智能检测系统更快发现APT攻击
一、APT对传统检测技术形成的挑战
正如其名称所体现出来的含义,APT为传统检测技术带来了两大难题:
A(Advanced)难题:即高级入侵手段带来的难题。相比传统攻击手法,APT攻击具有单点隐蔽能力强、攻击空间路径不确定、攻击渠道不确定等特点,使得传统的基于特征匹配的边界防御技术难以施效。
P(Persistent)难题:即持续性攻击带来的难题。典型的APT在攻击时间上具有长持续性,一旦入侵成功则长期潜伏,寻找合适的机会外传敏感信息,而在单个时间点上却无明显异常,使得基于单个时间点的实时检测技术难以应对。
从博弈双方看,攻方可借助跳板隐藏自身,在入侵成功后删除目标主机上的日志信息,隐藏攻击过程;对检测方而言,只有在攻方与目标之间的通信链路是可控的。从链路中获取的流量真实完整地记录攻击过程且不会被攻方躲避和篡改。从链路流量中检测APT攻击是可行的办法,这也是当前的主流方案。
二、当前业内APT检测方案对比
沙箱方案:为解决特征匹配对新型攻击的滞后性而产生的解决方案。其原理是将实时流量先引入虚拟机或沙箱,通过对沙箱的文件系统、进程、注册表、网络行为实施监控,判断流量中是否包含恶意代码。同传统的特征匹配技术相比,沙箱方案对未知恶意代码具有较好的检测能力,但其难点在于模拟的客户端类型是否全面,如果缺乏合适的运行环境,会导致流量中的恶意代码在检测环境中无法触发,造成漏报。
异常检测方案;为解决特征匹配和实时检测不足而产生的解决方案。其原理是通过对网络中的正常行为模式建模而识别异常。核心技术包括元数据提取、正常行为建模和异常检测算法。该方案同样能够检测未知攻击,但检测效率依赖于背景流量中的业务模式,如果业务模式发生偏差,则会导致较高的漏报与误报。
全流量审计方案:同样是为解决传统特征匹配不足而产生的解决方案。其原理是对链路中的流量进行深层次的协议解析和应用还原,识别其中是否包含攻击行为。检测到可疑攻击行为时,在全流量存储的条件下,回溯分析相关流量,例如可将包含的http访问、下载的文件、及时通信信息进行还原,协助确认攻击的完整过程。这种方案具备强大的事后溯源能力和实时检测能力,是将安全人员的分析能力、计算机强大的存储能力和运算能力相结合的完整解决方案。
上述异常检测方案、全流量审计方案底层都要依靠大数据处理技术。通过对国际上主流产品的调研,我们发现目前此类产品的处理能力可支持10G带宽及10TB级的海量存储,以及对上千种协议的应用识别与深层解析,具备常见应用如HTTP页面、流媒体、IM等的还原能力,同时具备规则匹配能力和异常检测能力。
三、基于记忆的智能检测系统
有了全流量审计,我们很自然地会面临接下来的问题:传统的检测产品和平台还有必要吗?在全流量都被审计的前提下,还需要进行传统的攻击检测吗?
首先,需要全流量检测,因为传统的检测技术只解决了“What”的问题,没有解决“How”和“How Much”的问题。使用检测产品虽然可以检测到特定的攻击,但检测不到攻击的细节(如:具体的攻击流量是什么)及攻击的进展程度(如:目标是否已被入侵)。通过全流量审计,这些问题都可以找到答案。
此外,也需要传统检测技术,因为在对全流量进行审计时,需在海量数据中找到分析任务的聚焦点。一个百兆的网络,22个小时的流量就达1TB,如果没有任何指示信息,在如此海量的数据中进行攻击检测犹如大海捞针。此时,传统检测技术的作用则类似于“触发器”与“探照灯”,当检测到APT行为的蛛丝马迹时,结合全流量审计进行回溯与深度分析,则可建立完整的攻击场景。
在全流量审计的辅助下,传统的检测产品将对历史流量具备“记忆”能力,形成基于记忆的智能检测系统,其检测对象不再是实时时间点,而是历史时间窗;对于漏报的攻击行为,也可通过对历史流量进行回溯审查的方式进行二次检测和关联分析,从而具备更强大的检测能力。
总之,对于APT这种攻击模式,传统的检测技术难以应对,我们的对抗策略是以时间对抗时间,对长时间、全流量数据进行深度分析,以解决传统的特征匹配与实时检测的不足。全流量存储与现有检测技术相结合,形成了新一代基于记忆的智能检测系统,这使得我们可在长时间窗口上对流量进行回溯分析,提升对APT攻击的检测能力。
作者:海浪 来源:it168网站 原文标题:智能检测系统更快发现APT攻击高危预警|RDP漏洞或引发大规模蠕虫爆发,用户可用阿里云免费检测服务自检,建议尽快修复 阿里云安全中心免费提供服务器漏洞检测,支持Windows和Linux漏洞检测,支持云上主机和线下机房服务器的安全检测,助力企业做好安全预防。
相关文章
- 史上最大DDoS攻击曝光,没想到还有这么多人拿“12345”当密码
- 利用IoT设备 DDoS攻击席卷多家企业
- 用户无法识别网络钓鱼攻击
- 一种新型的XSSI攻击向量
- 不法分子精心布置邮件陷阱 至少40家公司被攻击
- 服务器如何防止DDoS攻击?
- Fairware勒索软件频繁攻击Linux服务器 大家赶紧做好备份
- FireEye:Hacking Team军火库中大量运用iOS假面攻击
- 影响企业物联网安全考量的八大DDoS攻击事件
- Hexatom部署Radware攻击缓解系统,帮助客户防御多种网络攻击
- 【360图书馆】插入U盘自动攻击:BadUSB原理与实现
- 绿盟科技网络安全威胁周报2017.15 建议关注方程式组织泄漏大量针对Windows攻击工具
- 超过10万台含有组播DNS的设备可被用于放大DDoS攻击
- 一种新型的DDoS:“胡乱域名”攻击
- 防CSRF攻击:一场由重复提交的问题引发的前端后端测试口水战
- 用100元的支票骗到100万:看看对抗性攻击是怎么为非作歹的
- 五分钟详述:一文理解动作游戏开发中的攻击逻辑和受击逻辑
- 简单几步即可判断Linux系统有无被DDOS攻击的方法
- 信息安全技术——(六)网络与系统攻击技术
- DOS攻击