针对这些挑战看一下当前典型的微观检测步骤模式是怎么样的?首先要进行采集,进行模式分析,然后产生一个单点的报警事件,我们把多个报警试件关联在一起产生一个完整的场景。如果说采集的时候漏掉了,或者模式分析的时候没有分析出来,后面的关联一定不会成功,APT就是针对现在检测思路的软肋进行攻击。
因此我们要弥补这个不足,首先要扩大检测域,能够涵盖APT完整的生命周期。第二步有了大数据要做浓缩,分析的焦点定在什么地方,第三步我们对检测之后的数据有一个精确的判断,最后我们把精确识别后的关联事件进行判断形成一个场景,我们通过前后的关联实现精确攻击的试点,这个方法我们叫做基于记忆的检测方法群。现在我们有了这套系统之后我们能检查历史上发生的流量,就是能看到现在和回忆过去,通过现在和过去的关联判断准确率大大提升。
检测方向分三个层次:底层的存储层,基于会员还原,和应用识别,包括存储管理,元数据的提取。
第二层是分析层,要做应用还原、异常检测、可疑行为识别、统计分析。
最上层是展示层,最重要的是攻击场景的关联,还要做多维数据可视化的分析。因为现在数据量非常大,没有工具辅助单单靠人查的话非常难,所以我们有一些工具,帮助你在海量信息中定位。
首先要做攻击场景关联,然后做大数据处理,另外就是进行异常流量的分析和识别帮助我们聚焦要分析的点最终是应用识别还原帮助我们定位。
异常流量分析:我们的目标是识别能够引起流量统计异常的未知攻击。我们偏重的对以前没有特征的东西进行统计,我们的方法时间里安全态势指标体系。指标体系分三个层次,第一层叫基础指标,第二层是衍生指标,是需要简单运算而得到的指标。第三层是应用指标。应用指标是跟特定的攻击做有关联的,针对每个特定类型的攻击,比如说蠕虫它会引起下面到底哪个指标的异常,我们会有一个归类。
第二个我们要检测的是可疑行为。我们对可疑行为的定义是,这种攻击不会引起流量明显的异常,大概是未知的攻击。我们的方法就是可疑行为的建模。比如说如果没有木马攻击连接特征的话怎么做未知木马的识别呢?我们把木马样本拿来做分析,会看到大部分木马都具备这样的特征,首先有一个加密的传输。因为现在大部分木马都加密了,再一个是可疑间歇性链接。因为木马需要定期跟它的控制端链接一次,汇报“我还活着”这个链接数据包不会太多,也比较有规律。有了这些也可以作为辅助判断的标准。再一个就是恶意域名的访问,最后一个是上下行流量比分析。因为最终攻击目的还是要把数据倒出去,比方说木马伪装后倒数据,典型IDG访问的话,比如我访问新浪这样的网站我传出去的东西可能很少,这个包几百个字就OK了,真正木马会伪装以后传输出去的东西会很多,但是进来的东西很少,就是一些指令信息。这跟传统的APT数据有一个明显的对比关系。基于这些行为我们来定位要分析的攻击源。
大数据处理:目的是构建海量数据高效分析平台。方法是应用最新的大数据处理技术。我们摸索出来大概是在一个小型网络中单机模式采用RDBMS-NOSQL解决方案能把问题解决了,但是如果到了大中型网络,数据量达到100TB以上,那么再用机模式不可用了,必须要利用分布式框架出去的技术。
我们应约场景大概是:攻击过程包括路径和时序,攻击过程的大部分是貌似正常操作的,不是所有的异常操作都能立即被检测,不能保证被检测到的异常在APT的过程的开始和早期,我们的这套系统可以有很好的检测。
总结:对抗APT出发点是以时间对抗时间,我们需要对长时间全流量数据进行深度分析,针对高级攻击问题,需要做异常检测和可疑行为识别解决特征匹配的不足球针对攻击时间长的问题,我们将传统基于实时时间点的检测变成基于历史的时间窗的检测,通过流量的回溯和关联分析发现APT模式,通过大数据的存储和原有的检测技术相结合,构成了新一代基于记忆的智能检测系统,关键就是大数据分析的技术。
以上就是我的演讲内容,谢谢大家!
