基于流量分析的安全检测解决方案
近年来,具备国家和组织背景的 APT攻击日益增多,例如:2010 年攻击伊朗核电站的 “震网病毒”、针对 Google 邮件服务器的“极光攻击”、2013 年韩国金融和电视媒体网络 被大面积入侵而瘫痪等等,2014 年 APT攻击的主要目标行业是金融和政府,分别高达 84% 和 77%。
2020 年初,奇安信威胁情报中心发布了《中国高级持续性威胁(APT)2019 年报告》。 报告中指出:
(1)2019 年中, APT组织最为关注的机构类型是政府(包括外交、政党、选举相 关)和军事(包括军事、军工、国防相关)依然是 APT 威胁的主要目标,能源(包括石 油、天然气、电力、民用核工业等)、通信行业也是 APT攻击的重点威胁对象。
由于更加组织化的网络犯罪团伙的活跃活动,导致金融(包括银行、证券、数字货币 等)和零售(电子商务、餐饮等)行业所面临的高级威胁现象越发严峻。
图 1 全球 APT组织关注领域分布
(2)高级威胁活动涉及目标的国家和地域分布情况统计如下图,可以看到高级威胁攻 击活动几乎覆盖了全球绝大部分国家和区域。
图 2 全球 APT组织地域分布
(2)奇安信公司累计监测到针对中国境内目标发动攻击的境内外 APT组织 38 个,通 过研究报告等形式,对外披露了包括海莲花(越南)、 美人鱼(中东)、摩诃草(印度)、 蔓灵花(印度)、黄金眼(国内)等多个由 奇安信 命名的 APT 组织 。并将数十万高精准 失陷类情报不断应用到产品的检测能力中。
2012 年 4 月起至今,某境外黑客组织对中国政府、科研院所、海事机构、海域建设、 航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。该组织 主要通过鱼叉攻击和水坑攻击等方法,配合多种社会工程学手段进行渗透,向境内特定目
标人群传播免杀木马程序,秘密控制部分政府人员、外包商和行业专家的电脑系统,窃取 系统中相关领域的机密资料。根据该组织的某些攻击特点,奇安信公司将其命名为 OceanLotus(海莲花)。在 2017 年的监测中,海莲花仍处于活跃状态,同时在不断的更新 攻击手法。
传统安全防御体系的设备和产品遍布网络 2 ~ 7 层的数据分析。其中,与 APT攻击相 关的 7 层设备主要是 IDS、IPS、审计,而负责 7 层检测 IDS、IPS 采用经典的 CIDF检测模 型,该模型最核心的思想就是依靠攻击特征库的模式匹配完成对攻击行为的检测。反观 APT攻击,其采用的攻击手法和技术都是未知漏洞(0day)、未知恶意代码等未知行为,在 这种情况下,依靠已知特征、已知行为模式进行检测的 IDS、IPS 在无法预知攻击特征、攻 击行为模式的情况下,理论上就已无法检测 APT攻击。
APT攻击通常都会在内网的各个角落留下蛛丝马迹,真相往往隐藏在网络的流量中。 传统的安全事件分析思路是遍历各个安全设备的告警日志,尝试找出其中的关联关系。但 依靠这种分析方式,传统安全设备通常都无法对 APT攻击的各个阶段进行有效的检测,也 就无法产生相应的告警,安全人员花费大量精力进行告警日志分析往往都是徒劳无功。如 果采用全流量采集的思路,一方面是存储不方便,每天产生的全流量数据会占用过多的存
储空间,组织通常没有足够的资源来支撑长时间的存储;另一方面是全流量数据包含了结 构化数据、非结构化数据,涵盖了视频、图片、文本等等多种格式,无法直接进行格式化 检索,安全人员也就无法从海量的数据中找到有价值的信息。
在安全形势不断恶化的今天,政府、军队、金融、大型企业等客户所处的特殊位置, 经常会面临来自互联网的攻击威胁,如何在攻防实战中充分发挥安全防御的价值,越来越 成为安全人员所关注的重点;实战化攻防场景在安全体系如何搭建,实战化攻防经验在 HW 过程中如何传递,实战化攻防场景中红队常用哪些攻击战术和攻击手段,蓝队应对攻击常 用的战术战略,如何在攻防实战或演习中提升自身的安全能力……
安全的对抗是动态的过程,业务在发展,网络在变化,技术在革新,人员在更替,网 络安全绝不是一劳永逸的工作,虽然企业的安全管理人员已经在网络中的各个位置部署了 大量的安全设备,但仍然会有部分威胁绕过所有防护直达企业内部,对重要数据资产造成 泄漏、损坏或篡改等严重损失。在实战攻防对抗中,监测分析是返现攻击行为的主要方 式,在第一时间发现攻击行为,可为应对提供及时支撑、为响应处置争取充足时间,因此 企业需要在其网络中部署威胁感知产品,及时发现潜藏在其网络中的安全威胁,对威胁的
恶意行为实现早期的快速发现,对受害目标及攻击源头进行精准定位,对入侵途径及攻击 者背景的研判与溯源,从源头上解决企业网络中的安全问题,尽可能地减少安全威胁对企 业带来的损失。
参考资料
红蓝攻防构建实战化网络安全防御体系
青藤云安全 2022攻防演练蓝队防守指南
基于流量分析的安全检测解决方案相关推荐
- 基于系统日志分析进行异常检测
日志解析:https://github.com/logpai/logparser 异常检测:https://github.com/logpai/loglizer 预备知识:需要对逻辑回归.决策树.SV ...
- linux跟踪内存检测原理,wooyun/Linux下基于内存分析的Rootkit检测方法.html at master · exitmsconfig/wooyun · GitHub...
Linux下基于内存分析的Rootkit检测方法 - 路人甲 原文地址:http://drops.wooyun.org/tips/4731 0x00 引言 某Linux服务器发现异常现象如下图,确定被 ...
- linux下基于内存分析的rootkit检测方法
0x00 引言 某Linux服务器发现异常现象如下图,确定被植入Rootkit,但运维人员使用常规Rootkit检测方法无效,对此情况我们还可以做什么? 图1 被植入Rootkit的Linux服务器 ...
- 基于互联网技术的跌倒检测解决方案
随着科技水平的日益进步,人们的生活水平不断提高.在当今社会,人们对于个人健康安全的防护尤为重视.如跌倒这一安全事故,每年影响数百万人并导致相当数量的损伤,特别是在老年人群体中,造成的损伤最大.据报道, ...
- 基于流量分析IPS告警误报
目录 前言 实现逻辑 代码设计 效果演示 一些建议 前言 开发这个工具主要还是工作中碰到了一些问题. 问题描述:收到一些数据包,拿过来在IPS设备上测试出现了一些告警.如何判断测试的这些数据包中,有哪 ...
- 流量分析平台之(流影)扩展解决方案
https://abyssalfish-os.github.io 背景: 首个开源网络流量可视化分析平台 问题: 流影只对 命中 特征规则 单包进行了留存.能留存netflow形式的流量会话日志但没有 ...
- 网络管理员在预先分配和识别作为_14个网络管理员必备的最佳网络流量分析工具,收藏了...
企业网络每天都会产生大量数据.企业可以分析这些数据,以深入了解网络运行情况或发现安全威胁.网络流量分析(NTA)解决方案允许网络管理员收集流经网络的流量数据.这些工具通常用于识别性能问题和/或发现安全 ...
- 网络管理员在预先分配和识别作为_网络管理员必备流量分析工具,果断转发收藏!...
企业网络每天都会产生大量数据.企业可以分析这些数据,以深入了解网络运行情况或发现安全威胁.网络流量分析(NTA)解决方案允许网络管理员收集流经网络的流量数据.这些工具通常用于识别性能问题和/或发现安全 ...
- 开源 | 爱奇艺网络流量分析引擎QNSM及其应用
▌导读 一定业务规模的互联网公司的基础设施的网络边界通常都呈现一定程度的复杂多分区的情况,如何进行有效的安全防护和控制会成为安全体系建设的重点和难点.面对这一挑战,爱奇艺安全团队自研了网络流量分析引擎 ...
最新文章
- nginx+php+memcache高速缓存openresty)
- 使用Eclipse进行PHP的服务器端调试
- Mybatis中强大的功能元素:resultMap
- 苹果笔记本怎么安装python_MAC中怎么安装python
- ibm服务器系统电池型号,IBM服务器_X366型号2003系统恢复
- velocity include
- c oracle 参数赋值,利用c#反射实现实体类生成以及数据获取与赋值
- 几种常见的JavaScript特效
- JAVAweb开发中Ajax教程
- 【教程】PE烧录上位机软件安装
- Can't open /dev/sdb1 exclusively. Mounted files
- b5纸尺寸_标准a2纸尺寸是多少厘米,设计宣传手册尺寸有哪些
- 浅谈标签概念及应用场景
- trian和val结果相差很大。
- R语言|导入excel数据
- 海思3559AV100 HiSysLink 之 IPCMSG
- JSON在java和js分别用法
- PEM文件和private.key文件生成Tomcat服务器所需的jks文件(配置SSL用)
- 为什么要购买阿里云服务器?云服务器用途有哪些?
- Python与R的区别与联系