• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    未來之路:重構(gòu)網(wǎng)絡(luò)安全能力

    2014-03-18 01:41:03杜躍進(jìn)
    中國(guó)教育網(wǎng)絡(luò) 2014年11期
    關(guān)鍵詞:大視野多維度攻擊者

    文/杜躍進(jìn)

    未來之路:重構(gòu)網(wǎng)絡(luò)安全能力

    文/杜躍進(jìn)

    過去對(duì)狹義事件的發(fā)現(xiàn)和處置,導(dǎo)致我們即使是發(fā)現(xiàn)了“震網(wǎng)”的程序,也沒有警覺其實(shí)它的真正目標(biāo)是工業(yè)控制系統(tǒng),直到它完成任務(wù),我們才如夢(mèng)初醒。過去對(duì)狹義事件的發(fā)現(xiàn)和處置,還使我們疲于處置成千上萬(wàn)看似不相關(guān)的事件,卻無法發(fā)現(xiàn),實(shí)際上它們是有關(guān)系的、他們可能是來自同一個(gè)攻擊者、可能是一個(gè)威脅中的一部分。

    和過去相比,我們的對(duì)手不同了。應(yīng)對(duì)新的安全形勢(shì),需要跳出傳統(tǒng)的思維慣性,建立新的思路。網(wǎng)絡(luò)安全攻防對(duì)抗如同一個(gè)不斷“進(jìn)化”的過程,不同的傳統(tǒng)方法也是根據(jù)安全威脅的變化而不斷進(jìn)化的。既然這些方法已經(jīng)不適應(yīng)新的形勢(shì),那么未來的進(jìn)化方向是什么呢?“異常發(fā)現(xiàn)”是一個(gè)基本方向,“博大精深”是核心要求。

    “大思路”和“大視野”的異常發(fā)現(xiàn)

    APT給傳統(tǒng)安全方法帶來挑戰(zhàn)的本質(zhì)原因是針對(duì)特定目標(biāo)的專門定制化的攻擊過程,導(dǎo)致從各種角度都很難提前獲得特定攻擊的具體特點(diǎn)。于是,如果防御方對(duì)自己的了解足夠,就能夠感知到由于攻擊導(dǎo)致的某種異常,之后就有可能進(jìn)一步通過針對(duì)性的調(diào)查分析發(fā)現(xiàn)具體的攻擊行為。一個(gè)通俗的比喻就是,我不知道我出了什么問題,但是能感覺到不對(duì)勁。這就如同醫(yī)學(xué)領(lǐng)域中人類經(jīng)常能夠先確定甚至治療某些疾病,但是很多年之后才找到導(dǎo)致這些疾病的病毒或原因一樣。隨著人類不斷完善對(duì)自身的了解,也就能夠不斷提升對(duì)新的疾病的了解和治愈能力。

    新一代信息技術(shù)包括融合、泛在、移動(dòng)、寬帶、智能等多個(gè)基本屬性在內(nèi),這一切都意味著,如今我們面臨的是一個(gè)高度復(fù)雜的、相互關(guān)聯(lián)的系統(tǒng),任何網(wǎng)絡(luò)間的一點(diǎn)小問題都可能在空間中產(chǎn)生蝴蝶效應(yīng)。

    異常發(fā)現(xiàn)的思路實(shí)際上已經(jīng)有很多實(shí)踐了,傳統(tǒng)網(wǎng)絡(luò)安全方法中也有基于行為描述的安全,這種方法試圖發(fā)現(xiàn)軟件或用戶在主機(jī)或網(wǎng)絡(luò)中的“異?!毙袨椋ㄈ缌髁孔兓M(jìn)而判定是否受到攻擊。例如2003年1月,我們突然發(fā)現(xiàn)所有的網(wǎng)絡(luò)中都出現(xiàn)UDP1434/1435流量的大幅增長(zhǎng),這是不符合常規(guī)的,于是通過啟動(dòng)分析進(jìn)而判定是發(fā)生了大規(guī)模網(wǎng)絡(luò)蠕蟲攻擊。還有一些技術(shù),可以對(duì)特定用戶的打字速度進(jìn)行記錄,如果發(fā)現(xiàn)某個(gè)人的打字速度突然變成平時(shí)的兩倍,那可能就是賬戶被別人盜用。在金融領(lǐng)域,通過用戶登錄銀行賬戶之后的行為軌跡,可以明顯看出正常用戶和非法用戶的不同。這種比對(duì)是不依賴于對(duì)惡意代碼、漏洞、非法登錄等傳統(tǒng)安全特征的識(shí)別的。但是顯然這種模式的效果取決于對(duì)“正?!毙袨槟J矫枋龅臏?zhǔn)確性和完備性,而過去僅僅通過局部環(huán)境、簡(jiǎn)單維度以及基于采樣數(shù)據(jù)積累的知識(shí)所建立的“正常”模型,顯然是容易被計(jì)劃周密的高級(jí)攻擊行為所模仿從而失去效果的?!懊と嗣蟆逼鋵?shí)說的也是類似的道理:用于分析的數(shù)據(jù)不夠大,可能看到的是一塊皮膚,而如果退后幾步綜合更大更多的數(shù)據(jù)看,才會(huì)發(fā)現(xiàn)實(shí)際上是一只大象。

    因此,未來需要的是大視野下的異常發(fā)現(xiàn),其所感知的“異常”不僅僅定義在主機(jī)行為或者網(wǎng)絡(luò)流量行為上,而更加綜合全面、范圍更大。在金融領(lǐng)域,基于大量用戶的正常金融交易關(guān)系數(shù)據(jù)進(jìn)行分析,就能夠發(fā)現(xiàn)很多金融犯罪活動(dòng)甚至犯罪團(tuán)伙,就是一個(gè)例子?!盎鹧妗辈《究梢岳@過所有的安全機(jī)制,但是如果對(duì)所有獲得簽名的程序的大小有所積累,會(huì)發(fā)現(xiàn)忽然出現(xiàn)一個(gè)十分巨大的“合法程序”,也會(huì)觸發(fā)異常。

    大視野并不僅僅指的是簡(jiǎn)單地?cái)U(kuò)大分析數(shù)據(jù)的規(guī)模,還包括要強(qiáng)調(diào)整體性,要有大思路。 大視野的角度如何看風(fēng)險(xiǎn)分析?眾所周知,如今的互聯(lián)網(wǎng)以及其上的各種應(yīng)用有很強(qiáng)的相互關(guān)聯(lián)性。在傳統(tǒng)通信行業(yè),基礎(chǔ)通信網(wǎng)絡(luò)具有“全程全網(wǎng)”的特性。而新一代信息技術(shù)包括融合、泛在、移動(dòng)、寬帶、智能等多個(gè)基本屬性在內(nèi),這一切都意味著,如今我們面臨的是一個(gè)高度復(fù)雜的、相互關(guān)聯(lián)的系統(tǒng),任何網(wǎng)絡(luò)間的一點(diǎn)小問題都可能在空間中產(chǎn)生蝴蝶效應(yīng)。發(fā)生在2009年的暴風(fēng)影音事件就是非常典型的案例:軟件設(shè)計(jì)的問題、DDoS應(yīng)對(duì)的問題、域名業(yè)務(wù)量估計(jì)和服務(wù)能力配備的問題全都交織在一起產(chǎn)生了這起網(wǎng)絡(luò)安全事件。但是我們目前對(duì)通信網(wǎng)絡(luò)以及互聯(lián)網(wǎng)的很多重要應(yīng)用的風(fēng)險(xiǎn)評(píng)估,依然是拆分成網(wǎng)絡(luò)單元來開展的,因此至今無法對(duì)整體網(wǎng)絡(luò)的風(fēng)險(xiǎn)做出科學(xué)的分析評(píng)估,類似“暴風(fēng)影音”的事件隨時(shí)還可能發(fā)生,只不過下一次的動(dòng)機(jī)不見得和上次一樣,可能攻擊者是“大玩家”。

    大視野的角度如何看移動(dòng)互聯(lián)網(wǎng)安全?移動(dòng)互聯(lián)網(wǎng)安全現(xiàn)在非常熱鬧,許多團(tuán)隊(duì)都在做智能終端和應(yīng)用軟件的安全檢測(cè)。但是對(duì)應(yīng)用軟件的安全檢測(cè),只是移動(dòng)互聯(lián)網(wǎng)安全的一個(gè)環(huán)節(jié),只有把移動(dòng)應(yīng)用商店的“源頭”,惡意程序運(yùn)行的網(wǎng)絡(luò)“路徑”,以及特定用戶終端的“末端”相互結(jié)合起來,真正實(shí)現(xiàn)相互配合,才有可能更高效地遏制猖獗的移動(dòng)互聯(lián)網(wǎng)惡意攻擊行為。

    “多維度”的知識(shí)體系

    異常發(fā)現(xiàn)不僅需要“大視野”,還需要“多維度”。多維度是指多層次、多來源的知識(shí)積累和異常分析,具體地說,就是對(duì)安全威脅的分析不能僅僅基于安全系統(tǒng)或者服務(wù)系統(tǒng)日志等數(shù)據(jù),還需要建立和其他維度知識(shí)數(shù)據(jù)結(jié)合的機(jī)制。 例如APT攻擊中經(jīng)常使用社會(huì)工程學(xué)攻擊,尤其是當(dāng)前期搜集跟蹤攻擊對(duì)象的各種信息時(shí),這些行為都很難用傳統(tǒng)的方法檢測(cè)到。那么是不是對(duì)社會(huì)工程學(xué)攻擊的應(yīng)對(duì)就徹底放棄了呢?

    完整的“事件”所包括的不僅僅是“如何”(攻擊者使用了什么方法、用了什么攻擊程序或漏洞、什么時(shí)間等),更加重要的是還應(yīng)該包括“誰(shuí)”(攻擊者、攻擊來源)以及“為什么”(攻擊目標(biāo)、攻擊目的)等。

    2007年,針對(duì)工業(yè)控制系統(tǒng)安全的研究出現(xiàn),并有人預(yù)言,五年之內(nèi)工業(yè)控制系統(tǒng)可以通過互聯(lián)網(wǎng)進(jìn)行攻擊。而2010年,“震網(wǎng)”被發(fā)現(xiàn),那么幾年前的這些信息能否提前就應(yīng)該引起重視呢?2001年,所謂的“中美黑客大戰(zhàn)”,起因是南海撞機(jī)事件,現(xiàn)實(shí)世界中的事件和網(wǎng)絡(luò)空間中的攻擊有沒有可能建立關(guān)聯(lián)呢? 近些年,國(guó)際上流行一些說法,比如“基于智能/情報(bào)的安全”(intelligencebasedsecurity)或者“知識(shí)驅(qū)動(dòng)的安全”(knowledgedrivensecurity),其實(shí), 那么,什么是“知識(shí)”或者“情報(bào)”?不應(yīng)該被僅僅理解為原來我們熟知的漏洞庫(kù)、惡意代碼庫(kù)、事件庫(kù)等等,而必須是更多維度的信息整合。這個(gè)特點(diǎn),可以稱之為“博”:和“大”不同,指的是更寬的范圍和領(lǐng)域。

    對(duì)“博”的理解,還有另外一個(gè)十分關(guān)鍵的角度:什么是事件。從2006年開始,我一直試圖說明,完整的“事件”所包括的不僅僅是“如何”(攻擊者使用了什么方法、用了什么攻擊程序或漏洞、什么時(shí)間等),更加重要的是還應(yīng)該包括“誰(shuí)”(攻擊者、攻擊來源)以及“為什么”(攻擊目標(biāo)、攻擊目的)等。如今看來,完整的“事件”概念,或許應(yīng)該直接稱之為“威脅”更為恰當(dāng)。APT的“T”,也是威脅,對(duì)APT的應(yīng)對(duì),也應(yīng)該從狹義的事件發(fā)現(xiàn)和處置,延伸到威脅預(yù)警、分析與應(yīng)對(duì)。 過去對(duì)狹義事件的發(fā)現(xiàn)和處置,導(dǎo)致我們即使是發(fā)現(xiàn)了“震網(wǎng)”的程序,也沒有警覺其實(shí)它的真正目標(biāo)是工業(yè)控制系統(tǒng),直到它完成任務(wù),我們才如夢(mèng)初醒。過去對(duì)狹義事件的發(fā)現(xiàn)和處置,還使我們疲于處置成千上萬(wàn)看似不相關(guān)的事件,卻無法發(fā)現(xiàn),實(shí)際上它們是有關(guān)系的、他們可能是來自同一個(gè)攻擊者、可能是一個(gè)威脅中的一部分。而對(duì)威脅的感知、分析和應(yīng)對(duì),則需要不同的思路,其中的關(guān)鍵之一是需要“博”的分析。 知識(shí)體系建設(shè)和異常發(fā)現(xiàn),都離不開“深度分析”,而且必須建立多個(gè)視角的相互關(guān)聯(lián)的深度分析。

    深度分析的核心至少包括惡意代碼、安全事件與宏觀數(shù)據(jù)三個(gè)方面。與傳統(tǒng)的分析不同的是,惡意代碼的深度分析不僅局限于提取其本機(jī)特征、網(wǎng)絡(luò)特征、聯(lián)絡(luò)信息等(用于各種安全設(shè)備),還要包括所使用的算法、程序編寫特點(diǎn)、程序編寫時(shí)間、可能的編寫者來源、與其他惡意程序之間的關(guān)系、哪些安全事件與之相關(guān)等;安全事件的深度分析不僅局限于確定攻擊者所使用的攻擊程序、攻擊源地址和目的地址等,還要包括多跳回溯發(fā)現(xiàn)真正的控制者信息、攻擊行為的動(dòng)機(jī)分析等;宏觀數(shù)據(jù)的深度分析不僅包括簡(jiǎn)單的關(guān)聯(lián)和展示等,還包括惡意代碼、漏洞、事件等的綜合分析,包括多個(gè)不同事件的多角度關(guān)聯(lián)等。 深度分析的核心目的是為了發(fā)現(xiàn)攻擊動(dòng)機(jī),發(fā)現(xiàn)重大安全威脅。長(zhǎng)期的深度分析形成的積累,則是知識(shí)體系中的一個(gè)組成部分。

    “大玩家”比的是“精”能力

    “精”指的是精細(xì)化的分析和細(xì)節(jié)能力。這是受到在國(guó)外技術(shù)會(huì)議上所見所聞的啟發(fā)。我們看到,信息發(fā)達(dá)國(guó)家在網(wǎng)絡(luò)安全方面做得越來越精細(xì)。例如事件描述、事件信息共享等,這些內(nèi)容也許很多年前我們就有了,但是今天我們對(duì)其的用途和過去的差別不大,而先進(jìn)國(guó)家卻在不斷完善,精益求精,他們不斷地根據(jù)情況的變化完善和改進(jìn)。

    現(xiàn)在,“大玩家”入場(chǎng),意味著國(guó)家間的安全對(duì)抗已經(jīng)開始,意味著對(duì)抗雙方比較的是各自最精最尖的能力。這和過去我們與計(jì)算機(jī)犯罪分子以及各種黑客團(tuán)伙的對(duì)抗是截然不同的。

    “精”的另外一層含義是,要從眾多的安全事件中精挑細(xì)選,找出真正嚴(yán)重的威脅;要從龐大的多維的數(shù)據(jù)中進(jìn)行持續(xù)的精深的分析,從中找出重大威脅的脈絡(luò)來。 傳統(tǒng)的網(wǎng)絡(luò)安全方法和能力無法應(yīng)對(duì)未來的網(wǎng)絡(luò)安全威脅,尤其是國(guó)家級(jí)的威脅。未來的網(wǎng)絡(luò)安全能力建設(shè)的一個(gè)關(guān)鍵是基于知識(shí)的異常發(fā)現(xiàn)。異常發(fā)現(xiàn)并能不解決最終的問題,但是它可以作為啟動(dòng)針對(duì)性調(diào)查分析的關(guān)鍵觸發(fā)器。未來的網(wǎng)絡(luò)安全能力建設(shè),需要遵循“博大精深”的發(fā)展方向。

    所謂“博”,指的是需要多維度的知識(shí)構(gòu)建,需要“帶外信息”的支持與整合;需要多維度的異常感知,不僅僅是一個(gè)簡(jiǎn)單的流量變化模型或簡(jiǎn)單的異常行為,而是需要綜合到一起進(jìn)行感知,這種感知能力越豐富,越精確,越有可能發(fā)現(xiàn)高級(jí)安全威脅;需要多維度的威脅分析,包括攻擊者及其動(dòng)機(jī),聚焦攻擊源、攻擊路徑、攻擊目標(biāo)的不同角度的信息整合與關(guān)聯(lián)分析; 所謂“大”,指的是大視野的分析和應(yīng)對(duì)思路,強(qiáng)調(diào)整體的配合,強(qiáng)調(diào)使用更大規(guī)模相互關(guān)聯(lián)的數(shù)據(jù)和信息進(jìn)行分析。實(shí)際上,“大視野”還包括技術(shù)以外的領(lǐng)域,包括,政策、法律等等。

    所謂“精”,指的是新階段的網(wǎng)絡(luò)安全對(duì)抗強(qiáng)調(diào)細(xì)節(jié),每一個(gè)環(huán)節(jié)都要精益求精,通過這種方法來提高效率。需要持續(xù)不斷的研究、建設(shè)和積累,構(gòu)建應(yīng)對(duì)國(guó)家級(jí)網(wǎng)絡(luò)安全威脅的最精銳的能力和人員隊(duì)伍。

    所謂“深”,指的是深度分析,要對(duì)惡意代碼、安全事件和宏觀數(shù)據(jù)展開相關(guān)聯(lián)的深度分析,識(shí)別與梳理安全威脅,發(fā)現(xiàn)重大威脅極其動(dòng)機(jī),積累相關(guān)知識(shí)。

    (本文摘選自《“博大精深”:總體安全觀時(shí)代網(wǎng)絡(luò)安全能力建設(shè)的未來之路》,有刪節(jié),原文刊載于人民網(wǎng)。作者為原網(wǎng)絡(luò)安全應(yīng)急技術(shù)國(guó)家工程實(shí)驗(yàn)室主任、網(wǎng)絡(luò)安全專家杜躍進(jìn))

    猜你喜歡
    大視野多維度攻擊者
    基于微分博弈的追逃問題最優(yōu)策略設(shè)計(jì)
    “多維度評(píng)改”方法初探
    看待現(xiàn)代詩(shī)詞入史問題要有大格局大視野
    正面迎接批判
    愛你(2018年16期)2018-06-21 03:28:44
    多維度市南
    商周刊(2017年7期)2017-08-22 03:36:22
    大視野
    大視野
    有限次重復(fù)博弈下的網(wǎng)絡(luò)攻擊行為研究
    多維度巧設(shè)聽課評(píng)價(jià)表 促進(jìn)聽評(píng)課的務(wù)實(shí)有效
    體育師友(2012年4期)2012-03-20 15:30:10
    信息論翻譯的多維度探索
    棋牌| 洛扎县| 临澧县| 登封市| 杭锦后旗| 岐山县| 绍兴市| 阿克陶县| 蒲江县| 蛟河市| 丰顺县| 尼玛县| 家居| 天台县| 海口市| 麦盖提县| 广东省| 酒泉市| 景宁| 根河市| 东至县| 泉州市| 太康县| 监利县| 蕲春县| 十堰市| 潍坊市| 饶阳县| 襄垣县| 如皋市| 福建省| 龙海市| 双鸭山市| 锡林浩特市| 大丰市| 高雄市| 逊克县| 广西| 甘泉县| 台前县| 海兴县|