提升基于网络大数据的安全分析能力

提升基于网络大数据的安全分析能力
云晓春 2014-05

美国曼迪昂特公司发布报告
《高级可持续性威胁 中国网络间谍部队揭秘》
历时6年追踪141家遭受攻击 企业的数字线索，声称“总 部设于上海浦东一栋12层建 筑内的中国人民解放军 61398部队”发动了对美国 的黑客攻击。 定位到楼

斯诺登曝光美国“棱镜计划”等多项国家级网络监控项目
美国情报部门
从2009年就开始发动黑客攻击中国网络， 其攻击目标达上百个，包括大学、商业机 构以及政界人士
美国国家安全局TAO小组
在过去的15年内，已成功渗透进入中国 计算机及电信系统
我们发现了多少？

我们发现
90 2% 针对我国的钓鱼站 90.2%
点位于境外
有4240个IP承载30199个针对我 国境内网站的仿冒页面，分别增长 35 4%和64 6% 35.4%和64.6% 从承载钓鱼页面数量看，美国居 首，其次是中国香港和韩国

我们发现
能 细粒度 能更细粒度吗？
1090万 台境内主机被 2.9万 个境外服务器控制
位于美国的控制服务器有8807 台，虽然总体数量上较以往有 所下降，但在境外控制服务器 的占比却增长至30.2% 的占比却增长 控制服务器占比位列第二、三 位的是韩国和中国香港 分别 位的是韩国和中国香港，分别 为7.8%和7.7%

我们发现
2013年境外通过植入后门控制境内网站数量TOP10
18000 16000 14000 12000 10000 8000 6000 4000 2000 0
美国 中国香港 韩国 菲律宾 德国 日本 乌克兰 中国台湾 印尼 新加坡
6.1万 个境内网站被 3.1万 台境外主机控制
被控制的境内网站数量大幅增长 45.5% 美国居首，控制境内15349个 网站，增长52.9%；
15349 13116
7052 5460 5250 4634 2818 2251 2098 1635
其次是中国香港和韩国，分别控 制了境内13116和7052个网站

我们发现
还有多少没发现的？
2013年我国境内1.5万台主机被APT木马控制。政府机构、基础电信企 业、科研院所、大型商业机构的网络信息系统多次遭受攻击

我国网络安全应急能力的能力与不足
缺乏及时应对 重大突发事件 的决策能力 应急处置效果 评估能力不足 大量网络安全事件的处置经验 网络大数据或 许是求解之匙
有效处置
范围外 的攻击 事件无 法追踪 攻击还 原及网 络层追 踪能力
全面 追踪 及早预警
及时 发现
多层次 和覆盖 广的监 测体系
基础资源 掌握不全
未知漏洞和 未知攻击监 测能力不足
网络安全状态的全面感知能力 缺乏对APT攻 击的溯源手段 有态无势：微观事 件的预警能力不足 宏观状态评估 的准确性不足

大数据时代来了
互联网、物联网、云计算等新型网络技术的蓬勃发展，数据总量已经从 2011年1.8万亿GB（0.17Z），2012的2.7ZB，2013年约4ZB（来自 Internet Data Center，互联网络数据中心），大数据时代到来。
2020年，大数据应用普及，数据量在35.2ZB 2016-2020年，大数据解决方案将成熟，智能程度将 2016 2020年 大数据解决方案将成熟 智能程度将 大幅提升 2015年，预计大数据生态环境将完善，行业应用将增加
成长与成熟阶段 快速发展阶段 初始 阶段
2012年，美国投入2亿美元启动“大数据研发计划”，提升到 其国家战略层面 年， / / 联合成 大数据研究实验机构 ，大数据 2011年，IBM/SAP/BVIC联合成立“大数据研究实验机构”，大数据 理念推广 2010年，全球数据量跨入ZB时代
2020
2010 2011 2012 2015

网络大数据呈现出4V特征
规模大
变化快
种类多
价值高
?用户众多 ?总量庞大 ?分布广范
?用户强交互性 ?跨多通道快速传播 ?传播行为复杂
?数据源多样 ?数据类型多样 ?交互方式多样 交 方式多样
? 商业分析 ? 政府决策 ? 舆情调查

网络大数据安全分析能解决什么问题？
网络中有无安全威 胁？有哪些安全威 胁？
感知安全威胁
评估安全状况
追溯安全根源
预测安全趋势

网络大数据安全分析能解决什么问题？
安全威胁的分布范 围？影响程度？处置 效果？ 评估安全状况
感知安全威胁
追溯安全根源
预测安全趋势

网络大数据安全分析能解决什么问题？
感知安全威胁
评估安全状况
安全事件可能的 走势？ 追溯安全根源 预测安全趋势

网络大数据安全分析能解决什么问题？
感知安全威胁
评估安全状况
安全事件的起 因？攻击源头？ 追溯安全根源 预测安全趋势

基于网络大数据的安全分析流程
任务
? 抽象安全场景 ? 确定安全目标
建模
? 了解数据源 ? 理解数据 ? 构想模型
测试
? 选择控件 ? 设计流程 ? 小样本单步测试 ? 多维度验证
模式库
? 确定分析逻辑 ? 设置合适参数 ? 固化模式

案例：利用海量攻击日志聚焦网站攻击
基于十四 亿域名的 全球网站 探测
?
Php类型网站排名第一 p

案例：利用海量攻击日志聚焦网站攻击
聚焦利用 PHP网站发动 DDoS攻击
利用聚合分析 方式查找攻击 根源
聚焦已知 攻击行为
聚焦未知 攻击行为

大量工具利用PHP网站发起DDoS攻击
攻击者
受控网站
被植入后 门的网站 控制 击 DDoS攻击 攻击 的攻击源
目标地址
一键式控 制端界面
被攻击的 目标IP
攻击工具 受控网站可通过地下交易轻易获得 攻击工具、受控网站可通过地下交易轻易获得

海量攻击日志 每日对过亿条攻击日志进行常态化分析

可视化聚焦攻击者、受控网站、目标地址
聚焦被攻击最 多的目标地址
被植入PHP 后门的受控网站 被用于发起 DDoS攻击
聚焦控制规模最 大的控制端地址
对控制规模大的控制端地址进行常态化打击，恶意DDoS攻击蔓延