用 “大數據+AI”,構建威脅情報生態 發布時間:2019-06-17 15:28:00 來源:


導讀

本篇文章將從4方面,討論威脅情報的應用和生態建設。

1、安恒威脅情報從何而來?

2、面對海量告警的信息過載,如何實而不虛的發揮數據和情報的價值?

3、威脅情報如何協同處置?

4、重點案例——威脅情報在護網行動的應用

 

當前,網絡安全威脅日益突出,勒索病毒、APT 等網絡攻擊愈演愈烈,呈現多樣化、複雜化、專業化的發展趨勢。《網絡空間安全藍皮書》稱,網絡沖突和攻擊成爲國家間對抗主要形式,就在剛剛發布的《2018年我國互聯網網絡安全態勢綜述》中數據顯示,來自美國的網絡攻擊數量最多。

如何有效地檢測 APT 等網絡攻擊?利用威脅情報數據,借助大數據分析和人工智能技術,是目前最有效的手段。

安恒信息首席科學家劉博表示,從生産高質量威脅情報,到使用威脅情報完善安全體系,這個過程中充滿各種挑戰,難以依賴單方面的力量,這就需要構建完整的生態。

 

世界各國網絡空間戰略和政策也都指明了,需要加強網絡威脅情報和信息共享能力建設。2015年,美國發布《國家安全戰略》,設立”網絡威脅情報整合中心“;歐盟發布五年《歐盟安全議程》(2015-2020),主要包括加強歐盟成員國之間的信息共享,增強歐洲刑警組織與各成員國的合作等。

安恒首席科學家劉博認爲,網絡空間威脅情報能力的建設,需要從融合威脅情報數據、“大數據+AI” 智能分析、協同處置等角度著手,形成流程的閉環。

 

融合:構建大數據多源情報生態

威脅情報能力的基礎,是威脅情報的收集。安恒的威脅情報從何而來?主要包含以下幾個渠道:

1. 雲端監測:安恒玄武盾每日産生數億攻擊日志

2. 全網蜜罐/流量捕獲:美歐日等全球各地部署蜜罐流量探針

3. 網絡空間測繪:每周更新全球43億資産信息

4. 國內外開源/商用情報:200+開源與商用情報源

5. 安恒用戶分析情報:安恒各類設備,服務分析經客戶允許後産生的精准情報

6. 威脅情報聯盟共享:CNCERT 等聯盟情報共享

 

安恒信息依托 SaaS 監測服務、雲防護服務、蜜罐網絡、全球資産探測等能力,同時集成國內外200余家情報源,采用雲沙箱、機器學習與專家分析等方式,提煉形成面向服務器安全的高質量威脅情報中心—— IoC 信譽庫、網絡資産庫、安全事件庫、專家情報庫四大核心情報庫。

細化來看:

1. 威脅捕獲:捕獲全球惡意攻擊樣本

安恒蜜罐虛擬出網絡信息系統來吸引攻擊者攻擊,對惡意代碼和攻擊行爲的信息采集和分析,形成安全威脅情報,集中到安恒數據大腦(態勢感知平台威脅情報采集中心),爲攻擊檢測策略提供參考。

2. Sumap 網絡空間測繪:發現全球資産風險

Sumap 全球網絡空間超級雷達,43億 IP 掃描空間,利用全網快速掃描引擎,2小時全網極速掃描,完成全網資産探測、漏洞掃描和風險趨勢分析。4年多的全球掃描數據積累,利用異步無狀態的批量橫向資産檢測技術,形成全球資産指紋畫像與風險庫。

(圖:海量指紋與風險庫)

 

3. 國內外開源/商用情報/威脅情報聯盟共享

安恒數據大腦集成了開源情報、商用情報、戰略情報、機讀情報、威脅情報聯盟共享等多維情報,形成威脅情報生態。

4. 風暴中心雲端情報

玄武盾雲防護平台每天數億的訪問與攻擊數據提煉高質量的漏洞利用,黑産組織,最新攻擊樣本等情報。先知雲監測平台積累多年的資産,域名,指紋,漏洞,事件等情報數據,並累計對超過600萬的在線系統監測。

安恒信息將來源于網絡空間測繪、大數據智能安全分析 (AI)、網絡流量分析 (NTA)、高級威脅監測 (APT)、用戶行爲分析 (UBA) 的本地化威脅情報,借助智能安全分析提煉高價值威脅情報,以提高安全事件的檢測效率和精准度,輔助態勢感知。

 

智能分析與威脅情報結合:大數據+ AI

面對海量告警的信息過載,我們如何實而不虛的發揮數據和情報的價值?在我們過去的探索中,我們發現有效融合情報的能力作爲關鍵要素,能幫助安全運營人員快速、精准的識別受攻擊對象和完成攻擊者畫像。

利用大數據和人工智能技術,能有效地發揮威脅情報的價值,應用于多個場景:

1. 全局監控與感知

借助安恒 AiLPHA 深度感知智能引擎 DSI,全面多維度特征提取與畫像,通過聚類異常模型、時序基線異常模型等機器學習算法模型與威脅情報相結合,提高准確率與檢新率。

2. 加密流量處理——監督式機器學習

據 Gartner 預測,到2019年,80%的網站流量都會被加密。攻擊者可利用加密流量進行 APT 攻擊。安恒信息利用背景流量數據 (contexual flow data) 識別 TLS 加密惡意流量,采用 SVM 等分類器 (有監督機器學習) 對加密流量的高維特征空間進行分類,結合威脅情報從而識別加密的惡意流量。

3. 基于邊界流量中的威脅檢測預警

通過近百次安保實踐,安恒信息發現每一百台服務器當中事先植入後門的比例是29%,內網出現已經淪陷主機的概率接近100%。安恒信息憑借大數據威脅情報和全流量的能力支撐,對網絡流量進行實時分析和檢測,對可疑網絡行爲進行告警,全方位發現失陷主機、從海量攻擊事件中識別針對性攻擊。

4. 高級威脅檢測 (APT)

通過對攻擊行爲的模型/知識庫與檢測告警結合威脅情報分析,判斷意圖明確的針對性攻擊、預期有嚴重影響的入侵行爲、APT 組織等。

 

協同處置:SOAR智能研判、編排與響應

威脅情報需要形成一個閉環,通過 SOAR 智能編排技術,將人、技術和流程整合,提供快速智能的研判和應急響應能力,自動化分析研判、處置聯動、通報預警,流程化完成事件管理,提高協作溝通效率。

 

應用案例:某大型會議網絡安保活動智能處置

1.通過制定安全分析規則、統計模型,進行網絡安全事件實時監測;

2.當發生安全事件快速進行攻擊來源分析、攻擊上下文分析、安全事件邏輯關聯分析;

3.對攻擊者進行威脅情報碰撞、攻擊指紋分析、攻擊特征分析

4.對影響範圍分析,分析攻擊目標,確定攻擊的影響範圍

5.通過智能研判,確定安全事件的性質、攻擊來源、危害程度等

6.進行智能相應,例如:聯動處置、通報預警、自動分析報告、對接工單平台。

 

案例:威脅情報在護網行動的應用

2017年某省公安廳舉行網絡安全攻防應急演練,安恒信息爲其提供技術保障。

技術支持:給演練提供了場地、網絡、攻擊 IP、現場監控、安全實時檢測、漏洞記錄平台及攻擊進展情況大屏展示等全方位技術保障。演練全程采取“背靠背”的方式進行,即事先不通知、攻擊源不明確、攻擊目標不明確、攻擊手段不明確,完全接近于實戰。

演練成果:攻擊方累計發起了15萬次攻擊,采用多種攻擊手段,發現問題超過百處,典型問題包括弱口令、文件上傳、命令執行、邏輯漏洞等。提升被攻擊目標防禦和應急處置能力,同時鍛煉了浙江網警接警、出警、取證的能力。

威脅情報應用:藍方安全設備發現一個攻擊行爲,快速研判攻擊,將該攻擊以情報方式共享至情報中心,海量的情報數據通過大數據 AI 算法提高情報准確率後,同步給其他安全設備,對下次訪問流量進行情報碰撞,快速預警。

 

知己知彼,方能百戰‍‍‍‍‍‍不殆。威脅情報作爲網絡空間治理的重要一環,需要政府部門、科研院校、網絡安全企業、運維服務支撐單位、行業安全專家等形成情報協同、數據協同、能力協同,共同構建網絡空間治理與協同防禦能力體系。