用“大數據+AI ”,構建威脅情報生態
責編:gltian |2019-06-17 14:12:54當前,網絡安全威脅日益突出,勒索病毒、APT等網絡攻擊愈演愈烈,呈現多樣化、復雜化、專業化的發展趨勢。《網絡空間安全藍皮書》稱,網絡沖突和攻擊成為國家間對抗主要形式,就在剛剛發布的《2018年我國互聯網網絡安全態勢綜述》中數據顯示,來自美國的網絡攻擊數量最多。
如何有效地檢測APT等網絡攻擊?利用威脅情報數據,借助大數據分析和人工智能技術,是目前最有效的手段。
安恒信息首席科學家劉博表示,從生產高質量威脅情報,到使用威脅情報完善安全體系,這個過程中充滿各種挑戰,難以依賴單方面的力量,這就需要構建完整的生態。
圖:構建威脅情報完整生態
世界各國網絡空間戰略和政策也都指明了,需要加強網絡威脅情報和信息共享能力建設。2015年,美國發布《國家安全戰略》,設立“網絡威脅情報整合中心”;歐盟發布五年《歐盟安全議程》(2015-2020),主要包括加強歐盟成員國之間的信息共享,增強歐洲刑警組織與各成員國的合作等。
安恒首席科學家劉博認為,網絡空間威脅情報能力的建設,需要從融合威脅情報數據、“大數據+AI”智能分析、協同處置等角度著手,形成流程的閉環。
融合:構建大數據多源情報生態
威脅情報能力的基礎,是威脅情報的收集。安恒的威脅情報從何而來?主要包含以下幾個渠道:
1、云端監測:安恒玄武盾每日產生數億攻擊日志
2、全網蜜罐/流量捕獲:美歐日等全球各地部署蜜罐流量探針
3、網絡空間測繪:每周更新全球43億資產信息
4、國內外開源/商用情報:200+開源與商用情報源
5、安恒用戶分析情報:安恒各類設備,服務分析經客戶允許后產生的精準情報
6、威脅情報聯盟共享:CNCERT等聯盟情報共享
圖:多源威脅情報
安恒信息依托SaaS監測服務、云防護服務、蜜罐網絡、全球資產探測等能力,同時集成國內外200余家情報源,采用云沙箱、機器學習與專家分析等方式,提煉形成面向服務器安全的高質量威脅情報中心——IoC信譽庫、網絡資產庫、安全事件庫、專家情報庫四大核心情報庫。
細化來看:
1、威脅捕獲:捕獲全球惡意攻擊樣本
安恒蜜罐虛擬出網絡信息系統來吸引攻擊者攻擊,對惡意代碼和攻擊行為的信息采集和分析,形成安全威脅情報,集中到安恒數據大腦(態勢感知平臺威脅情報采集中心),為攻擊檢測策略提供參考。
2、Sumap網絡空間測繪:發現全球資產風險
Sumap全球網絡空間超級雷達,43億IP掃描空間,利用全網快速掃描引擎,2小時全網極速掃描,完成全網資產探測、漏洞掃描和風險趨勢分析。4年多的全球掃描數據積累,利用異步無狀態的批量橫向資產檢測技術,形成全球資產指紋畫像與風險庫。
圖:海量指紋與風險庫
3、國內外開源/商用情報/威脅情報聯盟共享
安恒數據大腦集成了開源情報、商用情報、戰略情報、機讀情報、威脅情報聯盟共享等多維情報,形成威脅情報生態。
安恒信息將來源于網絡空間測繪、大數據智能安全分析(AI)、網絡流量分析(NTA)、高級威脅監測(APT)、用戶行為分析(UBA)的本地化威脅情報,借助智能安全分析提煉高價值威脅情報,以提高安全事件的檢測效率和精準度,輔助態勢感知。
智能分析與威脅情報結合:大數據+ AI
面對海量告警的信息過載,我們如何實而不虛的發揮數據和情報的價值?在我們過去的探索中,我們發現有效融合情報的能力作為關鍵要素,能幫助安全運營人員快速、精準的識別受攻擊對象和完成攻擊者畫像。
利用大數據和人工智能技術,能有效地發揮威脅情報的價值,應用于多個場景:
- 全局監控與感知
借助安恒AiLPHA深度感知智能引擎DSI,全面多維度特征提取與畫像,通過聚類異常模型、時序基線異常模型等機器學習算法模型與威脅情報相結合,提高準確率與檢新率。
2、加密流量處理—監督式機器學習
據 Gartner 預測,到 2019 年,80% 的網站流量都會被加密。攻擊者可利用加密流量進行APT攻擊。安恒信息利用背景流量數據(contexual flow data)識別TLS加密惡意流量,采用SVM等分類器((有監督機器學習)對加密流量的高維特征空間進行分類,結合威脅情報從而識別加密的惡意流量。
3、基于邊界流量中的威脅檢測預警
通過近百次安保實踐,安恒信息發現每一百臺服務器當中事先植入后門的比例是29%,內網出現已經淪陷主機的概率接近100%。安恒信息憑借大數據威脅情報和全流量的能力支撐,對網絡流量進行實時分析和檢測,對可疑網絡行為進行告警,全方位發現失陷主機、從海量攻擊事件中識別針對性攻擊。
4、高級威脅檢測(APT)
通過對攻擊行為的模型/知識庫與檢測告警結合威脅情報分析,判斷意圖明確的針對性攻擊、預期有嚴重影響的入侵行為、APT組織等。
協同處置:SOAR智能研判、編排與響應
威脅情報需要形成一個閉環,通過SOAR智能編排技術,將人、技術和流程整合,提供快速智能的研判和應急響應能力,自動化分析研判、處置聯動、通報預警,流程化完成事件管理,提高協作溝通效率。
應用案例:某大型會議網絡安保活動智能處置
1.通過制定安全分析規則、統計模型,進行網絡安全事件實時監測;
2.當發生安全事件快速進行攻擊來源分析、攻擊上下文分析、安全事件邏輯關聯分析;
3.對攻擊者進行威脅情報碰撞、攻擊指紋分析、攻擊特征分析
4.對影響范圍分析,分析攻擊目標,確定攻擊的影響范圍
5.通過智能研判,確定安全事件的性質、攻擊來源、危害程度等
6.進行智能相應,例如:聯動處置、通報預警、自動分析報告、對接工單平臺。
案例:威脅情報在護網行動的應用
2017年某省公安廳舉行網絡安全攻防應急演練,安恒信息為其提供技術保障。
技術支持:給演練提供了場地、網絡、攻擊IP、現場監控、安全實時檢測、漏洞記錄平臺及攻擊進展情況大屏展示等全方位技術保障。演練全程采取“背靠背”的方式進行,即事先不通知、攻擊源不明確、攻擊目標不明確、攻擊手段不明確,完全接近于實戰。
演練成果:攻擊方累計發起了15萬次攻擊,采用多種攻擊手段,發現問題超過百處,典型問題包括弱口令、文件上傳、命令執行、邏輯漏洞等。提升被攻擊目標防御和應急處置能力,同時鍛煉了浙江網警接警、出警、取證的能力。
威脅情報應用:藍方安全設備發現一個攻擊行為,快速研判攻擊,將該攻擊以情報方式共享至情報中心,海量的情報數據通過大數據AI算法提高情報準確率后,同步給其他安全設備,對下次訪問流量進行情報碰撞,快速預警。
知己知彼,方能百戰??????不殆。威脅情報作為網絡空間治理的重要一環,需要政府部門、科研院校、網絡安全企業、運維服務支撐單位、行業安全專家等形成情報協同、數據協同、能力協同,共同構建網絡空間治理與協同防御能力體系。