当前,高级延续性威胁(APT,Advanced Persistent Threat)已成为各级各类收集所面对的首要安然威胁。它使收集威胁从散兵浪人式的随机报复打击变成有目标、有组织、有预谋的群体式报复打击,使传统的和时检测、及时阻断为主体的防御编制难以再阐扬感化。是以,在匹敌中我们必需改变思路,采纳新的情势。
APT对传统检测手艺构成的挑战
正如其名称所表现出来的含义,APT为传统检测手艺带来了两大年夜坚苦:
A(Advanced)坚苦:即高级进侵手段带来的坚苦。比拟传统报复打击手法,APT报复打击具有单点埋没能力强、报复打击空间路径不肯定、报复打击渠道不肯定等特点,使得传统的基于特点匹配的鸿沟防驭手艺难以阐扬感化。
P(Persistent)坚苦:即延续性报复打击带来的坚苦。典型的APT在报复打击时候上具有延续性,一旦进侵成功则持久暗藏,寻觅合适的机缘别传敏感信息,而在单个时候点上却无较着异常,使得基于单个时候点的及时检测手艺难以应对。
从博弈两边看,攻方可借助跳板隐躲本身,在进侵成功后删除方针主机上的日记信息,隐躲报复打击过程;对检测方而言,只有在攻方与方针之间的通信链路是可控的。从链路中获得的流量真实完全地记实报复打击过程且不会被攻方遁藏和窜改。从链路流量中检测APT报复打击是可行的编制,这也是当前的主流方案。
当前业内APT检测方案对比
沙箱方案:为解决特点匹配对新型报复打击的滞后性而产生的解决方案。其道理是将及时流量先引进虚拟机或沙箱,经由过程对沙箱的文件系统、过程、注册表、收集行动实施监控,鉴定流量中是不是包含歹意代码。同传统的特点匹配手艺比拟,沙箱方案对未知歹意代码具有较好的检测能力,但其难点在于摹拟的客户端类型是不是周全,假定贫乏合适的运行环境,会导致流量中的歹意代码在检测环境中没法触发,造成漏报。
异常检测方案:为解决特点匹配和及时检测不足而产生的解决方案。其道理是经由过程对收集中的正常行动模式建模而辨认异常。核心手艺包含元数据提取、正常行动建模和异常检测算法。该方案一样可以或许检测未知报复打击,但检测效力依托于布景流量中的营业模式,假定营业模式产生误差,则会导致较高的漏报与误报。
全流量审计方案:一样是为解决传统特点匹配不足而产生的解决方案。其道理是对链路中的流量进行深层次的和谈解析和利用还原,辨认此中是不是包含报复打击行动。检测到可疑报复打击行动时,在全流量存储的前提下,回溯阐发相干流量,例如可将包含的http拜候、下载的文件、即时通信信息进行还原,协助确认报复打击的完全过程。这类方案具有强大年夜的过后溯源能力和及时检测能力,是将安然人员的阐发能力、计较机强大年夜的存储能力和运算能力相连络的完全解决方案。
上述异常检测方案、全流量审计方案底层都要依托大年夜数据措置手艺。经由过程对国际上主流产品的调研,我们发当今朝此类产品的措置能力可撑持10GB带宽及10TB级的海量存储,和对上千种和谈的利用辨认与深层解析,具有常见利用如http页面、流媒体、IM等的还原能力,同时具有法则匹配能力和异常检测能力。
基于记忆的智能检测系统
有了全流量审计,我们很天然地接见会面对接下来的标题问题:传统的检测产品和平台还有需要吗?在全流量都被审计的前提下,还需要进行传统的报复打击检测吗?
我们需要全流量检测,因为传统的检测手艺只解决了“What”的标题问题,没有解决“How”和“How Much”的标题问题。利用检测产品当然可以检测到特定的报复打击,但检测不到报复打击的细节(如:具体的报复打击流量是甚么)及报复打击的进展程度(如:方针是不是已被进侵)。经由过程全流量审计,这些标题问题都可以找到谜底。
别的,也需要传统检测手艺,因为在对全流量进行审计时,需在海量数据中找到阐发任务的聚核心。一个百兆的收集,22个小时的流量就达1TB,假定没有任何唆使信息,在如斯海量的数据中进行报复打击检测犹如大年夜海捞针。此时,传统检测手艺的感化则近似于“触发器”与“探照灯”,当检测到APT行动的蛛丝马迹时,连络全流量审计进行回溯与深度阐发,则可成立完全的报复打击场景。
在全流量审计的辅助下,传统的检测产品将对汗青流量具有“记忆”能力,构成基于记忆的智能检测系统,其检测对象不再是实不时候点,而是汗青时候窗;对漏报的报复打击行动,也可经由过程对汗青流量进行回溯审查的编制进行二次检测和联系关系阐发,从而具有更强大年夜的检测能力。
总之,对APT这类报复打击模式,传统的检测手艺难以应对,我们的匹敌策略是以时候匹敌时候,对长时候、全流量数据进行深度阐发,以弥补传统的特点匹配与及时检测的不足。全流量存储与现有检测手艺相连络,构成了新一代基于记忆的智能检测系统,使我们可在长时候窗口上对流量进行回溯阐发,晋升对APT报复打击的检测能力。