安全态势感知平台2.0融入大数据人工智能技术
态势感知2.0平台,在技术要素层相较于1.0而言更为丰富和更具先进性,其融入了大数据技术、人工智能技术、云安全技术、自动化防御及响应技术、威胁情报等等,使整个态势感知2.0平台适用性更为广泛,其提供的服务领域也逐渐增多,同时它也促进了安全行业的整体发展和进步。
具体融入的技术包括如下几个部分:
01 获取层融入新技术
在获取层融入的新技术有 VxLAN 和东西向流量获取技术。
在All in Cloud的大环境下,云计算平台使用的网络相较传统IDC网络结构已发生了根本性的变化。它广泛采用了先进的SDN技术;一般而言传统IDC环境下南北向访问流量占 80%,而东西向访问流量占20%,因此在核心交换机上采集即可满足数据分析的需求;而在All in Cloud的环境下访问流量走向则是东西向流量偏多,南北向流量相对偏少;因此仅在核心交换机采集流量数据是无法满足态势感知的需要的。故在充分分析南北向流量和路径后,有针对性地选择在关键位置部署流量采集探针,同时采集虚拟主机层东西向流量来满足态势感知要求。
另外针对物联网(Internet of Things,IoT)技术的发展,支持多协议和兼容将是一大趋势,大多数 IoT 设备采用无线通信技术,在这一环境下采集数据将是一个挑战。
02 理解层融入大数据
理解层融入Hadoop、Storm、Spark、ES、Flume、Kafka、Hive、Hbase 等新兴大数据技术,用来对日志进行处理、分析、存储和挖掘等。
例如采用Storm对数据流进行实时处理,可以实现近乎实时的风险发现功能,相较于以前的离线数据分析技术,可有效缩短安全预警时效。
采用了大数据平台后,有效地提升了数据分析效率,可在短时间内对大批量数据进行分析和比对,有效发现潜在安全风险和实现提前预测风险。
03 评估层融入新模型
评估层在统计、规则和特征型的规则上融入数据挖掘、关联分析、智能分析模型;从数据仓库中收集的安全设备日志、网络日志、应用日志、终端日志以及第三方的威胁情报数据等。
收集到的信息和安全事件通过检测分析引擎统计分析、关联分析、模式分析、机器学习发现高优先级安全事件,将发现的高优先级事件反馈到运营系统中,同时发现的高优先级安全事件将存储到数据样本库、知识库(案例库)中,便于后期的溯源和分析。
1关联分析模型关联模型通过实时关联技术过滤事件,在大量安全事件(甚至是误报事件)中提取有用的信息。例如登录异常、漏洞利用、蠕虫活动、网络入侵、主机失陷等,关联分析模型主要包括以下几个不同类型:
-
基于端口的关联:开放端口的数据与防火墙数据进行关联分析,帮助检测攻击者何时尝试访问系统端口或不存在的服务,从而发现低慢攻击;
-
基于安全事件的关联:安全设备告警事件之间进行实时关联分析,减少事件误报,提高告警准确率;
-
基于统计的关联:对每个类别的事件设定合理的阈值,当超过阈值可以产生一个更高级别的安全事件,同时与资产或其他安全事件进行关联,判断某个安全事件造成的影响和后果。
机器学习主要是使用算法和统计方法创建能够学习的系统。系统可以从采集的数据中学习,形成一个具有相关特征的分析模型。通过模型训练,完成IP非正常访问、账户安全、XSS攻击、SQL注入攻击、JavaScript脚本注入等威胁的检测任务。
3攻击回溯分析模型通过对收集的数据和安全事件分析,从恶意程序感染、异常连接、C&C、传播、数据泄露等维度检测未知威胁。当攻击和规则模型关联后,自动从知识库调用相关知识信息,包括影响主机、影响用户、root事件、连接和所有行为的时间轴轨迹,作为辅助参考。同时取证结果收入数据样本库、知识库(案例库)。
4用户行为分析模型以部门、个人、资产、资产群等为单位建立多维度行为基线,利用统计、特征、机器学习算法和预定义规则学习每个用户和设备的正常行为基线,通过关联分析和概率计算,计算用户异常分值以便及时发现异常的用户、恶意的内部用户和攻击者。
5场景分析模型场景分析主要依据攻防、渗透经验和大数据分析技术检测网络中的威胁,解决了规则判定时,无法确定具体阈值的问题,根据企业组织中的网络特点和经验判断异常行为。
常用场景如下:
-
创建非管理员用户后的权限升级,非管理员用户一般不会将其权限提升到管理员级别,或其他高级用户级别;
-
文件非授权访问,在很接近的时间内多次尝试访问用户没有权限的共享文件/目录;
-
DNS 隐蔽隧道,通过数据包关键字段异常的编码监测,支持如下的DNS隐秘隧道发现:通过超长域名信息传递数据、通过txt请求传递数据、通过AAAA 记录传递数据等。数据泄漏,VPN用户在工作时间外登录并向外网传输数兆字节或更多(VPN 连接期间)数据;
-
蠕虫/木马/恶意软件攻击,网络上一台主机开始攻击或探查网络上其他主机;
-
高风险主机检测分析,通过 DNS 解析行为分析服务器或终端的异常行为。可以确认已知、未知的恶意软件、APT攻击以及实时监测内部的威胁。
04 展现层融入新态势
在展现方面融入热力图、地理信息、威胁指数等元素,通过与资产、事件、漏洞、威胁、风险及告警相关联分析,产生可视化的预测视图。
使用可视化技术,将原本碎片化、零散化的行为告警、安全态势、资产管理等智能综合分析展现,形成多维度的安全态势感知展示,帮助安全运营人员及时理解、定位问题。
1整体威胁态势通过风险计算模型,综合考虑资产的价值、脆弱性和威胁,按高危、中危、低危安全级别分类统计。同时通过中国地图以热力图形式展现资产的地理位置、个数和威胁指数;通过世界地图热力图查看攻击源,计算整体业务安全风险值,获取发起最多攻击次数的源IP列表,以雷达图显示最近的攻击类型,最近的攻击源分析。
2业务资产风险态势对管理对象划分安全域,并进行资产化管理,可以自定义监控区域。提供基于拓扑的监控视力,可以按图形化拓扑模式显示资产,通过视图可直接查看该资产的状态、事件、漏洞、威胁、风险及告警信息。
3外部攻击态势利用时序图实时展示安全攻击事件数量,并按照攻击类型、受影响的 IP,受攻击的专业公司展示安全攻击事件,同时实时滚动显示最近攻击事件。
4内部攻击态势内部安全态势展示已发现的安全事件,能够按照时间段以木马蠕虫、漏洞、流量、恶意软件为视角,进行安全事件的展示。从告警、处置、资产、日志、系统维护、类型、分布多个维度实时进行安全事件统计分析,并以2D/3D、柱图、饼图、堆叠图等形式进行可视化的展示。
5数据安全态势数据安全态势,对企业组织的数据进行全面监测,与用户行为模型结合,依据相应业务场景,发现数据的不正当访问与调用、数据的异常流动等行为,从类型、用户、资产等维度在统一视图中展示。
6审计视图运营人员可以根据内置或者自定义的审计策略,从事件的任意维度实时观测安全事件的走向,并可以进行事件调查、取证,并进行事件行为分析和来源定位。
在行动层融入流行的工作流引擎,如JBPM、Activiti、OSWorkflow工作流引擎使已知风险处理更高效和可追溯,同时融入告警和事件管理使整个安全风险处置形成一个闭环,从而提高在风险处置环节的效率。