NSC2013 中國網絡安全大會分會場一 譚曉生
責編:rhliu |2013-12-11 14:57:20譚曉生:謝謝。今天每位嘉賓的演講時間比較短,大家都是業內人士,能省的我比較快的過,未來的戰爭形態打網絡戰的可能比較大,投入產出比比較高,結果也比較可控。對比2011年,國外的數據,第一的攻擊對象是政府,第二是激進分子,再往下會是重型器械和航空、財經、航天等等。2012年Bit9的一份報告里顯示政府依然排在第一位,但是往下排序有一些變化,零售與消費業務企業,律師事務所、醫療機構和工業部門,政治因素偏多會越來越多的向商業因素偏多,企業或者有敏感信息的這些部門逐漸的會變成攻擊的對象,往企業方面偏移會是一個趨勢,這是個好事兒,諸多的企業會有信息保密的需求。
今天防護的終端也多了,我們今天的網絡邊界也擴展的非常之大,對網絡安全的挑戰也跟著來了,這些攻擊方式及ATM上取不出錢,電視臺節目停播都發生過,今年3月份韓國的事件等等,所有這些都可以是一個網絡戰打起來由于網絡攻擊造成的結果。
互聯網安全現狀從我們來說Windows下面的漏洞叢出不窮,今年3月份報的漏洞現在還沒補,洞很多,補的也很慢,明年微軟對XP會停止更新,安卓的系統更加糟糕。蔣西炎(音)教授挖了一堆的安卓的漏洞,他們評價感覺安卓系統的安全相當于十年前的Windows,意味著未來會挖出更多洞,前面有若干被黑的事兒,嵌入系統逐漸變成被攻擊的對象。投入越多挖的洞越多,現在比較尷尬,要不要投入更多的錢挖出更多的洞。
結構天然的缺陷會造成計算機的漏洞很難被徹底解決,新的計算機結構出來并且被驗證為更加可靠之外,這個洞會叢出不窮的。網站的漏洞也特別多,360庫帶計劃今年收了2000多個洞,經過驗證已經支付了800多洞的錢,實際檢測下來70%的網站是有洞的。
數據防泄漏現在企業非常重視,看解決方案國內比較有名的易塞通等幾家,第一難用,在DLP解決方案還是挺欠缺的,這個有待在產品上或者產品的理念上有一些大的革命性的東西,到現在這些東西還都不行。
面對這種挑,過去IDS有效性存疑,這些我測過也買過,測國國內不只一家,當時我們手里有的是木馬,遠程木馬扔十個進去,一開始檢測出五個,我們告訴他有五個檢測不出來,三天以后說這五個能檢測出來了,再拿十個扔進去差不多又能檢測出來一半,后來圈里的人說這已經不錯了,我們十個只能檢測出三個,如果IDS是這樣防御效果,尤其APT的場景下,你逮住樣本的概率就會比較少。
APT的特征相對來說,一個是用的方法多種多樣,另外是長期持久的。怎么解決它呢?我本身負責360自身的安全防衛,我們覺得這件事兒要干好有四個假設,第一個假設就是系統有漏洞還沒被發現的,既然有這個洞,問題就轉換到如果要防洞這個洞的利用過程我要能發現。今天我還不知道的洞,未來別人攻擊的時候,被利用的時候我要能知道有人在利用這個洞,這是第一個假設。第二個是管理怎么都解決不了安全問題,總是有人不打補丁或者他出差了今天是補丁日,各種各樣的機器沒有打補丁,補丁沒打完或者別人忙別的把打補丁停了,就有補丁沒有打的,還有系統已經被滲透,你不能假設今天的系統是干凈的,在我們做企業應用的時候,和產品人員吵了很久,他認為可以按照今天有個安全期限,你不能認為今天的系統就是干凈的。第四是員工不可靠,不能相信員工。員工有可能本身是個間諜,有可能被人收買,有可能網上認識一個女孩,這個女孩對他發起了攻擊,這些都是可能的,不是不相信這個人的人品,而是他本身在企業安全里你不能相信他是一個安全的。
攻擊的防御思路云+端+邊界,邊界和端這兩個大家討論了很久,在云里360最早的引入了云端防護的東西,從早期對個人的云查殺,其實就是利用了木馬非常爆發流行的時候,最高峰我們逮了一千萬只不同的木馬,不拿云處理基本上是不行的。后來我們在云端的處理上做了很多事情,大家可能不知道,比如你一天逮了一千只木馬,怎么分析,怎么檢測,今天說的技術或者虛擬執行,從2009年到今天360內部已經用了很久,現在一天還要逮30—50萬只,這些分析怎么做的?今天把這東西怎么讓其他企業用起來。
云端過去相對來說比較差的,將來端的防護依然不可少,邊界上會加一些比如所謂的假設設備,但這個設備更多的是信息收集和最終產生阻斷的設備,這里面大量的驗算要在云上完成,不管私有云或者共有云,一定要有足夠的存儲能力和計算能力。將來的防護這三點不同設備,不同長嘎的解決方案,軟件、硬件聯合起來使用,不見得是一家的設備,有哪一家能出全套的解決方案是不可能的,安全的防衛只可能細分,細分之后每個鏈條都要做深。
最后我們在大數據之前,我們認為網絡攻擊的,人對數據不足夠敏感,但是對圖形非常敏感,我們今年和研究機構做了一些合作,在APT的過程中數據展現你真正轉化成合適的圖形專線的時候人一眼看過去就不對,但是看數據流費勁多了,這是要下大工夫做的。
在技術之外做產品的體驗方面,我們覺得這也是要大力的改進,過去的企業級產品尤其是難用的。
大數據我們是怎么做的,這是360的一些數字,每天100G帶寬定包,360內網有3.2G的,外網對日常,100來G為用戶提供Web服務的,其他的下載不管,因為我下載客戶端,客戶端要重新校驗,發現文件不對就扔掉,不會真正產生太大的惡心果,Web服務一個是攻擊的對象,滲透之后對外產生的連接更多的會在這里產生,每天我們存儲50TB的數據,對于攻擊的響應時間10秒,一天結構化的數據是四千億條,這是360自己的基礎架構針對攻擊的防范上實際的數據,數據全是真實數據。
對于Web的攻擊一些防衛的東西,第一我們要區分連接型攻擊,比如掃描、CC攻擊,爬蟲怎么識別,Web攻擊怎么識別。首先把Web訪問數字化,首先是IP域名,UII,每15分鐘的訪問合并到一個Session,計算Session里的訪問特征,訪問次數,訪問深度,訪問寬度,Agent個數,Get文件訪問比例,靜態文件訪問比例,非200請求比,分7個度量數值看。
這是正常的網絡訪問情況下同一個Session對相同域名的請求數字,已經把頭部上面很高的數字砍掉了,就是一條直線上來的,砍完以后,大量的訪問就是一兩次,非常集中,15分鐘之內對一個IP的訪問是非常集中的。
URIPATH里斜線的訪問。靜態文件的訪問有一定的比例,因為你通過瀏覽器打開這個,它會下載一個Jpg,下載一個css,這個靜態文件有一定的量。
非200訪問請求比例不會很高,人們正常訪問一個網站的時候。
網絡掃描行為,深度不是很深,寬度也不是太寬,靜態文件基本上不抓,帶有嘗試的探測性質,這種概率分布判定它就是掃描。
爬蟲深度深一點兒,寬度也比較寬,抓那東西只要不做圖片搜索它也沒有什么意義,它抓取的靜態文件比例是很少的,爬蟲是按圖索驥,只有在一些新的嘗試的時候會有失敗的比例,但這里面其實比例不高,這就是爬蟲行為。
攻擊行為是在不同的域名下出現同一URI次數,因為它是用攻擊的一個URI,相通的域名下不同的URI出現相同value次數,相同域名下相同URI不同參數下出現相同值次數。我們從分布上可以看到這樣的狀況。
用這種算法我們識別出來的攻擊,拿眼睛一看就知道大部分真的是攻擊,這是攻擊的模式,識別出來的東西。針對一個網站,它里面各個頁面,用機器識別異常的網絡訪問,用戶對一個網站訪問,其實是會有概率上分布的特點的,它會分布在高概率的大家都經常去的地方,如果有的訪問是散還,除了高概率的地方還大量散到其他地方,這個就比較異常。
用機器識別的網絡異常行為,左邊是端口,這個訪問涉及到多少個端口,第一個235個端口肯定有問題,還有一千多個端口,一般人的訪問怎么會訪問那么多端口?dip深度多少,寬度多少,最后結束RN那么多,都是異常,通過這一系列的東西去找異常,這是機器識別的異常的網絡行為。
這里面第一是有海量數據處理的東西,分布式并行計算,半監督學習,SVM、決策樹,神經網絡,決策樹在里面貢獻最大,這是以前的萬兆Web中心監測系統,其實是從交換機端口到鏡下,鏡下不夠用了我們就用分裝設備,裝完包進行清洗,再把數據存下來做Session的規劃,有一個阻斷機制。
能夠做這件事兒的主要是依賴360過去做業務的過程中已經建立起一個比較好的大數據平臺,Map? Reduce的平臺,同時建立歐拉的平臺,一些算法、分類、聚類,各種各樣的決策樹都在里面,實時計算系統,Storm等等這些東西。
存儲規模超過1.5萬臺,Storm計算超過1.4萬臺,有這些東西看起來像個土豪,可以干基于大數據分析的事情,在辦公室存三個月過去網絡訪問的數據,對它反復的挖,找出中間的攻擊。謝謝。
