正文

基于大数据平台的应急支撑

admin
admin V管理员 /0 评论 /7 阅读
0116
文章最后更新时间2025年01月16日,若文章内容或图片失效,请留言反馈!

大数据安全的一个方向是,利用大数据技术为网络安全保障提供有力支撑和创新方案,在应急响应的框架内,主要包括威胁情报和态势感知两类技术体系,从数据来源的角度区分,威胁情报主要针对网络外部信息进行收集,态势感知以内为主,内外结合。这两种产品均属于平台级产品,包含了大量的处据收集、处理分析和展现技术,例如上文中提到的蜜罐系统,也可以作为情报采集方式之一。

1.威胁情报

情报就是一种信息,通常表达一种知识或事实,是生产、生活和军事中的决策依据;而网络安全中的威胁情报,是指那些对网络安全不利的情报总称,包括环境、机制和技术上的安全隐患、威胁和事件信息,即收集、评估和应用关于安全威胁、威胁分子、攻击利用、恶意软件、漏洞和漏洞指标的数据集合。威胁情报系统包括情报收集、情报加工、情报分析和安全决策4个部分。其中后两个部分往往结合人工完成,信息技术只是辅助进行安全决策。越来越多的用户从关注已知威胁过渡到针对未知威胁的预警及防御,而这一能力也需要基于威胁情报的不断积累,并结合大数据分析、多组织协作等方式方法,进而将之变得稳定可用,才有可能从已知向未知跨越。比如,通过收集情报,某网络游戏服务提供组织获取到如下信息。

①特定版本的内存缓存(以下简称Memcached)内数据缓存库出现漏洞,允许远程设置键值对。

②某黑客论坛出现了利用该观点验证程序(Proof of Concept,POC)和权限受限的利用程序(Exploit,EXP)下载链接。

③国际上出现了利用Memcached反射放大的分布式拒绝服务攻击(Distributed Denial of Service,DDoS)攻击域名服务器(Domain Name Server,DNS)的通报。

④参与过某大型DDoS 攻击的IP 地址发起了针对国内某些服务器的11211 端口扫描。

⑤这个IP地址隶属于某特定国家,有同类型的游戏服务提供商。

综合利用上述情报,游戏服务提供组织能够得出结论:有可能因同行竞争而导致国外组织利用Memcached漏洞对其发动DDoS攻击。

2.态势感知

态势感知(Situation Awareness)这一概念源于航天飞行的人因(Human Factors)研究,此后在军事战场、核反应控制、空中交通监管(Air Traffic Control,ATC)以及医疗应急调度等领域被广泛地研究。态势感知之所以越来越成为一项热门研究课题,是因为在动态复杂的环境中,决策者需要借助态势感知工具显示当前环境的连续变化状况,从而准确地做出决策。

网络安全态势感知是指在网络环境中,通过采集资产、网络通信、计算环境、业务应用、脆弱性、安全事件、运行状况、审计日志和威胁情报等数据,利用大数据技术和机器学习技术,分析网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势,获取、理解、回溯、显示能够引起网络态势发生变化的安全要素,预测网络安全态势及发展趋势。态势感知系统的出现主要是因为传统的安全防御技术在网络安全应急响应的概念范畴内,无法有效缩短安全事件的检测时间和提高检出率,总的来说,态势感知系统的出现,主要是解决以下问题。

(1)传统安全防御手段的局限性

传统安全防护手段所采用的技术和产品通常都是基于

单点的检测分析,获取的数据类型单一,无法实现对告警信息的二次验证,无法联动不同网络位置的设备,无法进行联动分析,难以区分有效攻击。

传统安全防护手段所采用的设备和产品都是基于已知规则检测,这些规则都是基于已知的安全事件或者威胁、漏洞等分析和归类生成的检测规则,无法应对未知漏洞(0day)、未知恶意代码攻击、低频行为攻击等未知威胁事件的检测。

传统安全设备和产品由于数据来源单一且无法提供安全事件持续跟踪计算所需的资源等,无法对异常行为自学习、无法预知攻击特征等,因此对APT攻击就表现得束手无策。

(2)对攻击行为的准确溯源

通常攻击者在发起一次攻击行为前会精心策划,经过多次的尝试攻击才会发起一次真正的攻击。例如,通过有针对性的扫描探测弱点、编写针对性攻击绕过杀毒软件和其他拦截设备的工具或脚本、本地突防的利用、通信信道的建立等,保证每次发起攻击都非常精准、隐蔽,使得安全人员难以获取攻击线索,无法跟踪分析,不能做到对安全事件追踪溯源。

(3)海量异构数据的存储和检索

对安全事件的运维处置,特别是针对持续性的高级攻击行为的处理需要从本地收集的海量数据中进行快速检索,要求本地设备需要支持海量的数据存储、检索和多维关联能力。通常需要检索网络全流量数据、主机日志、网络设备日志、应用系统日志等大量结构化、非结构化以及半结构化数据,无法进行直接检索,导致安全人员无法在海量数据中检索出想要的关键信息。

(4)对安全问题的深度挖掘

通常持续性安全攻击行为和未知威胁的检测发现需要信息安全监测、分析和威胁发现能力,主要涉及异构数据的采集技术、全流量数据的解析还原技术、威胁情报的利用分析技术以及异常事件识别技术和安全威胁等级定级评估技术等,最终实现对持续性攻击行为的跟踪和未知威胁的发现能力。仅依靠传统的安全防护方法无法实现这些能力,需要借助大数据技术提供的超大规模计算和分析能力。

5)形成快速告警和响应机制

除了事前监测、事中通报以外,发生问题第一时间的应急处理机制是网络安全监管部门所迫切需要的。当发生网络安全事件时,应急处理机制不仅提供有效的业务指导和技术支撑,还提供快速有效的应急防护体系,并在事后提供日志分析、数据恢复(避免黑客攻击后删除痕迹)、攻击验证等系列技术手段。

利用网络沙盘、流程图、计算机模拟、视频会议等辅助手段,依据应急预案对事先编制的场景而进行交互式讨论和推演应急决策及现场处置的过程。


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下