用 “大数据+AI”,构建威胁情报生态

安全牛
当前,网络安全威胁日益突出,勒索病毒、APT 等网络攻击愈演愈烈,呈现多样化、复杂化、专业化的发展趋势。

当前,网络安全威胁日益突出,勒索病毒、APT 等网络攻击愈演愈烈,呈现多样化、复杂化、专业化的发展趋势。《网络空间安全蓝皮书》称,网络冲突和攻击成为国家间对抗主要形式,就在刚刚发布的《2018年我国互联网网络安全态势综述》中数据显示,来自美国的网络攻击数量最多。

如何有效地检测 APT 等网络攻击?利用威胁情报数据,借助大数据分析和人工智能技术,是目前最有效的手段。

安恒信息首席科学家刘博表示,从生产高质量威胁情报,到使用威胁情报完善安全体系,这个过程中充满各种挑战,难以依赖单方面的力量,这就需要构建完整的生态。

世界各国网络空间战略和政策也都指明了,需要加强网络威胁情报和信息共享能力建设。2015年,美国发布《国家安全战略》,设立“网络威胁情报整合中心”;欧盟发布五年《欧盟安全议程》(2015-2020),主要包括加强欧盟成员国之间的信息共享,增强欧洲刑警组织与各成员国的合作等。

安恒首席科学家刘博认为,网络空间威胁情报能力的建设,需要从融合威胁情报数据、“大数据+AI” 智能分析、协同处置等角度着手,形成流程的闭环。

融合:构建大数据多源情报生态

威胁情报能力的基础,是威胁情报的收集。安恒的威胁情报从何而来?主要包含以下几个渠道:

1. 云端监测:安恒玄武盾每日产生数亿攻击日志

2. 全网蜜罐/流量捕获:美欧日等全球各地部署蜜罐流量探针

3. 网络空间测绘:每周更新全球43亿资产信息

4. 国内外开源/商用情报:200+开源与商用情报源

5. 安恒用户分析情报:安恒各类设备,服务分析经客户允许后产生的精准情报

6. 威胁情报联盟共享:CNCERT 等联盟情报共享

图:多源威胁情报

安恒信息依托 SaaS 监测服务、云防护服务、蜜罐网络、全球资产探测等能力,同时集成国内外200余家情报源,采用云沙箱、机器学习与专家分析等方式,提炼形成面向服务器安全的高质量威胁情报中心—— IoC 信誉库、网络资产库、安全事件库、专家情报库四大核心情报库。

细化来看:

1. 威胁捕获:捕获全球恶意攻击样本

安恒蜜罐虚拟出网络信息系统来吸引攻击者攻击,对恶意代码和攻击行为的信息采集和分析,形成安全威胁情报,集中到安恒数据大脑(态势感知平台威胁情报采集中心),为攻击检测策略提供参考。

2. Sumap 网络空间测绘:发现全球资产风险

Sumap 全球网络空间超级雷达,43亿 IP 扫描空间,利用全网快速扫描引擎,2小时全网极速扫描,完成全网资产探测、漏洞扫描和风险趋势分析。4年多的全球扫描数据积累,利用异步无状态的批量横向资产检测技术,形成全球资产指纹画像与风险库。

图:海量指纹与风险库

3. 国内外开源/商用情报/威胁情报联盟共享

安恒数据大脑集成了开源情报、商用情报、战略情报、机读情报、威胁情报联盟共享等多维情报,形成威胁情报生态。

4. 风暴中心云端情报

玄武盾云防护平台每天数亿的访问与攻击数据提炼高质量的漏洞利用,黑产组织,最新攻击样本等情报。先知云监测平台积累多年的资产,域名,指纹,漏洞,事件等情报数据,并实时对超过600万的重要系统监测。

安恒信息将来源于网络空间测绘、大数据智能安全分析 (AI)、网络流量分析 (NTA)、高级威胁监测 (APT)、用户行为分析 (UBA) 的本地化威胁情报,借助智能安全分析提炼高价值威胁情报,以提高安全事件的检测效率和精准度,辅助态势感知。

智能分析与威胁情报结合:大数据+ AI

面对海量告警的信息过载,我们如何实而不虚的发挥数据和情报的价值?在我们过去的探索中,我们发现有效融合情报的能力作为关键要素,能帮助安全运营人员快速、精准的识别受攻击对象和完成攻击者画像。

利用大数据和人工智能技术,能有效地发挥威胁情报的价值,应用于多个场景:

1. 全局监控与感知

借助安恒 AiLPHA 深度感知智能引擎 DSI,全面多维度特征提取与画像,通过聚类异常模型、时序基线异常模型等机器学习算法模型与威胁情报相结合,提高准确率与检新率。

2. 加密流量处理——监督式机器学习

据 Gartner 预测,到2019年,80%的网站流量都会被加密。攻击者可利用加密流量进行 APT 攻击。安恒信息利用背景流量数据 (contexual flow data) 识别 TLS 加密恶意流量,采用 SVM 等分类器 (有监督机器学习) 对加密流量的高维特征空间进行分类,结合威胁情报从而识别加密的恶意流量。

3. 基于边界流量中的威胁检测预警

通过近百次安保实践,安恒信息发现每一百台服务器当中事先植入后门的比例是29%,内网出现已经沦陷主机的概率接近100%。安恒信息凭借大数据威胁情报和全流量的能力支撑,对网络流量进行实时分析和检测,对可疑网络行为进行告警,全方位发现失陷主机、从海量攻击事件中识别针对性攻击。

4. 高级威胁检测 (APT)

通过对攻击行为的模型/知识库与检测告警结合威胁情报分析,判断意图明确的针对性攻击、预期有严重影响的入侵行为、APT 组织等。

协同处置:SOAR智能研判、编排与响应

威胁情报需要形成一个闭环,通过 SOAR 智能编排技术,将人、技术和流程整合,提供快速智能的研判和应急响应能力,自动化分析研判、处置联动、通报预警,流程化完成事件管理,提高协作沟通效率。

1.通过制定安全分析规则、统计模型,进行网络安全事件实时监测;

2.当发生安全事件快速进行攻击来源分析、攻击上下文分析、安全事件逻辑关联分析;

3.对攻击者进行威胁情报碰撞、攻击指纹分析、攻击特征分析

4.对影响范围分析,分析攻击目标,确定攻击的影响范围

5.通过智能研判,确定安全事件的性质、攻击来源、危害程度等

6.进行智能相应,例如:联动处置、通报预警、自动分析报告、对接工单平台。

2017年某省公安厅举行网络安全攻防应急演练,安恒信息为其提供技术保障。

技术支持:给演练提供了场地、网络、攻击 IP、现场监控、安全实时检测、漏洞记录平台及攻击进展情况大屏展示等全方位技术保障。演练全程采取“背靠背”的方式进行,即事先不通知、攻击源不明确、攻击目标不明确、攻击手段不明确,完全接近于实战。

演练成果:攻击方累计发起了15万次攻击,采用多种攻击手段,发现问题超过百处,典型问题包括弱口令、文件上传、命令执行、逻辑漏洞等。提升被攻击目标防御和应急处置能力,同时锻炼了浙江网警接警、出警、取证的能力。

威胁情报应用:蓝方安全设备发现一个攻击行为,快速研判攻击,将该攻击以情报方式共享至情报中心,海量的情报数据通过大数据 AI 算法提高情报准确率后,同步给其他安全设备,对下次访问流量进行情报碰撞,快速预警。

知己知彼,方能百战??????不殆。威胁情报作为网络空间治理的重要一环,需要政府部门、科研院校、网络安全企业、运维服务支撑单位、行业安全专家等形成情报协同、数据协同、能力协同,共同构建网络空间治理与协同防御能力体系。

THEEND

最新评论(评论仅代表用户观点)

更多
暂无评论