基于攻击链的威胁感知系统

　　随着网络威胁形式的多样化和复杂化以及面临APT攻击的挑战，新一代威胁不仅传播速度更快，其利用的攻击面也越来越宽广，可以覆盖移动、桌面、网络、web和各种应用、社交网络等，新常态下仅仅依靠传统NIPS/NIDS设备提供给用户的信息已经不能满足现阶段客户的需要，专业化、系统化、智能化等越来越显得尤为关键;尤其是伴随着互联网的发展，用户体验需求的提升，更需要对网络威胁的行为通过大数据分析的方式，直观的给客户展示出整个动态攻击过程。

　　为了能够满足客户需求，简化客户对设备的操作流程，提高客户对攻击流程的直观感受，适用新常态下威胁感知变化;需要对传统NIPS漏洞规则的划分维度做全新调整，结合完整的解决方案，彻底摆脱传统NIPS设备显示给客户的单一事件单一告警的无状态统计局面。通过对漏洞规则重新按照事件的攻击链划分，结合数据处理中心对规则新分类告警的日志分析，利用智能化的势态分析模块从大数据分析的角度分阶段的(探测扫描、渗透攻击、攻陷入侵、安装工具和恶意行为五个阶段)给客户呈现出攻击的整个过程。

　　说到新常态，何为新常态?新常态是“习式热词”。“新”就是“有异于旧质”;“常态”就是固有的状态;新常态就是不同以往的、趋势性的、不可逆的发展状态。何为网络安全威胁的新常态呢?就是依托大规模的安全情报系统和专业、智能的大数据分析模块相互融合，充分利用数据驱动安全的方式，实现“人机地云”的全天候，全方位，多维度、立体式的网络安全威胁感知解决方案。

　　传统设备告警问题

　　告警日志是设备在检测到入侵行为后，给用户展示的第一手的直观告警信息，基于网络设备接入层面的不同，告警日志数量就不同，会差出几个数量级。为了能够提高威胁感知的整体效果，需要转化、提升网络威胁空间形态的表现形式，实现由虚拟向实体的延伸，完成从局部到整体的把握;通过告警日志分析聚焦全球范围的威胁态势，启动威胁感知的全新范式，那么对告警日志的分析就显得至关重要，对告警日志分析包括了对告警日志的分类，分类的维度直接影响客户对告警的日志的识别和判断，进而会影响威胁态势感知的呈现效果。

　　传统设备漏洞规则类别

　　目前的设备规则条目高达几千条，规则分类和策略的合理配置息息相关。传统的NIPS中规则会按照多个维度对规则进行分类，实现了规则由无序到有序的转换，包括攻击类别、协议种类、服务类型、技术手段、威胁程度等多个方面展示下图展示了其中的两种分类形式：

　　

　　

　　设备告警信息展示

　　设备产生告警后的“一攻一报”的告警方式，比较单一。

　　

　　传统设备分类的不足

　　传统的NIPS分类只是按照攻击类型，攻击种类等单层面，无状态的将规则进行分类，攻击展现不能从整体把握攻击过程，不能直观展示攻击效果，不能引领用户对攻击行为做出判断，更不能适应现阶段大数据驱动下的网络安全防御方案。

　　威胁感知系统

　　为构建新常态下的威胁感知态势，结合海量数据的分析，形成以新规则为主导，以新分类为依据，以攻击链为引领的新型告警日志分析平台;随着网络攻击行为的变化、升级形成颠覆式的有状态的攻击行为检测预警方案;以客观的多元化的攻击形态为基础，彻底改变人类固有思维模式中的“一攻一报”的单点威胁告警模式，实现思维方式的转型，进而推动产品品质，解决方案，用户体验方面的提升;结合用户对全面把控动态威胁感知的诉求，从大数据挖掘的角度出发，通过智能化的数据分析，真正跳出传统NIPS检测告警形态的怪圈，最终实现新常态下的威胁感知态势解决方案。

　　基于攻击链模型的规则分类标准

　　规则的分类情况最终会影响到后续的整个攻击链的构建和威胁感知的效果，适应新的攻击行为和攻击手法将现有规则分为了五个攻击阶段，探测扫描阶段、渗透攻击阶段、攻陷入侵阶段、安装工具阶段和恶意行为阶段。

　　探测扫描阶段.包括了攻击者在攻击前的对目标的扫描，包括网络扫描、系统扫描、端口、漏洞扫描等，扫描行为是攻击入侵的前期准备阶段，通过信息收集，掌握目标机器的系统，漏洞信息，对进一步进行入侵攻击有事半功倍的效果。

　　渗透攻击阶段.该阶段是已经对目标机器做了扫描，或是直接对目标机器进行攻击，包括利用栈，堆方面的漏洞，利用Web系统平台方面的漏洞，逻辑配置错误方面的漏洞，内存破坏方面的漏洞等，对目标主机发起攻击。

　　攻陷入侵阶段.该阶段表示了目标主机已经不黑客成功攻陷，接下来攻击者可以做他想做的事情，攻陷阶段的表现形式比如，FTP登录成功，Telnet猜测成功等。

　　安装工具阶段.是指在攻击者成功进入目标主机后在目标主机中安装恶意软件，木马程序或是直接挂马等，通过这些恶意的工具实现与黑客的控制链接，下载其他恶意软件等。

　　恶意行为阶段.即攻击者在目标主机安装完恶意软件后，恶意软件在目标主机产生的恶意行为包括，控制链接，对主机进行恶意操作等。

　　

　　展示方式

　　为了更好、更直观的展现攻击的各个阶段和各事件的持续时间、时序，可采用如下的形式进行展示：

　　

　　新常态威胁感知系统

　　有了新的分类，需要结合数据挖掘和数据分析技术将攻击者的整个攻击过程，更加直观的可视化的展示给用户，这包括攻击源IP、目的IP、攻击利用的漏洞、攻击次数、攻击的阶段。将设备产生的分类告警信息上传给数据处理中心BSA，BSA完成数据挖掘和分析，将结果以可视化形式展示给用户。依托结合海量数据和专业、智能的大数据分析模块相互融合，充分利用数据驱动安全的方式，实现“人机地云”的全天候，全方位，多维度、立体式的网络安全威胁感知解决方案。

　　

　　大数据分析下的威胁感知效果

　　为让用户更加直观感知攻击态势，大数据处理中心形成了多种呈现方式的效果图，从时间和攻击数量上动态感知网络攻击的行为。

　　

　　为了给用户呈现更多的攻击信息，将攻击的告警的信息分类成了不同的事件，也包括了一对一攻击，一对多攻击，多对一攻击等形式，同时展示单位时间内的攻击次数，攻击事件等信息。为用户及时了解、掌握攻击的整体态势提供可视化的显示模式。

　　

　　不同的攻击行为在不同时间段的攻击特征形成的攻击曲线

　　

　　针对攻击IP归并统计：

　　

　　关联分析后的攻击溯源：

　　

　　针对目标主机进行的一系列攻击行为，通过对告警日志的分析，将攻击行为在不同时间五个不同阶段做了可视化分析展示，直观感受受影响系统的被攻击的各种行为。图中不同颜色代表了不同的攻击阶段，通过图形化的表示模式能清楚的了解目标主机受攻击的状态。

　　

　　动态感知着眼于全球范围的攻击行为，通过专业化、智能化的大数据挖掘，分析、发现、溯源、还原整个攻击过程，找到安全薄弱点，最终能够部署对抗措施，提升覆盖已知威胁和未知威胁的主动防御能力，将安全隐患消灭于萌芽状态。

　　图中展示在数据处理中心以全球多点支撑，分类告警日志为核心，侧重数据可视化、支持网络架构多级数据提取，从攻击源、攻击类型、攻击目标等多角度展示网络风险态势，提供全面纵深的威胁态势感知预警，也为用户及时做出应对策略提供帮助。

　　

　　总结

　　互联网让物互联互通。正因为有了互联互通，安全风险随之而来。从互联网诞生的那天开始，网络安全和潘多拉的魔盒就如影随形。特别是人们对大数据、云计算和移动互联网的深度依赖，大到能源和交通基础设施，小到日常的衣食住行，都是无网不在，安全风险在空前加大。传统IPS检测方式已经不再适用物互联状态下大数据驱动形式下的网络威胁变化。依托全新模式规则分类模型与全球范围的海量数据和专业、智能的大数据挖掘和分析模块相互融合，充分利用数据驱动安全的方式，以全球覆盖，多点上报，多级互联的形式，为用户呈现可视化检测预警平台，实现“人机地云”的全天候，全方位，多维度、立体式的网络安全威胁感知解决方案。