当前位置:首页基于攻击链的威胁感知系统 举报文章

基于攻击链的威胁感知系统

作者:admin    来源:用户投稿    时间:2015.10.27   

绿盟威胁感知系统

  随着网络威胁形式的多样化和复杂化以及面临APT攻击的挑战,新一代威胁不仅传播速度更快,其利用的攻击面也越来越宽广,可以覆盖移动、桌面、网络、web和各种应用、社交网络等,新常态下仅仅依靠传统NIPS/NIDS设备提供给用户的信息已经不能满足现阶段客户的需要,专业化、系统化、智能化等越来越显得尤为关键;尤其是伴随着互联网的发展,用户体验需求的提升,更需要对网络威胁的行为通过大数据分析的方式,直观的给客户展示出整个动态攻击过程。

  为了能够满足客户需求,简化客户对设备的操作流程,提高客户对攻击流程的直观感受,适用新常态下威胁感知变化;需要对传统NIPS漏洞规则的划分维度做全新调整,结合完整的解决方案,彻底摆脱传统NIPS设备显示给客户的单一事件单一告警的无状态统计局面。通过对漏洞规则重新按照事件的攻击链划分,结合数据处理中心对规则新分类告警的日志分析,利用智能化的势态分析模块从大数据分析的角度分阶段的(探测扫描、渗透攻击、攻陷入侵、安装工具和恶意行为五个阶段)给客户呈现出攻击的整个过程。

  说到新常态,何为新常态?新常态是“习式热词”。“新”就是“有异于旧质”;“常态”就是固有的状态;新常态就是不同以往的、趋势性的、不可逆的发展状态。何为网络安全威胁的新常态呢?就是依托大规模的安全情报系统和专业、智能的大数据分析模块相互融合,充分利用数据驱动安全的方式,实现“人机地云”的全天候,全方位,多维度、立体式的网络安全威胁感知解决方案。

  传统设备告警问题

  告警日志是设备在检测到入侵行为后,给用户展示的第一手的直观告警信息,基于网络设备接入层面的不同,告警日志数量就不同,会差出几个数量级。为了能够提高威胁感知的整体效果,需要转化、提升网络威胁空间形态的表现形式,实现由虚拟向实体的延伸,完成从局部到整体的把握;通过告警日志分析聚焦全球范围的威胁态势,启动威胁感知的全新范式,那么对告警日志的分析就显得至关重要,对告警日志分析包括了对告警日志的分类,分类的维度直接影响客户对告警的日志的识别和判断,进而会影响威胁态势感知的呈现效果。

  传统设备漏洞规则类别

  目前的设备规则条目高达几千条,规则分类和策略的合理配置息息相关。传统的NIPS中规则会按照多个维度对规则进行分类,实现了规则由无序到有序的转换,包括攻击类别、协议种类、服务类型、技术手段、威胁程度等多个方面展示下图展示了其中的两种分类形式:

  

  

  设备告警信息展示

  设备产生告警后的“一攻一报”的告警方式,比较单一。

  

  传统设备分类的不足

  传统的NIPS分类只是按照攻击类型,攻击种类等单层面,无状态的将规则进行分类,攻击展现不能从整体把握攻击过程,不能直观展示攻击效果,不能引领用户对攻击行为做出判断,更不能适应现阶段大数据驱动下的网络安全防御方案。

  威胁感知系统

  为构建新常态下的威胁感知态势,结合海量数据的分析,形成以新规则为主导,以新分类为依据,以攻击链为引领的新型告警日志分析平台;随着网络攻击行为的变化、升级形成颠覆式的有状态的攻击行为检测预警方案;以客观的多元化的攻击形态为基础,彻底改变人类固有思维模式中的“一攻一报”的单点威胁告警模式,实现思维方式的转型,进而推动产品品质,解决方案,用户体验方面的提升;结合用户对全面把控动态威胁感知的诉求,从大数据挖掘的角度出发,通过智能化的数据分析,真正跳出传统NIPS检测告警形态的怪圈,最终实现新常态下的威胁感知态势解决方案。

  基于攻击链模型的规则分类标准

  规则的分类情况最终会影响到后续的整个攻击链的构建和威胁感知的效果,适应新的攻击行为和攻击手法将现有规则分为了五个攻击阶段,探测扫描阶段、渗透攻击阶段、攻陷入侵阶段、安装工具阶段和恶意行为阶段。

  探测扫描阶段.包括了攻击者在攻击前的对目标的扫描,包括网络扫描、系统扫描、端口、漏洞扫描等,扫描行为是攻击入侵的前期准备阶段,通过信息收集,掌握目标机器的系统,漏洞信息,对进一步进行入侵攻击有事半功倍的效果。

  渗透攻击阶段.该阶段是已经对目标机器做了扫描,或是直接对目标机器进行攻击,包括利用栈,堆方面的漏洞,利用Web系统平台方面的漏洞,逻辑配置错误方面的漏洞,内存破坏方面的漏洞等,对目标主机发起攻击。

  攻陷入侵阶段.该阶段表示了目标主机已经不黑客成功攻陷,接下来攻击者可以做他想做的事情,攻陷阶段的表现形式比如,FTP登录成功,Telnet猜测成功等。

  安装工具阶段.是指在攻击者成功进入目标主机后在目标主机中安装恶意软件,木马程序或是直接挂马等,通过这些恶意的工具实现与黑客的控制链接,下载其他恶意软件等。

  恶意行为阶段.即攻击者在目标主机安装完恶意软件后,恶意软件在目标主机产生的恶意行为包括,控制链接,对主机进行恶意操作等。

  

  展示方式

  为了更好、更直观的展现攻击的各个阶段和各事件的持续时间、时序,可采用如下的形式进行展示:

  

  新常态威胁感知系统

  有了新的分类,需要结合数据挖掘和数据分析技术将攻击者的整个攻击过程,更加直观的可视化的展示给用户,这包括攻击源IP、目的IP、攻击利用的漏洞、攻击次数、攻击的阶段。将设备产生的分类告警信息上传给数据处理中心BSA,BSA完成数据挖掘和分析,将结果以可视化形式展示给用户。依托结合海量数据和专业、智能的大数据分析模块相互融合,充分利用数据驱动安全的方式,实现“人机地云”的全天候,全方位,多维度、立体式的网络安全威胁感知解决方案。

  

  大数据分析下的威胁感知效果

  为让用户更加直观感知攻击态势,大数据处理中心形成了多种呈现方式的效果图,从时间和攻击数量上动态感知网络攻击的行为。

  

  为了给用户呈现更多的攻击信息,将攻击的告警的信息分类成了不同的事件,也包括了一对一攻击,一对多攻击,多对一攻击等形式,同时展示单位时间内的攻击次数,攻击事件等信息。为用户及时了解、掌握攻击的整体态势提供可视化的显示模式。

  

  不同的攻击行为在不同时间段的攻击特征形成的攻击曲线

  

  针对攻击IP归并统计:

  

  关联分析后的攻击溯源:

  

  针对目标主机进行的一系列攻击行为,通过对告警日志的分析,将攻击行为在不同时间五个不同阶段做了可视化分析展示,直观感受受影响系统的被攻击的各种行为。图中不同颜色代表了不同的攻击阶段,通过图形化的表示模式能清楚的了解目标主机受攻击的状态。

  

  动态感知着眼于全球范围的攻击行为,通过专业化、智能化的大数据挖掘,分析、发现、溯源、还原整个攻击过程,找到安全薄弱点,最终能够部署对抗措施,提升覆盖已知威胁和未知威胁的主动防御能力,将安全隐患消灭于萌芽状态。

  图中展示在数据处理中心以全球多点支撑,分类告警日志为核心,侧重数据可视化、支持网络架构多级数据提取,从攻击源、攻击类型、攻击目标等多角度展示网络风险态势,提供全面纵深的威胁态势感知预警,也为用户及时做出应对策略提供帮助。

  

  总结

  互联网让物互联互通。正因为有了互联互通,安全风险随之而来。从互联网诞生的那天开始,网络安全和潘多拉的魔盒就如影随形。特别是人们对大数据、云计算和移动互联网的深度依赖,大到能源和交通基础设施,小到日常的衣食住行,都是无网不在,安全风险在空前加大。传统IPS检测方式已经不再适用物互联状态下大数据驱动形式下的网络威胁变化。依托全新模式规则分类模型与全球范围的海量数据和专业、智能的大数据挖掘和分析模块相互融合,充分利用数据驱动安全的方式,以全球覆盖,多点上报,多级互联的形式,为用户呈现可视化检测预警平台,实现“人机地云”的全天候,全方位,多维度、立体式的网络安全威胁感知解决方案。

好文打赏,给Ta鼓励
扫一扫用手机阅读本文
Tags:基于  攻击  威胁  感知  系统  
  • 相关搜索
图片推荐
    听腻iPhone 6s了?那来看看iPhone 7吧!

    听腻iPhone 6s了?那来看看iPhone 7吧!

    iPhone 6s即将露面,事到如今,板上钉钉的有这么几个传言:iPhone 6s的背板将使用更加坚实的铝合金,iPhone 6s的屏幕分辨率将提升,采用全新压力触控技术,iPhone 6s的照相功能
    企业建站规划先行 网站规划需要考虑哪些问题

    企业建站规划先行 网站规划需要考虑哪些问题

    网站策划是指在网站建设前对市场进行分析、确定网站的目的和功能,并根据需要对网站建设中的技术、内容、费用、测试、维护等做出规划。网站规划对网站建设起到计划和指导的作用,对网站的内容和维护起到定位作用。 
    跟踪竞争对手外推收录排名如何做才精确?

    跟踪竞争对手外推收录排名如何做才精确?

    做网络营销的同僚都知道对网络营销而言并不是监测好自己的网站就可以了,要想把营销做到位还要及是的关注竞争对手的排名情况,这样才能做到心中有数。那么跟踪竞争对手外推收录排名如何做呢?    关于这个问题,
    硅谷创业教父格雷厄姆:卑鄙的创业者会失败

    硅谷创业教父格雷厄姆:卑鄙的创业者会失败

    [摘要]对于任何初创企业来说,有最好的人帮助绝对非常重要。  腾讯科技讯 12月2日,素有硅谷创业教父之称的保罗格雷厄姆(Paul Graham)撰文称,人品不好的创业者多半不会成功。  以下为文章原
    百度站内搜索上线 开展抢先体验活动

    百度站内搜索上线 开展抢先体验活动

    站长网(www.admin5.com)8月20日消息,百度站长平台近日推出了站内搜索功能。本工具帮助站长创建专属的站内搜索。站长可以添加站点logo、关联搜索域名,以及进行更多其他自定义配置。工具还提
    你的头1000名用户怎么来?从笨的事情做起!

    你的头1000名用户怎么来?从笨的事情做起!

    故事要从hotmail说起。1996年两个工程师想要自己出来单干,但是他们害怕自己的邮件被老板看到,于是做了一个基于网页的邮件系统,这就是hotmail的前身。结果这个业余时间做出来的产品马上得到了投
    如何进行邮件营销才有效?

    如何进行邮件营销才有效?

    邮件营销是网络营销中的非常重要的营销方式,特别是随着人们发现提取QQ群成员,进行邮件营销更加精准以后,邮件营销越来越收到网络营销人员的喜爱。但很多做营销的朋友在做邮件营销的时候总是一味的蛮干,以为发出
你是怎么知道非凡网赚网的?
  •   
  • 联系QQ 邮箱:976382653@qq.com 微信:976382653
    在线留言
    发布软文
    广告自助购
    文章调用
    常见问题
    保存到桌面