基于攻擊鏈的威脅感知系統(tǒng)
時間:2023-01-28 15:36:02 | 來源:電子商務(wù)
時間:2023-01-28 15:36:02 來源:電子商務(wù)
隨著網(wǎng)絡(luò)威脅形式的多樣化和復(fù)雜化以及面臨APT攻擊的挑戰(zhàn)��,新一代威脅不僅傳播速度更快,其利用的攻擊面也越來越寬廣,可以覆蓋移動、桌面、網(wǎng)絡(luò)、web和各種應(yīng)用��、社交網(wǎng)絡(luò)等����,新常態(tài)下僅僅依靠傳統(tǒng)NIPS/NIDS設(shè)備提供給用戶的信息已經(jīng)不能滿足現(xiàn)階段客戶的需要�,專業(yè)化、系統(tǒng)化���、智能化等越來越顯得尤為關(guān)鍵;尤其是伴隨著互聯(lián)網(wǎng)的發(fā)展��,用戶體驗需求的提升����,更需要對網(wǎng)絡(luò)威脅的行為通過大數(shù)據(jù)分析的方式����,直觀的給客戶展示出整個動態(tài)攻擊過程���。
為了能夠滿足客戶需求��,簡化客戶對設(shè)備的操作流程�����,提高客戶對攻擊流程的直觀感受�,適用新常態(tài)下威脅感知變化;需要對傳統(tǒng)NIPS漏洞規(guī)則的劃分維度做全新調(diào)整,結(jié)合完整的解決方案�����,徹底擺脫傳統(tǒng)NIPS設(shè)備顯示給客戶的單一事件單一告警的無狀態(tài)統(tǒng)計局面��。通過對漏洞規(guī)則重新按照事件的攻擊鏈劃分���,結(jié)合數(shù)據(jù)處理中心對規(guī)則新分類告警的日志分析���,利用智能化的勢態(tài)分析模塊從大數(shù)據(jù)分析的角度分階段的(探測掃描、滲透攻擊���、攻陷入侵�����、安裝工具和惡意行為五個階段)給客戶呈現(xiàn)出攻擊的整個過程�。
說到新常態(tài),何為新常態(tài)?新常態(tài)是“習(xí)式熱詞”��。“新”就是“有異于舊質(zhì)”;“常態(tài)”就是固有的狀態(tài);新常態(tài)就是不同以往的�����、趨勢性的��、不可逆的發(fā)展?fàn)顟B(tài)�����。何為網(wǎng)絡(luò)安全威脅的新常態(tài)呢?就是依托大規(guī)模的安全情報系統(tǒng)和專業(yè)���、智能的大數(shù)據(jù)分析模塊相互融合�����,充分利用數(shù)據(jù)驅(qū)動安全的方式����,實現(xiàn)“人機地云”的全天候�,全方位,多維度����、立體式的網(wǎng)絡(luò)安全威脅感知解決方案。
傳統(tǒng)設(shè)備告警問題
告警日志是設(shè)備在檢測到入侵行為后���,給用戶展示的第一手的直觀告警信息��,基于網(wǎng)絡(luò)設(shè)備接入層面的不同���,告警日志數(shù)量就不同,會差出幾個數(shù)量級����。為了能夠提高威脅感知的整體效果,需要轉(zhuǎn)化����、提升網(wǎng)絡(luò)威脅空間形態(tài)的表現(xiàn)形式,實現(xiàn)由虛擬向?qū)嶓w的延伸���,完成從局部到整體的把握;通過告警日志分析聚焦全球范圍的威脅態(tài)勢����,啟動威脅感知的全新范式,那么對告警日志的分析就顯得至關(guān)重要����,對告警日志分析包括了對告警日志的分類,分類的維度直接影響客戶對告警的日志的識別和判斷���,進(jìn)而會影響威脅態(tài)勢感知的呈現(xiàn)效果���。
傳統(tǒng)設(shè)備漏洞規(guī)則類別
目前的設(shè)備規(guī)則條目高達(dá)幾千條,規(guī)則分類和策略的合理配置息息相關(guān)��。傳統(tǒng)的NIPS中規(guī)則會按照多個維度對規(guī)則進(jìn)行分類����,實現(xiàn)了規(guī)則由無序到有序的轉(zhuǎn)換,包括攻擊類別�����、協(xié)議種類�、服務(wù)類型、技術(shù)手段��、威脅程度等多個方面展示下圖展示了其中的兩種分類形式:
設(shè)備告警信息展示
設(shè)備產(chǎn)生告警后的“一攻一報”的告警方式��,比較單一。
傳統(tǒng)設(shè)備分類的不足
傳統(tǒng)的NIPS分類只是按照攻擊類型���,攻擊種類等單層面,無狀態(tài)的將規(guī)則進(jìn)行分類����,攻擊展現(xiàn)不能從整體把握攻擊過程,不能直觀展示攻擊效果�,不能引領(lǐng)用戶對攻擊行為做出判斷,更不能適應(yīng)現(xiàn)階段大數(shù)據(jù)驅(qū)動下的網(wǎng)絡(luò)安全防御方案����。
威脅感知系統(tǒng)
為構(gòu)建新常態(tài)下的威脅感知態(tài)勢,結(jié)合海量數(shù)據(jù)的分析����,形成以新規(guī)則為主導(dǎo),以新分類為依據(jù)�,以攻擊鏈為引領(lǐng)的新型告警日志分析平臺;隨著網(wǎng)絡(luò)攻擊行為的變化、升級形成顛覆式的有狀態(tài)的攻擊行為檢測預(yù)警方案;以客觀的多元化的攻擊形態(tài)為基礎(chǔ)�,徹底改變?nèi)祟惞逃兴季S模式中的“一攻一報”的單點威脅告警模式,實現(xiàn)思維方式的轉(zhuǎn)型�����,進(jìn)而推動產(chǎn)品品質(zhì),解決方案����,用戶體驗方面的提升;結(jié)合用戶對全面把控動態(tài)威脅感知的訴求,從大數(shù)據(jù)挖掘的角度出發(fā)����,通過智能化的數(shù)據(jù)分析,真正跳出傳統(tǒng)NIPS檢測告警形態(tài)的怪圈����,最終實現(xiàn)新常態(tài)下的威脅感知態(tài)勢解決方案。
基于攻擊鏈模型的規(guī)則分類標(biāo)準(zhǔn)
規(guī)則的分類情況最終會影響到后續(xù)的整個攻擊鏈的構(gòu)建和威脅感知的效果�����,適應(yīng)新的攻擊行為和攻擊手法將現(xiàn)有規(guī)則分為了五個攻擊階段�,探測掃描階段、滲透攻擊階段�����、攻陷入侵階段�����、安裝工具階段和惡意行為階段。
探測掃描階段.包括了攻擊者在攻擊前的對目標(biāo)的掃描���,包括網(wǎng)絡(luò)掃描��、系統(tǒng)掃描���、端口�、漏洞掃描等,掃描行為是攻擊入侵的前期準(zhǔn)備階段�,通過信息收集,掌握目標(biāo)機器的系統(tǒng)�����,漏洞信息�,對進(jìn)一步進(jìn)行入侵攻擊有事半功倍的效果。
滲透攻擊階段.該階段是已經(jīng)對目標(biāo)機器做了掃描�����,或是直接對目標(biāo)機器進(jìn)行攻擊����,包括利用棧���,堆方面的漏洞,利用Web系統(tǒng)平臺方面的漏洞����,邏輯配置錯誤方面的漏洞,內(nèi)存破壞方面的漏洞等�����,對目標(biāo)主機發(fā)起攻擊��。
攻陷入侵階段.該階段表示了目標(biāo)主機已經(jīng)不黑客成功攻陷�,接下來攻擊者可以做他想做的事情,攻陷階段的表現(xiàn)形式比如���,F(xiàn)TP登錄成功�,Telnet猜測成功等����。
安裝工具階段.是指在攻擊者成功進(jìn)入目標(biāo)主機后在目標(biāo)主機中安裝惡意軟件,木馬程序或是直接掛馬等���,通過這些惡意的工具實現(xiàn)與黑客的控制鏈接�����,下載其他惡意軟件等�。
惡意行為階段.即攻擊者在目標(biāo)主機安裝完惡意軟件后,惡意軟件在目標(biāo)主機產(chǎn)生的惡意行為包括���,控制鏈接��,對主機進(jìn)行惡意操作等��。
展示方式
為了更好、更直觀的展現(xiàn)攻擊的各個階段和各事件的持續(xù)時間�����、時序�,可采用如下的形式進(jìn)行展示:
新常態(tài)威脅感知系統(tǒng)
有了新的分類,需要結(jié)合數(shù)據(jù)挖掘和數(shù)據(jù)分析技術(shù)將攻擊者的整個攻擊過程���,更加直觀的可視化的展示給用戶����,這包括攻擊源IP、目的IP����、攻擊利用的漏洞、攻擊次數(shù)�����、攻擊的階段�。將設(shè)備產(chǎn)生的分類告警信息上傳給數(shù)據(jù)處理中心BSA,BSA完成數(shù)據(jù)挖掘和分析�����,將結(jié)果以可視化形式展示給用戶�����。依托結(jié)合海量數(shù)據(jù)和專業(yè)���、智能的大數(shù)據(jù)分析模塊相互融合�,充分利用數(shù)據(jù)驅(qū)動安全的方式�,實現(xiàn)“人機地云”的全天候,全方位�,多維度���、立體式的網(wǎng)絡(luò)安全威脅感知解決方案。
大數(shù)據(jù)分析下的威脅感知效果
為讓用戶更加直觀感知攻擊態(tài)勢���,大數(shù)據(jù)處理中心形成了多種呈現(xiàn)方式的效果圖��,從時間和攻擊數(shù)量上動態(tài)感知網(wǎng)絡(luò)攻擊的行為����。
為了給用戶呈現(xiàn)更多的攻擊信息����,將攻擊的告警的信息分類成了不同的事件,也包括了一對一攻擊����,一對多攻擊�����,多對一攻擊等形式����,同時展示單位時間內(nèi)的攻擊次數(shù)���,攻擊事件等信息。為用戶及時了解�、掌握攻擊的整體態(tài)勢提供可視化的顯示模式。
不同的攻擊行為在不同時間段的攻擊特征形成的攻擊曲線
針對攻擊IP歸并統(tǒng)計:
關(guān)聯(lián)分析后的攻擊溯源:
針對目標(biāo)主機進(jìn)行的一系列攻擊行為���,通過對告警日志的分析����,將攻擊行為在不同時間五個不同階段做了可視化分析展示���,直觀感受受影響系統(tǒng)的被攻擊的各種行為��。圖中不同顏色代表了不同的攻擊階段��,通過圖形化的表示模式能清楚的了解目標(biāo)主機受攻擊的狀態(tài)���。
動態(tài)感知著眼于全球范圍的攻擊行為,通過專業(yè)化�、智能化的大數(shù)據(jù)挖掘,分析���、發(fā)現(xiàn)����、溯源、還原整個攻擊過程�����,找到安全薄弱點��,最終能夠部署對抗措施����,提升覆蓋已知威脅和未知威脅的主動防御能力,將安全隱患消滅于萌芽狀態(tài)�。
圖中展示在數(shù)據(jù)處理中心以全球多點支撐,分類告警日志為核心�,側(cè)重數(shù)據(jù)可視化、支持網(wǎng)絡(luò)架構(gòu)多級數(shù)據(jù)提取����,從攻擊源、攻擊類型�����、攻擊目標(biāo)等多角度展示網(wǎng)絡(luò)風(fēng)險態(tài)勢���,提供全面縱深的威脅態(tài)勢感知預(yù)警����,也為用戶及時做出應(yīng)對策略提供幫助���。
總結(jié)
互聯(lián)網(wǎng)讓萬物互聯(lián)互通�����。正因為有了互聯(lián)互通�,安全風(fēng)險隨之而來�����。從互聯(lián)網(wǎng)誕生的那天開始��,網(wǎng)絡(luò)安全和潘多拉的魔盒就如影隨形�����。特別是人們對大數(shù)據(jù)���、云計算和移動互聯(lián)網(wǎng)的深度依賴�,大到能源和交通基礎(chǔ)設(shè)施,小到日常的衣食住行���,都是無網(wǎng)不在�����,安全風(fēng)險在空前加大��。傳統(tǒng)IPS檢測方式已經(jīng)不再適用萬物互聯(lián)狀態(tài)下大數(shù)據(jù)驅(qū)動形式下的網(wǎng)絡(luò)威脅變化����。依托全新模式規(guī)則分類模型與全球范圍的海量數(shù)據(jù)和專業(yè)�����、智能的大數(shù)據(jù)挖掘和分析模塊相互融合���,充分利用數(shù)據(jù)驅(qū)動安全的方式�,以全球覆蓋���,多點上報�,多級互聯(lián)的形式,為用戶呈現(xiàn)可視化檢測預(yù)警平臺����,實現(xiàn)“人機地云”的全天候��,全方位����,多維度、立體式的網(wǎng)絡(luò)安全威脅感知解決方案����。
關(guān)鍵詞:威脅,感知,系統(tǒng),攻擊
在線咨詢
