Download
1 / 20
200 likes | 357 Vues
全面战争时代. —— 大数据分析 演讲者 周涛. 周 涛. 博士后 。 启明星辰核心研究院资深研究员 。 研究方向包括威胁检测、 web 安全、大数据处理技术等。曾承担过多项国家及省部级课题、产品新技术的研发工作 。 目前已在国内外期刊发表论文多篇,申报发明专利 15 项。. 典型 APT 攻击步骤. 传统检测技术面临的 挑战. 传统检测和防御技术的软肋. 无法进行边界防御. 缺乏长时间关联. 难以识别异常行为模式. 难以进行特征匹配. 恶意代码 检测思路. 主机应用 保护思路. 网络入侵 检测思路. 大数据 分析思路. 数据防泄密 思路.
E N D
全面战争时代 ——大数据分析 演讲者 周涛
周涛 • 博士后。 • 启明星辰核心研究院资深研究员。 • 研究方向包括威胁检测、web安全、大数据处理技术等。曾承担过多项国家及省部级课题、产品新技术的研发工作。 • 目前已在国内外期刊发表论文多篇,申报发明专利15项。
传统检测和防御技术的软肋 无法进行边界防御 缺乏长时间关联 难以识别异常行为模式 难以进行特征匹配
恶意代码 检测思路 主机应用 保护思路 网络入侵 检测思路 大数据 分析思路 数据防泄密 思路 APT检测防御思路分类
当前典型的微观检测步骤模式 设备类安全检测产品 工具类安全检测产品 SOC等安全管理平台
APT检测新思路 基于记忆的检测方法群
基于记忆的检测框架 攻击场景关联 展示层 多维数据可视化 异常检测 可疑识别 分析层 应用还原 统计分析 会话还原 元数据提取 存储层 应用识别 存储管理
大数据处理 • 目的:构建海量数据高效分析平台 • 方法:采用最新的大数据处理技术 • 小型网络:单机模式 • 采用RDBMS+NOSQL解决方案 • 大中型网络:集群模式 • 采用基于Hadoop的分布式计算框架
异常流量分析 • 目的:识别能引起统计异常的未知攻击 • 方法:安全态势指标体系
可疑行为识别 • 目的:识别不引起流量异常的未知攻击 • 方法:可疑行为建模
应用场景设想 • 检测 • 攻击图(示意) 攻击过程包含路径和时序 攻击过程的大部分是貌似正常操作的 不是所有的异常操作都能立即被检测 不能保证被检测到的异常在APT过程的开始或早期 … 基于记忆的检测可以有效缓解上述问题
1.攻击者利用 0 day漏洞进行攻击 4. 全流量分析发现可疑加密传输行为 3.全流量存储设备进行了存储 2. 实时IDS缺乏 攻击特征,未能检测 5.分析人员对相关历史流量进行 应用识别和还原,确定可疑行为 应用场景举例 服务器 Hacker 流存储 实时IDS
应用情况 • 某流氓软件流量分析
APT全生命周期检测 数据防泄密方案 信息外传 资产发现 基于记忆的检测方案 横向转移 远程控制 获取入口 恶意代码检测方案 情报收集 传统检测方案
总结 • 对抗APT:以时间对抗时间 • 对长时间、全流量数据进行深度分析 • 综合多种新检测技术,弥补特征匹配的不足 • 实现由实时检测向异步检测的转换 • 需要利用大数据分析的关键技术
