基于大數(shù)據(jù)和海量數(shù)據(jù)挖掘的攻擊溯源解決方案

1、基于大數(shù)據(jù)和海量數(shù)據(jù)挖掘的攻擊溯源解決方案1.網(wǎng)絡(luò)安全事關(guān)國家安全發(fā)達(dá)國家如何進(jìn)行態(tài)勢感知預(yù)警溯源團(tuán)隊(duì)?wèi)B(tài)勢感知、預(yù)警、溯源的成果已知威脅的感知溯源僵木蠕感知APT攻擊態(tài)勢感知DDOS態(tài)勢感知大數(shù)據(jù)網(wǎng)絡(luò)溯源系統(tǒng)APT未知威脅的感知溯源結(jié)語目錄網(wǎng)絡(luò)空間安全-國家安全黨的十八大報(bào)告黨的十八大報(bào)告指出：世界仍然很不安寧。，糧食安全、能源資源安全、網(wǎng)絡(luò)安全等全球性問題更加突 出。黨的十八大報(bào)告要求：建設(shè)下一代信息基礎(chǔ)設(shè)施，發(fā)展現(xiàn)代信息技術(shù)產(chǎn)業(yè)體系，健全信息安全保障體系， 推進(jìn)信息網(wǎng)絡(luò)技術(shù)廣泛運(yùn)用。高度關(guān)注海洋、太空、網(wǎng)絡(luò)空間安全。中央國家安全委員會成立習(xí)近平總書記提出：“一觀一路”，即“總體國家安全觀”

2、 和“中國特色國家安全道路”。“要構(gòu)建集政治安全、國土安全、軍事安全、經(jīng)濟(jì)安全、文化安全、社會安全、科技安全、信息安全、 生態(tài)安全、資源安全、核安全等于一體的國家安全體系?！敝醒刖W(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立2014年2月27日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立。該領(lǐng)導(dǎo)小組將著眼國家安全和長遠(yuǎn)發(fā)展，統(tǒng)籌協(xié)調(diào)涉及經(jīng)濟(jì)、政治、文化、社會及軍事等各個(gè)領(lǐng)域的網(wǎng)絡(luò) 安全和信息化重大問題，研究制定網(wǎng)絡(luò)安全和信息化發(fā)展戰(zhàn)略、宏觀規(guī)劃和重大政策，推動國家網(wǎng)絡(luò)安全 和信息化法治建設(shè)，不斷增強(qiáng)安全保障能力。國家安全法2015年7月1日，第十二屆全國人民代表大會常務(wù)委員會第十五次會議通過新的國家安全法。國家主席習(xí)近

3、平簽署第29號主席令予以公布。構(gòu)建集政治安全、國土安全、軍事安全、經(jīng)濟(jì)安全、文化安全、社會安全、 科技安全、信息安全、生態(tài)安全、資源安全、核安全等于一體的國家安全體系。以法律形式確立總體國家 安全觀。共7章84條，自2015年7月1日起施行。清華大學(xué)法學(xué)院院長王振民評論說，這部法第一次明確了 網(wǎng)絡(luò)空間主權(quán)這一概念，這可以理解為國家主權(quán)在網(wǎng)絡(luò)空間的體現(xiàn)、延伸和反映。從這個(gè)法的內(nèi)容可 以看出，國家針對建設(shè)網(wǎng)絡(luò)與信息安全保障體系，加強(qiáng)安全情報(bào)收集處置，建立風(fēng)險(xiǎn)預(yù)警，以及基礎(chǔ)設(shè)施 供應(yīng)鏈管理準(zhǔn)入方面針對網(wǎng)絡(luò)安全做了強(qiáng)制要求和增強(qiáng)。網(wǎng)絡(luò)安全法草案7月6日起在中國人大網(wǎng)上全文公布，并向社會公開征求意見。草

4、案強(qiáng)調(diào)，國家堅(jiān)持網(wǎng)絡(luò)安全與信息化發(fā)展 并重，遵循積極利用、科學(xué)發(fā)展、依法管理、確保安全的方針，推進(jìn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)，鼓勵(lì)網(wǎng)絡(luò)技術(shù)創(chuàng) 新和應(yīng)用，建立健全網(wǎng)絡(luò)安全保障體系，提高網(wǎng)絡(luò)安全保護(hù)能力。2011年7月首次發(fā)布網(wǎng)絡(luò)安全戰(zhàn)略報(bào)告，將網(wǎng)絡(luò)空間確定為繼陸、海、空、宇宙空間之后的 新的第五個(gè)戰(zhàn)場。國防部宣布，美國政府和相 關(guān)設(shè)施遭受網(wǎng)絡(luò)攻擊時(shí)，不排除實(shí)施軍事報(bào)復(fù)的可能性。據(jù)說美軍已經(jīng)發(fā)展了1000多種網(wǎng)絡(luò)武器，該戰(zhàn)略提出了21世紀(jì)的一種新的戰(zhàn)爭 方式，主要針對中國和北朝鮮。2013年5月23日，美國國防部23日發(fā)布了一項(xiàng)網(wǎng)絡(luò)戰(zhàn)爭新戰(zhàn)略，首次明確討論了美國在何種情況下，可以使用網(wǎng)絡(luò)武器來對付攻擊者，并

5、 且還列出了美國自認(rèn)為威脅最大的國家：中國、 俄羅斯、伊朗和朝鮮等。為了實(shí)現(xiàn)以上目標(biāo)， 美國防部決定大力投資網(wǎng)絡(luò)能力建設(shè)，組建一支包括個(gè)小組的網(wǎng)軍。美國網(wǎng)絡(luò)戰(zhàn)爭的整體行動能力，包括宣示政策、預(yù)警能力、防 衛(wèi)部署、反應(yīng)程序以及美國網(wǎng)絡(luò)與系統(tǒng)恢復(fù)能 力等，將阻止那些損害美國利益的網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)武器禁運(yùn)電影的場景恐怖分子托馬斯和他的女友梅，他們都曾是 美國政府的特工，準(zhǔn)備利用黑客技術(shù)，在美國獨(dú)立日當(dāng)天讓全美國的計(jì)算機(jī)系統(tǒng)集體癱 瘓。他們癱瘓了華盛頓特區(qū)的交通系統(tǒng)（交通）， 進(jìn)一步癱瘓紐約股票市場(金融)，全國因此陷 入混亂。接下來要針對民生部分下手，前往西維吉尼 亞發(fā)電廠。從而達(dá)到他們控制全球的陰謀

6、。據(jù)紐約時(shí)報(bào)等美國媒體報(bào)道，美國當(dāng)局起訴一名中 國商人，稱其通過黑客手段2009年到2013年間成功從 波音和洛克希德馬丁公司的網(wǎng)絡(luò)，竊取了包括F-22、 F-35戰(zhàn)斗機(jī)和C-17運(yùn)輸機(jī)等先進(jìn)機(jī)型圖紙?jiān)趦?nèi)的65個(gè)G的軍事項(xiàng)目資料。2014年7月10日中國外交部發(fā)言人洪磊在例行記者會上 說，中國政府一直強(qiáng)調(diào)，中方堅(jiān)決反對網(wǎng)絡(luò)黑客攻擊行 動。這樣的報(bào)道和評論是不負(fù)責(zé)任的，也不值一駁。2014年6月10日外交部發(fā)言人華春瑩主持例行記者會， 說：我對美方這種賊喊捉賊的做法很不以為然。眾所周 知，斯諾登案發(fā)生以后，大量披露和曝光的事實(shí)已經(jīng)明 白無誤地表明，美國政府和其相關(guān)部門長期以來對包括 中國在內(nèi)的很

7、多外國政要、個(gè)人和企業(yè)進(jìn)行了大規(guī)模、 有組織的網(wǎng)絡(luò)竊密和監(jiān)聽監(jiān)控活動，甚至達(dá)到了無孔不 入、無所不用其極的地步。美國不必把自己裝扮成受害 者，它自己就是“黑客帝國”，這是地球人都知道的事 實(shí)。美方不思反省，不思檢點(diǎn)，反而仍在無理指責(zé)和攻 擊別國，這樣的做法不具任何建設(shè)性。美起訴中國商人盜取戰(zhàn)機(jī)機(jī)密 中方曾多次駁黑客論1.網(wǎng)絡(luò)安全事關(guān)國家安全2.發(fā)達(dá)國家如何進(jìn)行態(tài)勢感知預(yù)警溯源團(tuán)隊(duì)?wèi)B(tài)勢感知、預(yù)警、溯源的成果已知威脅的感知溯源僵木蠕感知APT攻擊態(tài)勢感知DDOS態(tài)勢感知大數(shù)據(jù)網(wǎng)絡(luò)溯源系統(tǒng)APT未知威脅的感知溯源結(jié)語目錄2011年3月，EMC公司下屬的RSA公司遭受入 侵，部分SecurID技術(shù)（R

8、SA的根證書）及客 戶資料被竊取。其后果導(dǎo)致很多使用SecurID 作為認(rèn)證憑據(jù)的公司包括洛克希德馬丁 公司、諾斯羅普公司等美國國防外包商 受到攻擊，重要資料被竊取。據(jù)紐約時(shí)報(bào)等美國媒體報(bào)道，美國當(dāng)局 起訴一名中國商人，稱其通過黑客手段2009 年到2013年間成功從波音和洛克希德馬丁 公司的網(wǎng)絡(luò)，竊取了包括F-22、F-35戰(zhàn)斗機(jī) 和C-17運(yùn)輸機(jī)等先進(jìn)機(jī)型圖紙?jiān)趦?nèi)的65個(gè)G 的軍事項(xiàng)目資料。我們分析這個(gè)65G數(shù)據(jù)就 是溯源來的。據(jù)說美國政府提供的證據(jù)已經(jīng) 溯源到上海電信的那個(gè)路由器那個(gè)端口。國家級APT高級持續(xù)性威脅-如何發(fā)現(xiàn)，如何溯源項(xiàng)目Cross-Agency Priority Goa

9、l on Cybersecurity.跨聯(lián)邦部門的網(wǎng)絡(luò)安全優(yōu)先目標(biāo)目標(biāo)形成3個(gè)優(yōu)先能力幫我們知道那些數(shù)據(jù)和信息進(jìn)出聯(lián)邦網(wǎng)絡(luò)。那些電腦和設(shè)備在聯(lián)邦網(wǎng)絡(luò)中使用。誰在使用聯(lián)邦網(wǎng)絡(luò)。組成可信互聯(lián)網(wǎng)連接 （TIC）鞏固外部互聯(lián)網(wǎng)流量和確保一套情境意識的通用安全功能，并加強(qiáng)監(jiān)測。持續(xù)監(jiān)控聯(lián)邦信息系統(tǒng)（ISCM）將傳統(tǒng)靜態(tài)安全控制評估和授權(quán)過程變成一個(gè)動態(tài)的全企業(yè)風(fēng)險(xiǎn)管理過程的一個(gè)組成部分。 此更改允許各部門和機(jī)構(gòu)保持不斷接近實(shí)時(shí)提高認(rèn)識和信息安全風(fēng)險(xiǎn)評估，并迅速作出反應(yīng)， 以支持組織的風(fēng)險(xiǎn)管理決策。強(qiáng)身份驗(yàn)證（PIV）確保只有獲授權(quán)的雇員獲得聯(lián)邦信息系統(tǒng)所需要的保證之后的總統(tǒng)令 12 個(gè)人身份核查標(biāo)準(zhǔn)更高

10、的水平。美國2013財(cái)年的網(wǎng)絡(luò)安全重點(diǎn)聯(lián)邦桌面計(jì)算機(jī)核心構(gòu)造(FDCC)國家漏洞數(shù)據(jù)庫重要的配置管理脆弱性發(fā)現(xiàn)標(biāo)準(zhǔn)2004年愛因斯坦1,2,32002年國家網(wǎng)絡(luò)靶場可信互聯(lián)網(wǎng)接入持續(xù)監(jiān)控ISCM強(qiáng)身份驗(yàn)證（PIV）2004年FISMA2010年FISMA 2.0愛因斯坦1基于流的統(tǒng)計(jì)分析技術(shù)，2004年啟動,通過分析網(wǎng)絡(luò)的流量信息查找可能的惡意活動，采用政府網(wǎng)絡(luò)出口路由器的netflow技術(shù)實(shí)現(xiàn)。愛因斯坦2基于特征的入侵檢測系統(tǒng)?？梢酝ㄟ^分析網(wǎng)絡(luò)的流量信息來查找以 發(fā)現(xiàn)非授權(quán)的訪問和惡意的內(nèi)容，這是通過對進(jìn)出美國政府網(wǎng)絡(luò)的 流量自動進(jìn)行全封包檢查來實(shí)現(xiàn)的。當(dāng)聯(lián)邦網(wǎng)絡(luò)流量中出現(xiàn)惡意或 可能有害的

11、活動時(shí)，愛因斯坦2 能夠向US-CERT提供實(shí)時(shí)報(bào)警，并 對導(dǎo)出數(shù)據(jù)提供關(guān)聯(lián)和可視化能力。愛因斯坦3基于威脅的決策系統(tǒng)。采用商業(yè)技術(shù)和專門為政府開發(fā)的技術(shù)來對 進(jìn)出行政機(jī)關(guān)網(wǎng)絡(luò)的流量實(shí)施實(shí)時(shí)的全封包檢查，目標(biāo)是發(fā)現(xiàn)惡意 的網(wǎng)絡(luò)流量并對其進(jìn)行特征化表示，以增強(qiáng)網(wǎng)絡(luò)安全分析、態(tài)勢感 知和安全響應(yīng)能力。由于采用的入侵防御系統(tǒng)支持動態(tài)防御，它能 在網(wǎng)絡(luò)威脅造成損害之前對其自動檢測并正確響應(yīng)。愛因斯坦 3還 為國土安全部提供了對檢測到的網(wǎng)絡(luò)入侵企圖進(jìn)行自動報(bào)警的能力。 國土安全部將采納國家安全局通過外國情報(bào)工作以及國防部在信息 保障工作中發(fā)現(xiàn)的威脅特征，以支持國土安全部的聯(lián)邦系統(tǒng)安全。美國的網(wǎng)絡(luò)核武器-

12、愛因斯坦計(jì)劃愛因斯坦奠定了國家級的安全防護(hù)體系的基礎(chǔ)架構(gòu)，DPI+DFI+態(tài)勢感知（基于威脅的決 策系統(tǒng)），為美國奠定了態(tài)勢感知追蹤溯源的基礎(chǔ)。“愛因斯坦計(jì)劃”于2009年初正式更名為“全面的國家網(wǎng)絡(luò)安全行動（CNCI）”，其職能和功能得到進(jìn)一步的提升和強(qiáng)化。 被美國一些媒體稱為信息安全的“曼哈頓計(jì)劃”。2013年，國土安全部和跨部門的小組開發(fā)了面向移動計(jì)算和云架構(gòu)的TIC 2.1相關(guān)架構(gòu)。美國的愛因斯坦用netflow進(jìn)行流量分析，并溯源。可信互聯(lián)網(wǎng)連接 （TIC）部署了安全技術(shù)手段部署了Soc愛因斯坦專用 設(shè)備通過MPLSVPN將各個(gè)部 門連起來洛克希德馬丁公司網(wǎng)絡(luò)查殺鏈Cyber Kil

13、l Chain方法階段描述檢測拒偵察對目標(biāo)進(jìn)行研究，識別和選擇，典型的方法web防 往往用爬行互聯(lián)網(wǎng)網(wǎng)站，收集如會議記錄、分析電子郵件地址、社會關(guān)系，或用特殊技術(shù)收 集的信息。改裝將利用漏洞的遠(yuǎn)程訪問木馬植入可交付載體，武器典型用自動化的工具來進(jìn)行改裝。越來越多 的客戶端應(yīng)用數(shù)據(jù)文件如果PDF文件或者NIDSNoffice文件擔(dān)當(dāng)了攻擊工具載體。交貨該武器傳輸?shù)侥繕?biāo)環(huán)境。由洛克希德馬丁公用戶代 司的計(jì)算機(jī)事件響應(yīng)小組（lm-cirt）2004-警惕過2010年來觀測。APT攻擊者使用的三個(gè)最流行 的武器封裝交付載體，是電子郵件附件，網(wǎng)站，和U盤。利用這些武器傳送到受害者主機(jī)后，溢出攻擊觸HID

14、S補(bǔ)絕中斷降欺摧級騙毀火 墻aclIPS理網(wǎng)絡(luò)排 濾防病隊(duì)毒丁DEP發(fā)入侵者的代碼。大多數(shù)情況下，溢出攻擊 目標(biāo)為應(yīng)用程序或操作系統(tǒng)的漏洞，但它可 能也更加簡單地利用用戶自己或利用操作系 統(tǒng)的功能，自動執(zhí)行的代碼。安裝在受害者系統(tǒng)安裝遠(yuǎn)程訪問木馬或者后門，從允許在對手環(huán)境里來保持持續(xù)性活動命令典型的，受控主機(jī)必須建立航標(biāo)向互聯(lián)網(wǎng)控 和控制服務(wù)器來建立C&C命令和控制信道。APT惡 制意軟件尤其需要人工交互而不是自動進(jìn)行的活動。一旦C&C信道建立，入侵者擁有“鍵盤上的手”來訪問內(nèi)部目標(biāo)環(huán)境。在目現(xiàn)在，經(jīng)過上述的6個(gè)階段后，入侵者可以采 標(biāo)行取行動來達(dá)到他們的本來目的。典型，這些 動目標(biāo)是將收集的

15、資料匯總、加密和壓縮數(shù)據(jù)以便于從受害環(huán)境中進(jìn)行數(shù)據(jù)泄露。妨礙數(shù) 據(jù)的完整性和可用性也是潛在的目標(biāo)。或者， 入侵者可能只希望訪問初始受害者主機(jī)作為 一個(gè)跳板攻擊更多的系統(tǒng)和網(wǎng)絡(luò)內(nèi)部使用進(jìn) 行橫向移動。數(shù)據(jù) 執(zhí)行 保護(hù)HIDS根目防病錄變毒 更限制NIDS防火NIPSTarDN墻aclpitS重 定 向日志高蜜審計(jì)質(zhì)罐量 的 服 務(wù)NASA通過持續(xù)監(jiān)控的方法挫敗了針對其的APT攻擊黑客首先攻擊了RSA，獲取NASA的RSA的 根證書。開始APT攻擊NASA美國國家航空 航天局，但是黑客還需要一個(gè)重要的個(gè)人因 子（個(gè)人pin碼）沒有獲取。此時(shí)RSA發(fā)現(xiàn) 被攻擊后，不得已向聯(lián)邦政府進(jìn)行了匯報(bào)， 聯(lián)邦政

16、府立刻發(fā)布相關(guān)預(yù)警，于是NASA接 受到預(yù)警后，派在大數(shù)據(jù)方面最有經(jīng)驗(yàn)的地 球觀測系統(tǒng)（EOS）安全小組進(jìn)行監(jiān)控，EOS小組采用Splunk進(jìn)行分析，成功的阻斷 了攻擊，因此，美國的績效監(jiān)督管理中心為 表彰美國航空航天局的網(wǎng)絡(luò)防御成功，將其 作為信息安全連續(xù)監(jiān)測（ISCM）的一個(gè)聯(lián) 邦網(wǎng)絡(luò)安全最佳實(shí)踐予以確認(rèn)，并給予資金 和研究方面的資助，并將成果公開。NASA開始承認(rèn)他們以前的風(fēng)險(xiǎn)管理策略“等待” 事件發(fā)生，如果發(fā)現(xiàn)，就高效的響應(yīng)，然后重復(fù)。 這通常意味著NASA的反應(yīng)“非常緩慢，而且?guī)?乎總是在發(fā)生入侵，數(shù)據(jù)或系統(tǒng)完全破壞之后。” 此外，APT的0day攻擊使得持續(xù)風(fēng)險(xiǎn)管理策略根 本沒有起

17、作用，因此，數(shù)據(jù)、信息和系統(tǒng)的在風(fēng) 險(xiǎn)面前不斷的退讓。在2010年，美國頒布fisma2.0后，提出SP 800-37的原則是“將一個(gè)靜態(tài)安全控制評估和風(fēng)險(xiǎn)確 定過程變換為一個(gè)動態(tài)的過程”，“必須從分 散的文書評估工作（事后）轉(zhuǎn)移的更有效的持續(xù) 監(jiān)測工作（運(yùn)營）?！盢ASA的安全管理工作發(fā) 生了“方向的轉(zhuǎn)變”，在“只有能測量，才能改 進(jìn)”的經(jīng)營理念下，利用持續(xù)監(jiān)控來進(jìn)行風(fēng)險(xiǎn)度 量，提高安全性。其認(rèn)為3個(gè)關(guān)鍵成功點(diǎn)1、持續(xù)監(jiān)控2、風(fēng)險(xiǎn)積分卡3、基于大數(shù)據(jù)的可視化分析決策1、領(lǐng)導(dǎo)能力。OMB和NASA高級IT安全官員給了NASA EOS 安全小組重要的授權(quán)。2、人和軟件能力。有效的持續(xù)監(jiān)控需要復(fù)合

18、NIST SP 800-53技術(shù)控制點(diǎn) 要求的人力資源和軟件3、實(shí)時(shí)監(jiān)視和分析。IT安全專家能夠持續(xù)不斷的監(jiān)控和分析多源安全日志 是不可替代的。安全智能的挑戰(zhàn)-安全大數(shù)據(jù)難點(diǎn)10G的入侵檢測每天約200萬條告警。如果提煉出有效告警，為態(tài)勢感知和早期預(yù)警服務(wù)安全大數(shù)據(jù)美國奧巴馬政府去年就已宣布推出 “大數(shù)據(jù)的研究和 發(fā)展計(jì)劃”，將大數(shù)據(jù)上升到國家戰(zhàn)略，將把對數(shù)據(jù)的 占有和控制作為陸權(quán)、海權(quán)、空權(quán)之外的另一種國家核 心能力。在大數(shù)據(jù)這個(gè)新的領(lǐng)域，美國再一次走到了前 面。Gartner報(bào)告指出，最終安全大數(shù)據(jù)將演化為IT商業(yè)智 能發(fā)展趨勢的一部分，即結(jié)合信息安全情報(bào)和IT業(yè)務(wù)數(shù) 據(jù)，以提供更高水平的

19、業(yè)務(wù)情報(bào)。發(fā)達(dá)國家預(yù)警溯源平臺決策支撐系統(tǒng)（態(tài)勢感知，預(yù)警，溯源）大數(shù)據(jù)總線（多源安全數(shù)據(jù)，海量存儲，搜索挖掘）網(wǎng)絡(luò)檢測防護(hù)威脅感知DPI深度包檢測防護(hù)技術(shù)IDS，F(xiàn)W，AV，E-mail,DFI深度流檢測防護(hù)技術(shù)DDOS檢測，僵木蠕追蹤終端檢測防護(hù)資產(chǎn)及脆弱性感知終端安全資產(chǎn)，漏洞，配置數(shù)據(jù)安全身份，加解密事后追蹤溯源低成本，針對APT未知攻擊，保存較長時(shí)間1.網(wǎng)絡(luò)安全事關(guān)國家安全2.發(fā)達(dá)國家如何進(jìn)行態(tài)勢感知預(yù)警溯源3.團(tuán)隊(duì)?wèi)B(tài)勢感知、預(yù)警、溯源的成果已知威脅的感知溯源僵木蠕感知APT攻擊態(tài)勢感知DDOS態(tài)勢感知大數(shù)據(jù)網(wǎng)絡(luò)溯源系統(tǒng)APT未知威脅的感知溯源結(jié)語目錄監(jiān)測覆蓋性、連續(xù)性應(yīng)急響應(yīng)規(guī)范化

20、、流程化積極防御前瞻性、主動性網(wǎng)絡(luò)分析、威脅監(jiān)測標(biāo)準(zhǔn)化處置流程風(fēng)險(xiǎn)管理工具與過程已知威脅的警報(bào)基于簽名未知威脅的警報(bào)異點(diǎn)閥值威脅載體與異態(tài)整合邊界外的情報(bào)自動化工單處理(補(bǔ)救)歸并準(zhǔn)確的當(dāng)前信息用于協(xié) 作(知識庫/處理過程)數(shù)據(jù)關(guān)聯(lián)警報(bào)處理(可重復(fù)再現(xiàn)的事 件響應(yīng)處理過程)資產(chǎn)管理風(fēng)險(xiǎn)管理補(bǔ)救處理資源共享與協(xié)作共享經(jīng)驗(yàn)教訓(xùn)實(shí)時(shí)準(zhǔn)確的信息是最佳決策 構(gòu)成基本要素建立和維持規(guī)范化、適應(yīng)性 安全事件處置能力認(rèn)識信息與事件如何影響機(jī) 構(gòu)使命與及任務(wù)從反應(yīng)性、防御性的機(jī)構(gòu)遷移到一個(gè) 善于適應(yīng)環(huán)境的有機(jī)組織基本思路和FISMA2.0的目標(biāo)保持一致工作重心轉(zhuǎn)移到實(shí)時(shí)監(jiān)控并且在總體設(shè)計(jì)中整合網(wǎng)絡(luò)安全，而不是停

21、留在事后的追悔。新的指引改變關(guān)注點(diǎn)，從部門以及機(jī)構(gòu)開發(fā)靜態(tài)、基于文件的合規(guī)報(bào)告到持續(xù)的、實(shí)時(shí)監(jiān)控聯(lián)邦 網(wǎng)絡(luò)。同時(shí)正在建立以實(shí)時(shí)監(jiān)控為基礎(chǔ)的基于風(fēng)險(xiǎn)的績效評價(jià)，并且這個(gè)評價(jià)將最終被納入上級 官員績效考核。這個(gè)變化意味著機(jī)構(gòu)將能夠迅速地發(fā)現(xiàn)脆弱性并且主動地防范攻擊。2011年11月15開始，機(jī)構(gòu)必須通過一個(gè)基于Web網(wǎng)關(guān)平臺（網(wǎng)絡(luò)轄域：Cyber Scope），按月 提交報(bào)告。 2015 NSFOCUS, RSAC 2015 話題熱度安全大數(shù)據(jù)實(shí)踐-早期預(yù)警和安全態(tài)勢監(jiān)控2010年，某小型公司在重大事件點(diǎn)掃描某重要網(wǎng)站。20分鐘，從30臺IDS數(shù)據(jù)中，發(fā)現(xiàn)掃描行為,確定是非授權(quán)掃描。40分鐘，通過

22、公安電信追查到IP對應(yīng)ADSL地址，戶主。50分鐘，追查到戶主檔案資料。2小時(shí)，去現(xiàn)場將掃描服務(wù)器和主腦帶回協(xié)查。2012年，工信部檢查移動某系統(tǒng)，采用IDS進(jìn)行24小 時(shí)監(jiān)控，一旦發(fā)現(xiàn)掃描和上傳木馬遠(yuǎn)控，直接封源IP。 檢查組無法做滲透測試，順利完成檢查。2013年，某安全服務(wù)商因?yàn)槭跈?quán)掃描太頻繁，在城域 網(wǎng)監(jiān)控中威脅度較高，xx系統(tǒng)通知政府信息中心，從 此，某安全服務(wù)商無法訪問所有政府站點(diǎn)。1.網(wǎng)絡(luò)安全事關(guān)國家安全發(fā)達(dá)國家如何進(jìn)行態(tài)勢感知預(yù)警溯源團(tuán)隊(duì)?wèi)B(tài)勢感知、預(yù)警、溯源的成果已知威脅的感知溯源僵木蠕感知APT攻擊態(tài)勢感知DDOS態(tài)勢感知大數(shù)據(jù)網(wǎng)絡(luò)溯源系統(tǒng)APT未知威脅的感知溯源結(jié)語目錄20

23、13年僵木蠕態(tài)勢預(yù)警2013年完成，獲得2013年度技術(shù)大會一等獎(jiǎng)，2013年度全國優(yōu)秀項(xiàng)目實(shí)現(xiàn)了基于入侵檢測的病毒庫，信譽(yù)庫，木馬庫。實(shí)現(xiàn)了僵木蠕的行為關(guān)聯(lián)挖掘可視化分析結(jié)合業(yè)務(wù)實(shí)現(xiàn)了業(yè)務(wù)告警溯源。1.網(wǎng)絡(luò)安全事關(guān)國家安全發(fā)達(dá)國家如何進(jìn)行態(tài)勢感知預(yù)警溯源團(tuán)隊(duì)?wèi)B(tài)勢感知、預(yù)警、溯源的成果已知威脅的感知溯源僵木蠕感知APT攻擊態(tài)勢感知DDOS態(tài)勢感知大數(shù)據(jù)網(wǎng)絡(luò)溯源系統(tǒng)APT未知威脅的感知溯源結(jié)語目錄代號：鋼鐵俠基于對抗的智能態(tài)勢感知預(yù)警模型需要構(gòu)建多少個(gè)攻擊行為模型？DDoS與暴力破解趨勢DDoS類型攻擊比例暴力破解類型攻擊比例木馬、病毒事件Web攻擊事件主機(jī)漏洞攻擊事件態(tài)勢理解采用攻擊行為建模，

24、態(tài)勢預(yù)警采用攻擊推理樹威脅監(jiān)控采用“攻擊行為模型+時(shí)間序列模型”二維呈現(xiàn)方式1、安全分析師從歷史案件中進(jìn)行統(tǒng) 計(jì)分析，找出規(guī)律。2、攻防人員設(shè)計(jì)100多個(gè)攻擊場景， 進(jìn)行攻擊行為i建模，找出規(guī)律。將發(fā)現(xiàn)的規(guī)律轉(zhuǎn)化為行為規(guī)則模 型和特征規(guī)則模型。部署在入侵 威脅感知引擎中，在海量事件發(fā) 現(xiàn)可疑事件。通過智能推理模塊，形成可以處置的事件給用戶處置追查。威脅預(yù)警-可決策告警2014年，核心論文基于對抗的智能態(tài)勢感知預(yù)警模 型發(fā)表。獲得2014年技術(shù)大會2等獎(jiǎng)。2015年，林旭濱完成系統(tǒng)的核心原型系統(tǒng)搭建。核心點(diǎn)實(shí)現(xiàn)了態(tài)勢感知的態(tài)勢理解，通過“入侵威脅感知引擎”完成態(tài)勢理解，將日均20萬條基于特征的告

25、警提取出500條 基于行為的告警。正在和核心技術(shù)部一起完成態(tài)勢預(yù)測部分。這部分用決策推 理系統(tǒng)。下一代IDS很多特征支撐我們實(shí)現(xiàn)很多新的數(shù)據(jù)挖掘。1.網(wǎng)絡(luò)安全事關(guān)國家安全發(fā)達(dá)國家如何進(jìn)行態(tài)勢感知預(yù)警溯源團(tuán)隊(duì)?wèi)B(tài)勢感知、預(yù)警、溯源的成果已知威脅的感知溯源僵木蠕感知APT攻擊態(tài)勢感知DDOS態(tài)勢感知目錄大數(shù)據(jù)網(wǎng)絡(luò)溯源系統(tǒng)APT未知威脅的感知溯源結(jié)語代號：雷神異常流量監(jiān)控系統(tǒng)架構(gòu)基于大數(shù)據(jù)的流量自學(xué)習(xí)遠(yuǎn)程支撐，通過 郵件，工單進(jìn)行處置。 同時(shí)提供應(yīng)急響應(yīng)。DDOS事件監(jiān)控全局視圖和業(yè)務(wù)視圖結(jié)合。DDOS態(tài)勢可視化2015年，獲得P2SO一等獎(jiǎng)。核心點(diǎn)在DFI領(lǐng)域，目前只有在開發(fā)。從2007年NTA開始

26、， 到2014年，NTA2.0版本持續(xù)改進(jìn)。基于流量自學(xué)習(xí)的基線算法，刪除了大量誤報(bào)，原有NTA在2T流量上有上萬告警，NTA2.0僅僅有800條，使 得在大網(wǎng)上真正能夠監(jiān)控異常流量。在數(shù)據(jù)挖掘領(lǐng)域，告警和地理位置，業(yè)務(wù)系統(tǒng)的強(qiáng)關(guān)聯(lián)。 使得告警真實(shí)可處置。1.網(wǎng)絡(luò)安全事關(guān)國家安全發(fā)達(dá)國家如何進(jìn)行態(tài)勢感知預(yù)警溯源團(tuán)隊(duì)?wèi)B(tài)勢感知、預(yù)警、溯源的成果已知威脅的感知溯源僵木蠕感知APT攻擊態(tài)勢感知DDOS態(tài)勢感知4.大數(shù)據(jù)網(wǎng)絡(luò)溯源系統(tǒng)APT未知威脅的感知溯源5.結(jié)語目錄現(xiàn)有技術(shù)體系與國外進(jìn)行對比決策支撐系統(tǒng)（態(tài)勢感知，預(yù)警，溯源）大數(shù)據(jù)總線（多源安全數(shù)據(jù)，海量存儲，搜索挖掘）網(wǎng)絡(luò)檢測防護(hù)DPI深度包檢測防

27、護(hù)技術(shù)IDS，F(xiàn)W，AV，E-mail,DFI深度流檢測防護(hù)技術(shù)DDOS檢測，僵木蠕追蹤終端檢測防護(hù)終端安全資產(chǎn)，漏洞，配置數(shù)據(jù)安全身份，加解密事后追蹤溯源低成本，針對APT未知攻擊，保存較長時(shí)間未來能處理網(wǎng)內(nèi)多跳板攻擊。多跳板如何溯源廣州BR群集集團(tuán)骨干網(wǎng)西德勝廣州某重點(diǎn)業(yè)務(wù)清河 東廣州城域網(wǎng)CR佛山城域網(wǎng)CR深圳BR群集杭州BR群集溫州BR群集被控主機(jī)犯罪分子深圳城域網(wǎng)CR被控主機(jī)溫州城域網(wǎng)CR杭州城域網(wǎng)CR被攻擊 對象骨干網(wǎng)集團(tuán)溯源省網(wǎng)溯源城域網(wǎng)市溯源6.通過數(shù)據(jù)庫文件獲取密碼登錄數(shù)據(jù)庫網(wǎng)內(nèi)多跳溯源Console服務(wù)器數(shù)據(jù)庫服務(wù)器流量采集器流量采 集器ESPCATMATM已經(jīng)被攻陷的EC

28、C終端1.攻擊者發(fā)現(xiàn)開發(fā)測試區(qū)ATM系統(tǒng)存在JBoss漏洞2.攻擊者成功驗(yàn)證生產(chǎn)區(qū)ATM系統(tǒng)也存在該漏洞3.攻擊者將webshell上傳至匿名FTP服務(wù)器上4.遠(yuǎn)程安裝生產(chǎn)區(qū)ATM系統(tǒng)上5.通過webshell讀取web文件和數(shù)據(jù)庫文件Jboss漏洞：默認(rèn)安裝，匿名登錄控制臺驗(yàn)證生產(chǎn) 區(qū)ATM也 存在漏洞已經(jīng)被攻陷服務(wù)器，開 啟匿名FTPWebshell讀安 取裝 數(shù) 據(jù) 庫 文 件，上傳webshell獲取數(shù)據(jù) 庫賬號， 偷取數(shù)據(jù)全包溯源成本是我們不能接受的，我們需要一個(gè)低成 本的溯源系統(tǒng)，我需要知道在過去3個(gè)月中。那些數(shù)據(jù)和信息進(jìn)出企業(yè)網(wǎng)絡(luò)。那些電腦和設(shè)備在企業(yè)網(wǎng)絡(luò)中使用。誰在使用企業(yè)網(wǎng)絡(luò)

29、。大數(shù)據(jù)安全分析系統(tǒng)BSA為這個(gè)提供了可能。解決方案架構(gòu)數(shù)據(jù)應(yīng)用層掃描器/入侵檢測/NETFLOW/多源安全數(shù)據(jù)其它支撐系統(tǒng)安全大數(shù)據(jù)分析系統(tǒng) 數(shù)據(jù)呈現(xiàn)層態(tài)勢感知+風(fēng)險(xiǎn)計(jì)分+追蹤溯源+云服務(wù)DDOS態(tài)勢DDOS態(tài)勢外發(fā)DDOS業(yè)務(wù)監(jiān)控僵木蠕態(tài)勢僵木蠕態(tài)勢僵木蠕預(yù)警僵木蠕生存APT威脅態(tài)勢入侵威脅態(tài)勢APT攻擊態(tài)勢攻擊預(yù)警信譽(yù)云傳感器態(tài)勢分析/風(fēng)險(xiǎn)計(jì)分企業(yè)安全大數(shù)據(jù)總線數(shù)據(jù)存儲層企業(yè)ESB（大數(shù)據(jù)總線）高性能內(nèi)存數(shù)據(jù)庫工作資產(chǎn)多源信譽(yù)MQ消息中間件NOSQL分布式數(shù)據(jù)庫群集/搜索引擎式數(shù)據(jù)庫流引數(shù)據(jù)安全情報(bào)擎庫數(shù)據(jù)庫群集維護(hù)/負(fù)載分擔(dān)Hadoop分布式存儲管理持續(xù)監(jiān)控?cái)?shù)據(jù)接口層外部管理接口信譽(yù)情

30、報(bào)庫分布式引擎數(shù)據(jù)采集接口MQ消息中間件溯源追蹤多級DDOS溯源C&C溯源情報(bào)溯源數(shù)據(jù)外泄溯源僵木蠕溯源地圖挖掘資產(chǎn)管理資產(chǎn)配置工作流引擎 第三方接口 資產(chǎn)計(jì)分 地址庫管理脆弱態(tài)勢CMaaS云服務(wù)脆弱可視化持續(xù)監(jiān)控上線管理網(wǎng)站監(jiān)控報(bào)表美國非常重視愛因斯坦計(jì)劃的溯源Cisco 公司的 Darren Kerr 和 Barry Bruins 在1996年開發(fā)設(shè)計(jì)初衷是一種轉(zhuǎn)發(fā)路徑，其提供的信息價(jià)值后來被二次發(fā)現(xiàn)NetFlow 現(xiàn)在是業(yè)界基本的流量分析和網(wǎng)絡(luò)計(jì)費(fèi)技術(shù)，也是為主流的異常流量分析和網(wǎng)絡(luò)數(shù)據(jù)溯源分析技術(shù)。解決關(guān)于IP 流量的5W 問題: 誰, 什么, 何地, 何時(shí), 如何與NetFlow兼容

31、的其它技術(shù)：Netstream, J-flow。目前netflow支持非常廣泛， 路由器，目前虛擬化交換機(jī)都已經(jīng)支持，我司的IDS/IPS都準(zhǔn)備在2015年8月份支持。防火墻產(chǎn)品目前華三、cisco都支持（如NSEL。Netflow的防火墻優(yōu)化版本）xflow流溯源的代表netflow技術(shù)介紹Source IP address Destination IP address Source port Destination portLayer 3 protocol type TOS byte (DSCP)Input logical interface (ifIndex)輸出數(shù)據(jù)流溯源系統(tǒng)能做什么解

32、決三個(gè)問題實(shí)時(shí)和歷史的查詢網(wǎng)內(nèi)IP流量的5W（誰，什么，where， 何時(shí)n，IP流量為多少）.安全事件發(fā)生后，能夠溯源分析出事件相關(guān)IP流量的5W1H。如誰登陸過這臺主機(jī)，外泄了xxG的資料。流量性業(yè)務(wù)故障發(fā)生后，能夠溯源分析故障相關(guān)IP流量的5W1H。IP 流量的5W 問題：誰who，什么why，何去何 從where，何時(shí)when，IP 流量為多少what.功能子功能描述流量分析溯源流量溯源查詢現(xiàn)有NTA產(chǎn)品功能強(qiáng)化，可以分析正常任意IP見的訪問流量。漸進(jìn)式數(shù)據(jù)挖掘類似老版本NTA的流量挖掘，新版本類似功能正在開發(fā)。原始日志查詢導(dǎo)出解析后原始流記錄，統(tǒng)計(jì)報(bào)表形成統(tǒng)計(jì)報(bào)表功能。多級溯源提供多

33、級溯源能力。安全溯源DDOS溯源非常重要，基于流量分析溯源功能，提供場景化的分析。完成特殊用途。結(jié)合信譽(yù)、情報(bào)，可以發(fā)揮更多安全用途。僵木蠕溯源數(shù)據(jù)外泄溯源APT攻擊事件溯源異常登錄溯源排障溯源流量排障溯源客戶比較關(guān)注，基于流量分析溯源功能，提供場景化的分析。完成特殊用途。訪問排障溯源業(yè)務(wù)健康溯源未來擴(kuò)展-實(shí)時(shí)監(jiān)控白環(huán)境監(jiān)控提供優(yōu)化白環(huán)境的解決方案。解決10G以上白環(huán)境。非法通訊監(jiān)控設(shè)定特定通訊端口黑白名單。觸發(fā)告警。特定業(yè)務(wù)流量實(shí)時(shí)分析提供設(shè)定好的重要資產(chǎn)實(shí)時(shí)分析能力。新方案-APT攻擊溯源傳統(tǒng)的溯源關(guān)注點(diǎn)僅僅是流量，DDOS攻擊。的溯源方案更加強(qiáng)了APT攻擊溯源，業(yè)務(wù)排障等安全功能新架構(gòu)-

34、大數(shù)據(jù)的溯源低成本：傳統(tǒng)的采用高昂的oracle數(shù)據(jù)庫，大群集，成本高昂。易擴(kuò)展：可擴(kuò)容站的溯源系統(tǒng)采用nosql分布式群集，通過分布式來解決大群 集擴(kuò)展等難題。高性能：引入內(nèi)存數(shù)據(jù)庫，流計(jì)算等新技術(shù)，結(jié)合群集技術(shù)，使得在任意上億級 別的flow查詢過濾在200毫秒，TOP N 統(tǒng)計(jì)在5s內(nèi)。（傳統(tǒng)集中式數(shù)據(jù)庫溯源非常 慢。）多種數(shù)據(jù)挖掘方法采用大數(shù)據(jù)結(jié)構(gòu)，引入多種數(shù)據(jù)挖掘方法，如漸進(jìn)式挖掘。地圖挖掘等。分布式為地圖挖掘提供很好支撐。方案亮點(diǎn)在一億條數(shù)據(jù)中，進(jìn)行分組查詢，查詢流量，好 事1004毫秒，1.004秒。海量flow進(jìn)行流量還原可以把任意IP流量進(jìn)行地理還原實(shí)際上這個(gè)是目前最大的性能瓶頸。分布式最好 提前處理。針對每個(gè)流可以進(jìn)行地圖挖掘通過溯源跟蹤全網(wǎng)僵尸網(wǎng)絡(luò)2006年夏，美國農(nóng)業(yè)部(USDA)的一些計(jì)算機(jī)感染蠕蟲，這些設(shè)備開始掃描網(wǎng) 絡(luò)連接尋找其他的有弱點(diǎn)的設(shè)備以建立一個(gè)僵尸網(wǎng)絡(luò)(Botnet)，直至美國農(nóng)業(yè) 部(USDA)計(jì)算機(jī)試著去侵染美國交通部(DOT)的時(shí)候蠕蟲才被發(fā)現(xiàn)。惡意活動 被美國交通部(DOT)捕獲，因?yàn)槊绹煌ú?DOT)已參與國土安全部(DHS)監(jiān)控 機(jī)構(gòu)網(wǎng)絡(luò)網(wǎng)關(guān)異常通信量分布情況的愛因斯坦計(jì)劃。可以對任意IP進(jìn)行分析。分析統(tǒng)計(jì)流量分析訪問的來源。TOP10漸進(jìn)式分析流量組成。地圖挖掘。