Transcript 基于记忆的APT攻击检测-周涛

全面战争时代
——大数据分析
演讲者 周涛
周 涛
 博士后。
 启明星辰核心研究院资深研究
员。
 研究方向包括威胁检测、web
安全、大数据处理技术等。曾
承担过多项国家及省部级课题、
产品新技术的研发工作。
 目前已在国内外期刊发表论文
多篇，申报发明专利15项。
典型APT攻击步骤
传统检测技术面临的挑战
攻击行为特征
难以提取
单点隐蔽能力
强
APT
攻击渠道多样
化
攻击持续时间
长
传统检测和防御技术的软肋
无法进行边界防御
缺乏长时间关联
难以进行特征匹配
难以识别异常行为
模式
APT检测防御思路分类
恶意代码
检测思路
网络入侵
检测思路
大数据
分析思路
主机应用
保护思路
数据防泄密
思路
当前典型的微观检测步骤模式
设备类安全检测产品
工具类安全检测产品
采集
模式分析
综合关联
SOC等安全管理平台
探寻检测的真谛
APT检测新思路
扩大
浓缩
精确
基于记忆的检测方法群
场景
基于记忆的检测框架
展示层
分析层
存储层
攻击场景关联
多维数据可视化
异常检测
可疑识别
应用还原
统计分析
会话还原
元数据提取
应用识别
存储管理
关键技术
应用识
别还原
异常流
量分析
攻击场
景关联
大数据
处理
可疑行
为识别
大数据处理
• 目的：构建海量数据高效分析平台
• 方法：采用最新的大数据处理技术
– 小型网络：单机模式
• 采用RDBMS+NOSQL解决方案
– 大中型网络：集群模式
• 采用基于Hadoop的分布式计算框架
异常流量分析
• 目的：识别能引起统计异常的未知攻击
• 方法：安全态势指标体系
基础指标
衍生指标
应用指标
• 从流量数据
中直接统计
的参数
• 对基础指标
统计或运算
的参数
• 对基础指标
统计或运算
的参数
可疑行为识别
• 目的：识别不引起流量异常的未知攻击
• 方法：可疑行为建模
可疑加
密传输
上下行
流量比
分析
未知
木马
检测
恶意域
名访问
可疑间
歇性链
接
应用场景设想
攻击图（示意）
检测
• 攻击过程包含路径和时序
• 攻击过程的大部分是貌似
正常操作的
• 不是所有的异常操作都能
立即被检测
• 不能保证被检测到的异常
在APT过程的开始或早期
• …
• 基于记忆的检测可以有效
缓解上述问题
应用场景举例
1.攻击者利用 0 day漏洞进行攻击
4. 全流量分析发现可疑加密传输行为
服务器
Hacker
实时IDS
流存储 3.全流量存储设备进行了存储
2. 实时IDS缺乏
攻击特征，未能检测
5.分析人员对相关历史流量进行
应用识别和还原，确定可疑行为
应用情况
• 某流氓软件流量分析
APT全生命周期检测
数据防泄密方案
信息外传
资产发现
基于记忆的检测方案
横向转移
远程控制
获取入口
情报收集
恶意代码检测方案
传统检测方案
总结
• 对抗APT：以时间对抗时间
– 对长时间、全流量数据进行深度分析
– 综合多种新检测技术，弥补特征匹配的不足
– 实现由实时检测向异步检测的转换
– 需要利用大数据分析的关键技术