亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

1.檢測(cè)技術(shù)現(xiàn)狀分析

　　如果要為2010年代以來的網(wǎng)絡(luò)安全檢測(cè)領(lǐng)域選擇一個(gè)關(guān)鍵詞，我們相信“APT” （高級(jí)持續(xù)性威脅）入選的概率頗高。從數(shù)字來看，近年來被曝光的APT攻擊事件絕對(duì)數(shù)量并不高，但每一起攻擊事件所針對(duì)的目標(biāo)都是大眾耳熟能詳?shù)臉I(yè)界巨頭，其中不乏網(wǎng)絡(luò)安全行業(yè)的領(lǐng)跑者RSA、互聯(lián)網(wǎng)行業(yè)領(lǐng)頭羊谷歌、安全防范措施完備的韓國(guó)銀行業(yè)，甚至是與互聯(lián)網(wǎng)物理隔離的伊朗核設(shè)施系統(tǒng)。人們不禁要問，為什么這些技術(shù)領(lǐng)先、防范嚴(yán)密的組織機(jī)構(gòu)，仍然無法躲避APT攻擊？

　　要回答這個(gè)問題，我們需要分析一下APT攻擊的特點(diǎn)。不同于普通黑客散兵游勇式的攻擊，APT是一種為獲取經(jīng)濟(jì)或政治利益而進(jìn)行的有針對(duì)性的定向攻擊，其背后往往隱藏著龐大的組織，甚至是國(guó)家力量的支持。正如其名稱所體現(xiàn)出來的含義，APT具有兩方面的典型特點(diǎn)：

　　(1)攻擊手段先進(jìn)：相比傳統(tǒng)攻擊手法，APT攻擊具有隱蔽能力強(qiáng)、攻擊空間路徑不確定、攻擊渠道不確定等特點(diǎn)，在攻擊過程中往往采用0Day漏洞進(jìn)行滲透、采用特種木馬進(jìn)行遠(yuǎn)程控制。

　　(2)攻擊持續(xù)時(shí)間長(zhǎng)：為了避免攻擊過程引起流量上的明顯異常，典型的APT攻擊為達(dá)到目的都不惜時(shí)間成本，一旦入侵成功則長(zhǎng)期潛伏，尋找合適的機(jī)會(huì)以隱蔽通道的方式外傳敏感信息，在單個(gè)時(shí)間點(diǎn)上無明顯異常。

　　反觀當(dāng)前主流安全防御技術(shù)，如入侵檢測(cè)、防病毒、防火墻等，大都采用以特征匹配、實(shí)時(shí)檢測(cè)、實(shí)時(shí)阻斷為主的技術(shù)手段，在應(yīng)對(duì)APT方面存在以下不足：

　　(1)不能檢測(cè)未知攻擊：傳統(tǒng)特征匹配技術(shù)是建立在對(duì)攻擊樣本分析的基礎(chǔ)之上的，總要先獲取惡意代碼的樣本、提取其特征、對(duì)特征進(jìn)行編碼描述，才能在檢測(cè)設(shè)備上實(shí)現(xiàn)有效檢測(cè)。因此當(dāng)APT攻擊中采用未知的漏洞利用方法進(jìn)行滲透，或新型木馬進(jìn)行遠(yuǎn)程控制時(shí)，現(xiàn)有的檢測(cè)設(shè)備將無法識(shí)別。

　　(2)不能進(jìn)行異步檢測(cè)：傳統(tǒng)檢測(cè)方法是以實(shí)時(shí)檢測(cè)、實(shí)時(shí)阻斷為主的同步檢測(cè)，如果攻擊行為未能被實(shí)時(shí)檢測(cè)出，或者以物理擺渡的方式繞過了邊界，那么就失去了對(duì)該攻擊進(jìn)行二次分析的能力。

　　(3)不支持對(duì)攻擊行為的溯源分析：傳統(tǒng)檢測(cè)設(shè)備只記錄攻擊行為的報(bào)警事件，不記錄攻擊過程的原始數(shù)據(jù)。但在真實(shí)網(wǎng)絡(luò)環(huán)境中檢測(cè)到一起可疑攻擊行為后，往往需要結(jié)合該可疑行為相關(guān)的上下文原始數(shù)據(jù)來評(píng)估攻擊的真實(shí)性和造成的后果，從傳統(tǒng)的安全設(shè)備中很難獲取這些對(duì)后續(xù)分析有用的數(shù)據(jù)。

　　從上述分析中可以看到，傳統(tǒng)的檢測(cè)工具在檢測(cè)技術(shù)和檢測(cè)對(duì)象這兩方面都比較單一。這在對(duì)抗常規(guī)網(wǎng)絡(luò)攻擊時(shí)尚能發(fā)揮一定作用，在新興的APT威脅前面卻無能為力。這就是那些因?yàn)榫邆涓叨冉?jīng)濟(jì)價(jià)值或特殊政治地位而成為APT目標(biāo)的組織機(jī)構(gòu)，雖然采用傳統(tǒng)的防御措施進(jìn)行了嚴(yán)密防范，卻仍然無法對(duì)抗APT攻擊的根本原因。為了解決這個(gè)問題，我們必須在檢測(cè)思路上進(jìn)行創(chuàng)新，全范式檢測(cè)框架就應(yīng)運(yùn)而生了。

2.什么是全范式檢測(cè)

　　本文提到的全范式檢測(cè)中的“范式”特指安全檢測(cè)分析方法，這里借鑒了已故著名數(shù)據(jù)庫(kù)專家、圖靈獎(jiǎng)獲得者詹姆士·格雷的理論。詹姆士·格雷將人類科研模式的發(fā)展歷程劃分為4個(gè)階段，如圖1所示：

　　(1)第一范式：數(shù)千年前，科學(xué)研究最初只有實(shí)驗(yàn)科學(xué)，科學(xué)家通過經(jīng)驗(yàn)來解釋自然現(xiàn)象。

　　(2)第二范式：數(shù)百年來，科學(xué)研究出現(xiàn)了理論科學(xué)，運(yùn)用了各種定律和定理，如開普勒定律，牛頓運(yùn)動(dòng)定律，麥克斯韋方程等。

　　(3)第三范式：近幾十年來，對(duì)于許多問題，理論分析方法變得非常復(fù)雜以至于難以解決，人們開始尋求模擬的方法，這就產(chǎn)生了計(jì)算科學(xué)。

　　(4)第四范式：當(dāng)前，出現(xiàn)了將實(shí)驗(yàn)、理論和仿真統(tǒng)一的科研方法，稱為數(shù)據(jù)密集型計(jì)算模式。在這種模式中，由軟件處理由各種儀器或模擬實(shí)驗(yàn)產(chǎn)生的大量數(shù)據(jù)，并將得到信息或知識(shí)存儲(chǔ)在計(jì)算機(jī)中，科研人員只需從這些計(jì)算機(jī)中分析感興趣的數(shù)據(jù)。

圖1：詹姆士·格雷描述的科研范式

　　我們把科研方法的發(fā)展歷程，同安全檢測(cè)分析的發(fā)展歷程做個(gè)對(duì)比，就會(huì)發(fā)現(xiàn)二者存在驚人的相似性：

　　(1)在網(wǎng)絡(luò)應(yīng)用尚未大規(guī)模普及、網(wǎng)絡(luò)安全還未成為突出問題的時(shí)候，市場(chǎng)上還沒有培育出成熟的安全工具和產(chǎn)品，安全檢測(cè)分析主要依賴于安全管理人員的經(jīng)驗(yàn)。目前仍然廣泛采用的滲透測(cè)試、安全咨詢服務(wù)等，仍然是以這種模式運(yùn)行的。

　　(2)隨著安全問題的日益普遍，單憑安全管理人員的經(jīng)驗(yàn)已經(jīng)無法應(yīng)對(duì)，迫切需要自動(dòng)化的檢測(cè)分析工具，由此產(chǎn)生了入侵檢測(cè)系統(tǒng)、防病毒系統(tǒng)和防火墻等安全產(chǎn)品。這些安全產(chǎn)品的共同點(diǎn)就是對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行分析，提取不同層面的特征（如網(wǎng)絡(luò)層連接特征用于防火墻制定ACL規(guī)則；應(yīng)用層內(nèi)容特征用于提取IDS的匹配規(guī)則；文件級(jí)特征用于病毒掃描），對(duì)網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)自動(dòng)化分析。這類安全產(chǎn)品的關(guān)鍵是對(duì)攻擊特征的提取和描述，其本質(zhì)是對(duì)攻擊行為的建模。

　　(3)隨著APT的出現(xiàn)，攻擊變得越來越復(fù)雜、特征變化越來越快，以攻擊行為建模為基礎(chǔ)的檢測(cè)方式漸漸難以應(yīng)對(duì)，從而出現(xiàn)了以虛擬執(zhí)行技術(shù)為代表的新型檢測(cè)。這種技術(shù)的本質(zhì)是模擬被攻擊者在遭受攻擊后的反應(yīng)，這樣無需對(duì)攻擊行為建模也能檢測(cè)未知的攻擊。

　　(4)大數(shù)據(jù)技術(shù)的出現(xiàn)，將安全檢測(cè)分析提升到了新的階段。有了大數(shù)據(jù)平臺(tái)的支撐，安全分析人員可以將各類不同類型的檢測(cè)數(shù)據(jù)，如通過滲透測(cè)試得到的漏洞信息、通過傳統(tǒng)檢測(cè)設(shè)備產(chǎn)生的報(bào)警事件、通過虛擬執(zhí)行得到的可疑攻擊執(zhí)行結(jié)果，進(jìn)行大范圍的匯總和關(guān)聯(lián)。同時(shí)，通過長(zhǎng)時(shí)間的關(guān)聯(lián)，安全分析人員可挖掘某臺(tái)主機(jī)、某個(gè)用戶的行為異常，從而實(shí)現(xiàn)不基于簽名的未知攻擊檢測(cè)。對(duì)于每一條可疑報(bào)警，分析人員可以查詢與該報(bào)警相關(guān)的各類數(shù)據(jù)，從而確定報(bào)警真實(shí)性、攻擊源，評(píng)估攻擊造成的危害。

　　從上述分析中可以看到，安全檢測(cè)分析方法的發(fā)展歷程，與詹姆士?格雷概括的科學(xué)研究范式間存在著一一對(duì)應(yīng)的關(guān)系。本文所述的全范式檢測(cè)框架，是以大數(shù)據(jù)平臺(tái)為基礎(chǔ)，綜合采用包括滲透測(cè)試、特征匹配、虛擬執(zhí)行、異常檢測(cè)等技術(shù)在內(nèi)的各類檢測(cè)范式，實(shí)現(xiàn)從發(fā)現(xiàn)可疑點(diǎn)，到確認(rèn)攻擊行為，再到攻擊溯源和攻擊后果評(píng)估的完整檢測(cè)分析過程。

3.分檔安全策略與全范式檢測(cè)框架

　　在討論完檢測(cè)技術(shù)后，我們?cè)賮砜匆幌聶z測(cè)對(duì)象。目前主流的檢測(cè)產(chǎn)品中，所針對(duì)的檢測(cè)對(duì)象都是數(shù)據(jù)包（Packet）內(nèi)容。例如對(duì)于IDS系統(tǒng)，需要從數(shù)據(jù)包中還原出應(yīng)用數(shù)據(jù)后進(jìn)行特征匹配；對(duì)于虛擬執(zhí)行設(shè)備，需要從數(shù)據(jù)包中還原出具體的對(duì)象（文件或URL）并進(jìn)行加載。那么除了數(shù)據(jù)包外，是否還存在其他尚待分析的檢測(cè)對(duì)象呢？從更加抽象和更加具體兩方面出發(fā)，還存在以下兩類對(duì)象：

　　(1)網(wǎng)絡(luò)流（Flow）：網(wǎng)絡(luò)流是對(duì)數(shù)據(jù)包的抽象描述，它不關(guān)注一次網(wǎng)絡(luò)連接的有效載荷，只關(guān)注網(wǎng)絡(luò)連接的概要描述信息，如源地址、目的地址、源端口、目標(biāo)端口、上行流量、下行流量、標(biāo)志位等。傳統(tǒng)的Netflow就是網(wǎng)絡(luò)流的典型代表。

　　(2)應(yīng)用（Application）：應(yīng)用是數(shù)據(jù)包更具體的表現(xiàn)，它不僅關(guān)注網(wǎng)絡(luò)連接的具體載荷，還需要按照連接所承載的應(yīng)用類型對(duì)載荷進(jìn)行細(xì)粒度解析。例如對(duì)于HTTP應(yīng)用，需要解析出主機(jī)名、URI、Referer、請(qǐng)求方法、狀態(tài)碼、文件長(zhǎng)度、MIME類型等，傳統(tǒng)的應(yīng)用審計(jì)就是基于這類對(duì)象實(shí)現(xiàn)的。

　　由于不同類型對(duì)象的結(jié)構(gòu)、所包含的信息量存在較大的差異，所適用的檢測(cè)技術(shù)也是不一樣的。對(duì)網(wǎng)絡(luò)流而言，其本身不包含有效負(fù)載信息，無法進(jìn)行特征匹配檢測(cè)，但流信息本身是高度結(jié)構(gòu)化的統(tǒng)計(jì)數(shù)據(jù)，特別適合進(jìn)行統(tǒng)計(jì)分析，因此可采用對(duì)象建模的方法進(jìn)行異常檢測(cè)。對(duì)于數(shù)據(jù)包而言，目前特征匹配的方法已經(jīng)應(yīng)用的非常廣泛了，還出現(xiàn)了以虛擬執(zhí)行為代表的新型檢測(cè)方式。對(duì)于應(yīng)用而言，其最大的特點(diǎn)是包含了上層業(yè)務(wù)信息，可實(shí)現(xiàn)結(jié)合業(yè)務(wù)規(guī)則的違規(guī)業(yè)務(wù)行為檢測(cè)，例如對(duì)于數(shù)據(jù)庫(kù)訪問業(yè)務(wù)，可限制用戶讀取的表、字段，以及返回的記錄條數(shù)。

　　除了檢測(cè)技術(shù)的不同，這三類對(duì)象在處理開銷、分析結(jié)果精度上面也存在較大差異。一般而言，對(duì)于同樣的帶寬，處理流的計(jì)算開銷最小，處理應(yīng)用的開銷最大。但從檢測(cè)準(zhǔn)確度來看，對(duì)流的處理只能采用異常檢測(cè)的方法，其漏報(bào)率和誤報(bào)率都較高；對(duì)包的處理需要進(jìn)行特征匹配，或提取出文件進(jìn)行虛擬執(zhí)行，在不考慮環(huán)境因素的條件下誤報(bào)率較低；對(duì)應(yīng)用數(shù)據(jù)的處理需要解析到具體的應(yīng)用層協(xié)議內(nèi)容，一旦匹配誤報(bào)的概率最低，因此檢測(cè)的準(zhǔn)確度也最高。表1比較了這三類對(duì)象之間的差別。

表1 不同檢測(cè)對(duì)象間的差異

　　本文把針對(duì)網(wǎng)絡(luò)流、數(shù)據(jù)包和應(yīng)用這三類對(duì)象的不同安全檢測(cè)方案，稱為分檔安全策略。需要說明的是，基于不同對(duì)象的檢測(cè)方案之間是互補(bǔ)的關(guān)系，而非競(jìng)爭(zhēng)關(guān)系。基于流的檢測(cè)雖然準(zhǔn)確度不如另外兩類檢測(cè)方案高，但異常檢測(cè)技術(shù)的采用卻有可能實(shí)現(xiàn)對(duì)未知攻擊的檢測(cè)；基于應(yīng)用的檢測(cè)雖然成本高，卻最有可能發(fā)現(xiàn)那些表面看似正常的違規(guī)操作，例如攻擊者通過身份偽造訪問業(yè)務(wù)系統(tǒng)。在實(shí)際環(huán)境中需要綜合使用各類檢測(cè)對(duì)象和檢測(cè)方案，一個(gè)大的原則是用成本低的方案過濾大部分低級(jí)別攻擊，而將開銷大的方案用于少量高級(jí)別攻擊的檢測(cè)。

　　將檢測(cè)技術(shù)和檢測(cè)對(duì)象結(jié)合，我們可以得到全范式檢測(cè)框架，如表2所示：

表2 全范式檢測(cè)框架

　　網(wǎng)絡(luò)流數(shù)據(jù)包應(yīng)用

　　第四范式 數(shù)據(jù)密集型計(jì)算基于網(wǎng)絡(luò)流的可疑網(wǎng)絡(luò)連接檢測(cè)基于數(shù)據(jù)包的取證和攻擊溯源異常業(yè)務(wù)模式檢測(cè)與挖掘

　　第三范式 模擬、仿真虛擬執(zhí)行、 模擬仿真模擬業(yè)務(wù)訪問

　　第二范式 模型、特征異常流量檢測(cè)特征匹配、 敏感內(nèi)容檢測(cè)應(yīng)用審計(jì)

　　第一范式 嘗試、實(shí)驗(yàn)流量牽引和分析滲透測(cè)試、 事件響應(yīng)分析源代碼審計(jì)、 業(yè)務(wù)架構(gòu)分析

4.全范式檢測(cè)框架應(yīng)用場(chǎng)景

　　全范式檢測(cè)框架改變了當(dāng)前以實(shí)時(shí)檢測(cè)、實(shí)時(shí)阻斷為主的防御機(jī)制，組成了全方位縱深防御體系。由于有了更豐富的檢測(cè)方法和檢測(cè)對(duì)象，安全分析人員不僅可以識(shí)別已知攻擊，還能夠通過異常檢測(cè)發(fā)現(xiàn)未知攻擊；不僅能夠?qū)σ淮喂粜袨橛|發(fā)的各類報(bào)警事件進(jìn)行關(guān)聯(lián)分析，還能夠進(jìn)行攻擊場(chǎng)景溯源和取證分析；這些僅憑單一的檢測(cè)技術(shù)和檢測(cè)對(duì)象是無法實(shí)現(xiàn)的。

　　下面以APT攻擊檢測(cè)為例，說明全范式框架的應(yīng)用場(chǎng)景。典型的APT攻擊可分為6個(gè)階段，如圖2所示。全范式檢測(cè)在各個(gè)階段中所發(fā)揮的作用如下：

圖2 基于全范式框架的APT檢測(cè)

　　(1)情報(bào)收集：如果攻擊者采用通用的掃描工具進(jìn)行漏洞發(fā)現(xiàn)，可基于特征匹配的方法進(jìn)行檢測(cè)；反之如果攻擊者采用慢掃描等方式隱蔽其目的，可基于長(zhǎng)時(shí)間的網(wǎng)絡(luò)流進(jìn)行異常流量檢測(cè)，識(shí)別可疑網(wǎng)絡(luò)掃描行為。

　　(2)獲取入口：如果采用Nday的漏洞進(jìn)行滲透，可用基于特征匹配的入侵檢測(cè)設(shè)備進(jìn)行檢測(cè)；如果采用的是0day的漏洞，可采用基于虛擬執(zhí)行的方式檢測(cè)未知惡意代碼。

　　(3)遠(yuǎn)程控制：如果采用的是已知木馬后門程序，可基于特征匹配的方法進(jìn)行C&C通道檢測(cè)；如果采用未知的特種木馬，可利用網(wǎng)絡(luò)流基于木馬C&C通道特征進(jìn)行可疑連接檢測(cè)。

　　(4)橫向轉(zhuǎn)移：如果攻擊者猜測(cè)其它主機(jī)賬號(hào)口令，會(huì)存在異常訪問行為，可基于登錄失敗報(bào)警進(jìn)行檢測(cè)；如果通過跳板主機(jī)上已存儲(chǔ)的賬號(hào)口令直接訪問業(yè)務(wù)系統(tǒng)，那么其業(yè)務(wù)操作與正常用戶也會(huì)存在較大差異，可通過異常業(yè)務(wù)模式挖掘的方式進(jìn)行檢測(cè)；此外還可以通過設(shè)置蜜罐的方式對(duì)被保護(hù)的業(yè)務(wù)系統(tǒng)進(jìn)行模擬仿真，吸引攻擊者的注意，將其引入蜜罐后對(duì)后續(xù)入侵行為進(jìn)行持續(xù)跟蹤。

　　(5)發(fā)現(xiàn)目標(biāo)：對(duì)于攻擊者在目標(biāo)主機(jī)上的攻擊行為，如安裝木馬后門、遍歷文件系統(tǒng)、數(shù)據(jù)打包等，可基于終端異常行為檢測(cè)的模式進(jìn)行識(shí)別；

　　(6)數(shù)據(jù)外傳：如果攻擊者未對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密或編碼，可基于數(shù)據(jù)包進(jìn)行敏感內(nèi)容檢測(cè)；反之可基于傳輸通道的特征，例如是否存在可疑加密行為、是否進(jìn)行了隧道封裝、協(xié)議格式是否合規(guī)等，基于網(wǎng)絡(luò)流進(jìn)行可疑連接檢測(cè)。

　　從上述分析可以看到，雖然APT攻擊具備很強(qiáng)的隱蔽性，難以進(jìn)行實(shí)時(shí)檢測(cè)，但由于其整個(gè)攻擊鏈環(huán)節(jié)眾多、持續(xù)周期長(zhǎng)，在每個(gè)步驟上都會(huì)有一些蛛絲馬跡可供挖掘。如果檢測(cè)人員基于全范式檢測(cè)框架，采用特征檢測(cè)和異常檢測(cè)相結(jié)合的方式，對(duì)網(wǎng)絡(luò)流、數(shù)據(jù)包和業(yè)務(wù)系統(tǒng)的訪問信息進(jìn)行全方面的審查，形成檢測(cè)的閉環(huán)，并通過大數(shù)據(jù)平臺(tái)對(duì)可疑行為進(jìn)行上下文關(guān)聯(lián)和取證溯源，是有可能實(shí)現(xiàn)APT攻擊行為檢測(cè)的。

5.總結(jié)

　　全范式檢測(cè)框架的出現(xiàn)，在深度和廣度兩個(gè)層面上深刻影響了傳統(tǒng)檢測(cè)產(chǎn)品。從深度上看，以虛擬執(zhí)行、模擬仿真、異常檢測(cè)為代表的新型檢測(cè)范式的出現(xiàn)，彌補(bǔ)了單一特征匹配的不足；從廣度上看，網(wǎng)絡(luò)流和應(yīng)用這兩類檢測(cè)對(duì)象的引入，使得檢測(cè)的覆蓋面更為廣泛。這些改進(jìn)提升了傳統(tǒng)檢測(cè)產(chǎn)品的檢測(cè)能力、分析能力和溯源能力，使得對(duì)抗APT攻擊成為可能。

　　在實(shí)際網(wǎng)絡(luò)環(huán)境中，要想充分發(fā)揮全范式檢測(cè)的能力，形成檢測(cè)的閉環(huán)，實(shí)現(xiàn)整合優(yōu)勢(shì)，需要關(guān)注不同檢測(cè)方案間的聯(lián)動(dòng)和不同類型數(shù)據(jù)間的關(guān)聯(lián)。這方面還有一系列技術(shù)有待優(yōu)化，例如虛擬執(zhí)行環(huán)境自動(dòng)配置、虛擬資源調(diào)度、可疑行為建模分析、異構(gòu)數(shù)據(jù)存儲(chǔ)、異構(gòu)報(bào)警關(guān)聯(lián)等。相信隨著技術(shù)的進(jìn)一步完善，全范式檢測(cè)框架將在APT對(duì)抗中發(fā)揮更為積極的作用。