《基于大数据和海量数据挖掘攻击溯源技术》由会员分享,可在线阅读,更多相关《基于大数据和海量数据挖掘攻击溯源技术(61页珍藏版)》请在金锄头文库上搜索。
1、 2015 绿盟科技 基于大数据和海量数据挖掘的攻击溯源技术 绿盟科技 资深安全顾问 肖岩军 1. 网络安全事关国家安全 2. 发达国家如何进行态势感知预警溯源 3. 团队态势感知、预警、溯源的成果 已知威胁的感知溯源 僵木蠕感知 APT攻击态势感知 DDOS态势感知 4. 绿盟大数据网络溯源系统 APT未知威胁的感知溯源 5. 结语 目录 网络空间安全-国家安全 党的十八大报告指出:世界仍然很不安宁。,粮食安全、能源资源安全、网络安全等全球性问题更加突 出。 党的十八大报告要求:建设下一代信息基础设施,发展现代信息技术产业体系,健全信息安全保障体系, 推进信息网络技术广泛运用。高度关注海洋、
2、太空、网络空间安全。 党的十八大报告 习近平总书记提出: “一观一路”,即“总体国家安全观” 和“中国特色国家安全道路”。 “要构建集政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、 生态安全、资源安全、核安全等于一体的国家安全体系。” 中央国家安全委员会成立 2014年2月27日,中央网络安全和信息化领导小组成立。 该领导小组将着眼国家安全和长远发展,统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络 安全和信息化重大问题,研究制定网络安全和信息化发展战略、宏观规划和重大政策,推动国家网络安全 和信息化法治建设,不断增强安全保障能力。 中央网络安全和信息
3、化领导小组成立 2015年7月1日,第十二届全国人民代表大会常务委员会第十五次会议通过新的国家安全法。国家主席习近 平签署第29号主席令予以公布。构建集政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、 科技安全、信息安全、生态安全、资源安全、核安全等于一体的国家安全体系。以法律形式确立总体国家 安全观。共7章84条,自2015年7月1日起施行。清华大学法学院院长王振民评论说,这部法第一次明确了 网络空间主权这一概念,这可以理解为国家主权在网络空间的体现、延伸和反映。从这个法的内容可 以看出,国家针对建设网络与信息安全保障体系,加强安全情报收集处置,建立风险预警,以及基础设施 供应链
4、管理准入方面针对网络安全做了强制要求和增强。 国家安全法 7月6日起在中国人大网上全文公布,并向社会公开征求意见。草案强调,国家坚持网络安全与信息化发展 并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设,鼓励网络技术创 新和应用,建立健全网络安全保障体系,提高网络安全保护能力。 网络安全法草案 2011年7月首次发布网络安全战略报告,将网 络空间确定为继陆、海、空、宇宙空间之后的 新的第五个战场。国防部宣布,美国政府和相 关设施遭受网络攻击时,不排除实施军事报复 的可能性。据说美军已经发展了1000多种网 络武器,该战略提出了21世纪的一种新的战争 方式,主要针对中
5、国和。 2013年5月23日,美国国防部23日发布了一项 网络战争新战略,首次明确讨论了美国在何种 情况下,可以使用网络武器来对付攻击者,并 且还列出了美国自认为威胁最大的国家:中国、 俄罗斯、伊朗和朝鲜等。为了实现以上目标, 美国防部决定大力投资网络能力建设,组建一 支包括个小组的网军。美国网络战争的 整体行动能力,包括宣示政策、预警能力、防 卫部署、反应程序以及美国网络与系统恢复能 力等,将阻止那些损害美国利益的网络攻击。 网络武器禁运 电影的场景 恐怖分子托马斯和他的女友梅,他们都曾是 美国政府的特工,准备利用黑客技术,在美 国独立日当天让全美国的计算机系统集体瘫 痪。 他们瘫痪了华盛顿
6、特区的交通系统(交通), 进一步瘫痪纽约股票市场(金融),全国因此陷 入混乱。 接下来要针对民生部分下手,前往西维吉尼 亚发电厂。从而达到他们控制全球的阴谋。 据纽约时报等美国媒体报道,美国当局起诉一名中 国商人,称其通过黑客手段2009年到2013年间成功从 波音和洛克希德马丁公司的网络,窃取了包括F-22、 F-35战斗机和C-17运输机等先进机型图纸在内的65个 G的军事项目资料。 2014年7月10日中国外交部发言人洪磊在例行记者会上 说,中国政府一直强调,中方坚决反对网络黑客攻击行 动。这样的报道和评论是不负责任的,也不值一驳。 2014年6月10日外交部发言人华春莹主持例行记者会,
7、 说:我对美方这种贼喊捉贼的做法很不以为然。众所周 知,斯诺登案发生以后,大量披露和曝光的事实已经明 白无误地表明,美国政府和其相关部门长期以来对包括 中国在内的很多外国政要、个人和企业进行了大规模、 有组织的网络窃密和监听监控活动,甚至达到了无孔不 入、无所不用其极的地步。美国不必把自己装扮成受害 者,它自己就是“黑客帝国”,这是地球人都知道的事 实。美方不思反省,不思检点,反而仍在无理指责和攻 击别国,这样的做法不具任何建设性。 美起诉中国商人盗取战机机密 中方曾多次驳黑客论 1. 网络安全事关国家安全 2. 发达国家如何进行态势感知预警溯源 3. 团队态势感知、预警、溯源的成果 已知威胁
8、的感知溯源 僵木蠕感知 APT攻击态势感知 DDOS态势感知 4. 绿盟大数据网络溯源系统 APT未知威胁的感知溯源 5. 结语 目录 2011年3月,EMC公司下属的RSA公司遭受入 侵,部分SecurID技术(RSA的根证书)及客 户资料被窃取。其后果导致很多使用SecurID 作为认证凭据的公司包括洛克希德马丁 公司、诺斯罗普公司等美国国防外包商 受到攻击,重要资料被窃取。 据纽约时报等美国媒体报道,美国当局 起诉一名中国商人,称其通过黑客手段2009 年到2013年间成功从波音和洛克希德马丁 公司的网络,窃取了包括F-22、F-35战斗机 和C-17运输机等先进机型图纸在内的65个G
9、的军事项目资料。我们分析这个65G数据就 是溯源来的。据说美国政府提供的证据已经 溯源到上海电信的那个路由器那个端口。 国家级APT高级持续性威胁-如何发现,如何溯源 Cross-Agency Priority Goal on Cybersecurity. 跨联邦部门的网络安全优先目标 项目 形成3个优先能力帮我们知道 那些数据和信息进出联邦网络。 那些电脑和设备在联邦网络中使用。 谁在使用联邦网络。 目标 可信互联网连接 (TIC) 巩固外部互联网流量和确保一套情境意识的通用安全功能,并加强监测。 持续监控联邦信息系统(ISCM) 将传统静态安全控制评估和授权过程变成一个动态的全企业风险管理
10、过程的一个组成部分。 此更改允许各部门和机构保持不断接近实时提高认识和信息安全风险评估,并迅速作出反应, 以支持组织的风险管理决策。 强身份验证(PIV) 确保只有获授权的雇员获得联邦信息系统所需要的保证之后的总统令 12 个人身份核查标准 更高的水平。 组成 美国2013财年的网络安全重点 FISMA FISMA 2.0 爱因斯坦1,2,3 联邦桌面计算机 核心构造(FDCC) 国家漏洞数据库 重要的配置管理 脆弱性发现标准 2004年 2002年 国家网络靶场 可信互联网接入 持续监控ISCM 强身份验证(PIV) 2004年 2010年 基于流的统计分析技术,2004年启动,通过分析网络
11、的流量信息查找 可能的恶意活动,采用政府网络出口路由器的netflow技术实现。 爱因斯坦1 基于特征的入侵检测系统。可以通过分析网络的流量信息来查找以 发现非授权的访问和恶意的内容,这是通过对进出美国政府网络的 流量自动进行全封包检查来实现的。当联邦网络流量中出现恶意或 可能有害的活动时,爱因斯坦2 能够向US-CERT提供实时报警,并 对导出数据提供关联和可视化能力。 爱因斯坦2 基于威胁的决策系统。采用商业技术和专门为政府开发的技术来对 进出行政机关网络的流量实施实时的全封包检查,目标是发现恶意 的网络流量并对其进行特征化表示,以增强网络安全分析、态势感 知和安全响应能力。由于采用的入侵
12、防御系统支持动态防御,它能 在网络威胁造成损害之前对其自动检测并正确响应。爱因斯坦 3还 为国土安全部提供了对检测到的网络入侵企图进行自动报警的能力。 国土安全部将采纳国家安全局通过外国情报工作以及国防部在信息 保障工作中发现的威胁特征,以支持国土安全部的联邦系统安全。 爱因斯坦3 美国的网络核武器-爱因斯坦计划 爱因斯坦奠定了国家级的安全防护体系的基础架构,DPI+DFI+态势感知(基于威胁的决 策系统),为美国奠定了态势感知追踪溯源的基础。 “爱因斯坦计划”于2009年初正式更名为“全面的国家网络安全行动(CNCI)”,其职 能和功能得到进一步的提升和强化。 被美国一些媒体称为信息安全的“
13、曼哈顿计划”。 2013年,国土安全部和跨部门的小组开发了面向移动计算和云架构的TIC 2.1相关架构。 美国的爱因斯坦用netflow进行流量分析,并溯源。 可信互联网连接 (TIC) 通过MPLS VPN将各个部 门连起来 部署了安全技 术手段 部署了Soc 爱因斯坦专用 设备 洛克希德马丁公司网络查杀链Cyber Kill Chain方法 阶段 描述 检测 拒绝 中断 降 级 欺 骗 摧 毁 侦察 对目标进行研究,识别和选择,典型的方法 往往用爬行互联网网站,收集如会议记录、 电子邮件地址、社会关系,或用特殊技术收 集的信息。 web 分析 防火 墙acl 改装 武器 将利用漏洞的远程访
14、问木马植入可交付载体, 典型用自动化的工具来进行改装。越来越多 的客户端应用数据文件如果PDF文件或者 office文件担当了攻击工具载体。 NIDS NIPS 交货 该武器传输到目标环境。由洛克希德马丁公 司的计算机事件响应小组(lm-cirt)2004- 2010年来观测。APT攻击者使用的三个最流行 的武器封装交付载体,是电子邮件附件,网 站,和U盘。 用户 警惕 代理 过滤 网络 防病 毒 排 队 利用 这些武器传送到受害者主机后,溢出攻击触 发入侵者的代码。大多数情况下,溢出攻击 目标为应用程序或操作系统的漏洞,但它可 能也更加简单地利用用户自己或利用操作系 统的功能,自动执行的代码
15、。 HIDS 补丁 DEP 数据 执行 保护 安装 在受害者系统安装远程访问木马或者后门, 从允许在对手环境里来保持持续性活动 HIDS 根目 录变 更限 制 防病 毒 命令 和控 制 典型的,受控主机必须建立航标向互联网控 制服务器来建立C&C命令和控制信道。APT恶 意软件尤其需要人工交互而不是自动进行的 活动。一旦C&C信道建立,入侵者拥有“键盘 上的手”来访问内部目标环境。 NIDS 防火 墙acl NIPS Tar pit DN S重 定 向 在目 标行 动 现在,经过上述的6个阶段后,入侵者可以采 取行动来达到他们的本来目的。典型,这些 目标是将收集的资料汇总、加密和压缩数据 以便
16、于从受害环境中进行数据泄露。妨碍数 据的完整性和可用性也是潜在的目标。或者, 入侵者可能只希望访问初始受害者主机作为 一个跳板攻击更多的系统和网络内部使用进 行横向移动。 日志 审计 高 质 量 的 服 务 蜜 罐 NASA通过持续监控的方法挫败了针对其的APT攻击 黑客首先攻击了RSA,获取NASA的RSA的 根证书。开始APT攻击NASA美国国家航空 航天局,但是黑客还需要一个重要的个人因 子(个人pin码)没有获取。此时RSA发现 被攻击后,不得已向联邦政府进行了汇报, 联邦政府立刻发布相关预警,于是NASA接 受到预警后,派在大数据方面最有经验的地 球观测系统(EOS)安全小组进行监控, EOS小组采用Splunk进行分析,成功的阻断 了攻击,因此,美国的绩效监督管理中心为 表彰美国航空航天局的网络防御成功,将其 作为信息安全连续监测(ISCM)的一个联 邦网络安全最佳实践予以确认,并给予资金 和研究方
