背景分析

隨著網(wǎng)絡(luò)攻擊技術(shù)的不斷增強(qiáng)，僅僅利用布置在互聯(lián)網(wǎng)邊界的防護(hù)手段，已經(jīng)無法全面地掌握網(wǎng)絡(luò)系統(tǒng)內(nèi)部的情況。在網(wǎng)絡(luò)安全保障時(shí)，當(dāng)攻擊者突破網(wǎng)絡(luò)邊界的防護(hù)，進(jìn)入網(wǎng)絡(luò)系統(tǒng)內(nèi)部進(jìn)行橫向滲透或者指令控制等操作時(shí)，安全管理員無法快速直觀地掌握內(nèi)部惡意流量的情況，這樣容易使得攻擊者成功進(jìn)行內(nèi)網(wǎng)滲透，從而進(jìn)入重要系統(tǒng)。在日常的安全防范當(dāng)中，安全管理員既要能夠快速定位攻擊類型和入侵手段，又需要獲得足夠的檢測證據(jù)，以便于準(zhǔn)確研判和溯源，因此在安全保障時(shí)不僅要求威脅可以防得住、看得見，還需要對(duì)攻擊鏈做到全面掌控，實(shí)現(xiàn)攻擊溯源。

在實(shí)際的安全運(yùn)維工作中常見的情況會(huì)有如下幾點(diǎn)：

1、攻擊預(yù)警太多，導(dǎo)致情報(bào)泛濫，有用信息被淹沒；

2、存在攻擊告警，但是無法快速查看完整的事件線索，必須前往受害系統(tǒng)查看，十分繁瑣；

3、攻擊事件碎片化、告警分散，難以形成有效的溯源攻擊鏈。

方案概述

通常來講，安全防護(hù)類產(chǎn)品可以依賴自身的檢測識(shí)別能力來判斷并抵御入侵網(wǎng)絡(luò)內(nèi)部的攻擊，但是無法杜絕所有的網(wǎng)絡(luò)攻擊，尤其是有針對(duì)性的復(fù)雜、持續(xù)性攻擊威脅。想要全局化地掌控網(wǎng)絡(luò)態(tài)勢，提升整體的安全強(qiáng)度，就需要對(duì)全網(wǎng)的流量進(jìn)行整體的風(fēng)險(xiǎn)監(jiān)測和數(shù)據(jù)分析，不遺漏任何攻擊流量可能出現(xiàn)的角落。

盛邦安全攻擊監(jiān)測專項(xiàng)方案，采用多源融合的分析技術(shù)對(duì)網(wǎng)絡(luò)流量全貌進(jìn)行實(shí)時(shí)感知，結(jié)合威脅情報(bào)數(shù)據(jù)及異常行為發(fā)現(xiàn)能力，從分析、關(guān)聯(lián)、溯源、降噪、預(yù)警、欺騙六個(gè)方面來識(shí)別攻擊威脅、關(guān)聯(lián)入侵路徑、提升檢測準(zhǔn)確性、預(yù)警未知威脅并誘導(dǎo)捕獲攻擊。一方面利用情報(bào)共享機(jī)制構(gòu)筑檢測生態(tài)，準(zhǔn)確、快速地同步攻擊信息以實(shí)現(xiàn)全網(wǎng)快速封堵；另一方面利用攻擊欺騙技術(shù)誘導(dǎo)和捕獲攻擊行為，并獲取溯源取證數(shù)據(jù)，從而形成一套完整的網(wǎng)絡(luò)攻擊監(jiān)測體系。

分析：采用安全情報(bào)+攻擊特征庫+機(jī)器學(xué)習(xí)算法的方法，實(shí)時(shí)分析流量中是否存在異常行為或者惡意流量。

關(guān)聯(lián)：使用默認(rèn)或自定義的攻擊鏈模型，對(duì)所檢測到的攻擊行為進(jìn)行關(guān)聯(lián)分析，復(fù)原攻擊線路或入侵路徑。

溯源：利用入侵軌跡追溯和原始信息鉆取的方式，在監(jiān)測到攻擊行為時(shí)，通告可能的威脅來源。

降噪：通過事件上下文線索關(guān)聯(lián)的方式進(jìn)行融合過濾，避免依靠單一特征確定攻擊或異常行為的做法，提升研判準(zhǔn)確率。

預(yù)警：根據(jù)攻擊鏈模型實(shí)時(shí)監(jiān)控相應(yīng)的攻擊節(jié)點(diǎn)，從攻擊者視角判斷當(dāng)前所處的攻擊階段，并預(yù)警下一步可能遭受的威脅行為。

欺騙：利用偽裝欺騙的技術(shù)，在關(guān)鍵攻擊線路上部署虛假陷阱資產(chǎn)，誘使攻擊者攻擊偽裝目標(biāo)，從而對(duì)其進(jìn)行捕獲并做溯源取證。

概括而言，主要的監(jiān)測內(nèi)容包含如下幾類：

信息掃描監(jiān)測：網(wǎng)絡(luò)掃描監(jiān)測、弱口令告警監(jiān)測、漏洞掃描監(jiān)測；

網(wǎng)絡(luò)異常監(jiān)測：DDoS攻擊檢測、DGA域名檢測、C&C通訊檢測；

威脅情報(bào)監(jiān)測：惡意IP檢測、惡意域名檢測、惡意URL檢測、惡意文件檢測；

入侵攻擊監(jiān)測：協(xié)議分析還原、Web安全監(jiān)測、漏洞攻擊檢測；

惡意文件監(jiān)測：木馬監(jiān)測、病毒監(jiān)測、蠕蟲監(jiān)測、Webshell監(jiān)測；

異常鏈接監(jiān)測：惡意外聯(lián)監(jiān)測、遠(yuǎn)程控制監(jiān)測、隱蔽通道監(jiān)測。

優(yōu)勢價(jià)值

1、提升內(nèi)網(wǎng)威脅監(jiān)控能力。利用后門檢測、外聯(lián)監(jiān)測和隱蔽通道發(fā)現(xiàn)等能力，及時(shí)發(fā)現(xiàn)內(nèi)部異常行為，降低內(nèi)部橫向滲透的可能性，降低系統(tǒng)受控風(fēng)險(xiǎn)；

2、提升攻擊預(yù)警的準(zhǔn)確性。利用關(guān)聯(lián)分析和攻擊追溯，降低噪音干擾，掌握關(guān)鍵線索，提升攻擊發(fā)現(xiàn)的準(zhǔn)確率和預(yù)警的有效性。

3、提升風(fēng)險(xiǎn)研判的成功率。利用攻擊鏈模型進(jìn)行風(fēng)險(xiǎn)程度判定并進(jìn)行后續(xù)威脅預(yù)測，合理的把控真實(shí)安全態(tài)勢。

4、提升主動(dòng)防御的可靠性。結(jié)合蜜罐系統(tǒng)的欺騙防御技術(shù)，干擾攻擊者視線并進(jìn)行主動(dòng)誘導(dǎo)，提取溯源證據(jù)并進(jìn)行有效處置。

安全建議

除了部署攻擊監(jiān)測方案以外，用戶需要建立一套清晰、明確、動(dòng)態(tài)更新的網(wǎng)絡(luò)資產(chǎn)臺(tái)賬表，包括：業(yè)務(wù)類型、歸屬責(zé)任人、網(wǎng)絡(luò)環(huán)境和歷史安全記錄等等，這樣在攻擊事件發(fā)生時(shí)，才能夠快速定位系統(tǒng)上搭載的業(yè)務(wù)信息、找準(zhǔn)責(zé)任人，及時(shí)進(jìn)行應(yīng)急處置等相關(guān)操作。