统安全设备日志可以发现部分webshell的访问,但是这些访问几乎所有都是网络上的webshell扫描导致的,webshell本身并不存在,web服务访问日志记录了所有访问请求和相应的返回码,通过和网站服务的访问日志返回码匹配,确认哪些webshell访问是成功的。

通过多种来源获取确实存在的webshell,对这些webshell的多个访问维度进行学习建模。

2、网站结构扫描

 知己知彼,百战不殆,传统安全防护设备对自身防护的对象基本没有了解,而网站结构扫描可以让系统对防护对象有一定的了解,在webshell分析模块中,通过网站结构扫描的数据进行结构分析,再与web访问日志中url的对比,分析web访问日志中存在的孤链。

3、URL结果

提取web访问日志中各个url的访问维度,与webshell模型进行对比,预测这些url与webshell的相似度。

4、webshell探测趋势

通过心电图实时展现网络中进行webshell探测的趋势。

© 著作权归作者所有

openfea
粉丝 18
博文 86
码字总数 95615
作品 1
杭州
其他
私信 提问
锐捷网络蝉联"企业级网络设备服务满意度第一"

近日,由工信部国家工业信息安全发展研究中心、国内权威ICT研究咨询机构计世资讯(CCW Research)联合主办,中国质量协会用户委员会支持的“2017年中国IT用户满意度大会”在北京召开。凭借领...

玄学酱
2018/03/02
0
0
我就搞不明白开发java web的,你们是怎么解决重新编译一次花费几分钟,不重新编译就看不到修改效果的?

特别是传统的MVC网站开发,页面效果需要刷新才看得见,刷新又要重新编译重启服务,光等那几分钟我头都炸了。 难道在php开发中改改程序再刷刷页面,这样不是个好习惯吗? 暴露了,我是前后端都...

gaicitadie
2016/10/31
4K
40
ArchSummit深圳2014大会

建构大型云计算平台对分布式系统的要求 构建大型云计算平台的挑战远远高于构建大规模网站应用的基础平台,... 游戏风云 今天的我们,正处在一个无比特殊的时代。尤其是对于移动互联网游戏领域...

AK_47
2014/07/08
2
0
HTML中关于a标签的title属性怪事

HTML的a标签用于建立超链接,其title属性规定关于超链接元素的额外信息,即提供额外的提示信息。有代码如下: <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www......

HandMU
2012/07/06
1K
0
专业网络黑客联系方式

专业网络黑客联系方式据网友评论:∑◢加σσ【3389437657】帮过我朋友,,他们是专业做这个的.我知道的就只有他会了.我是从朋友那边才得知他的.是他才能解决我的问题,只花了不到三十分钟的时...

求黑客联系方式
2016/12/28
1
0

没有更多内容

加载失败,请刷新页面

加载更多

移动开发中的 Web:WebView、WebKit、JSCore、Web 优化、热修复、跨平台、Native、Hybrid……

移动开发领域近年来已经逐渐告别了野蛮生长的时期,进入了相对成熟的时代。而一直以来 Native 和 Web 的争论从未停止,通过开发者孜孜不倦的努力,Web 的效率和 Native 的体验也一直在寻求着...

编辑部的故事
刚刚
0
0
MySQL8.0.17 - Multi-Valued Indexes 简述

本文主要简单介绍下8.0.17新引入的功能multi-valued index, 顾名思义,索引上对于同一个Primary key, 可以建立多个二级索引项,实际上已经对array类型的基础功能做了支持 (感觉官方未来一定...

阿里云官方博客
46分钟前
4
0
make4.1降级 make-3.81、2错误

在编译 make-3.82 的时候出现如下错误提示 glob/glob.c:xxx: undefined reference to `__alloca'` 修改 /glob/glob.c // #if !defined __alloca && !defined __GNU_LIBRARY__ # ifdef __GNUC......

Domineering
47分钟前
7
0
Rainbond集群的安装和运维的原理

本文将解读Rainbond集群的安装和运维的原理,使用户基本了解Rainbond的安装机制和运维重点,便于用户搭建大型Rainbond集群。 1.Rainbond集群节点概述 1.1 节点分类 属性 类型 说明 manage 管...

好雨云帮
58分钟前
8
0
好程序员大数据学习路线分享UDF函数

1.为什么需要UDF? 1)、因为内部函数没法满足需求。 2)、hive它本身就是一个灵活框架,允许用自定义模块功能,如可以自定义UDF、serde、输入输出等。 2.UDF是什么? UDF:user difine fun...

好程序员官方
今天
6
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部