用“大数据+AI ”,构建威胁情报生态

用“大数据+AI ”,构建威胁情报生态

黑客接单访客2021-10-11 14:25:0011754A+A-

当前,网络安全威胁日益突出,勒索病毒、APT等网络攻击愈演愈烈,呈现多样化、复杂化、专业化的发展趋势。《网络空间安全蓝皮书》称,网络冲突和攻击成为国家间对抗主要形式,就在刚刚发布的《2018年我国互联网网络安全态势综述》中数据显示,来自美国的网络攻击数量最多。

如何有效地检测APT等网络攻击?利用威胁情报数据,借助大数据分析和人工智能技术,是目前最有效的手段。

安恒信息首席科学家刘博表示,从生产高质量威胁情报,到使用威胁情报完善安全体系,这个过程中充满各种挑战,难以依赖单方面的力量,这就需要构建完整的生态。

图:构建威胁情报完整生态

世界各国网络空间战略和政策也都指明了,需要加强网络威胁情报和信息共享能力建设。2015年,美国发布《国家安全战略》,设立“网络威胁情报整合中心”;欧盟发布五年《欧盟安全议程》(2015-2020),主要包括加强欧盟成员国之间的信息共享,增强欧洲刑警组织与各成员国的合作等。

安恒首席科学家刘博认为,网络空间威胁情报能力的建设,需要从融合威胁情报数据、“大数据+AI”智能分析、协同处置等角度着手,形成流程的闭环。

融合:构建大数据多源情报生态

威胁情报能力的基础,是威胁情报的收集。安恒的威胁情报从何而来?主要包含以下几个渠道:

1、云端监测:安恒玄武盾每日产生数亿攻击日志

2、全网蜜罐/流量捕获:美欧日等全球各地部署蜜罐流量探针

3、网络空间测绘:每周更新全球43亿资产信息

4、国内外开源/商用情报:200+开源与商用情报源

5、安恒用户分析情报:安恒各类设备,服务分析经客户允许后产生的精准情报

6、威胁情报联盟共享:CNCERT等联盟情报共享

图:多源威胁情报

安恒信息依托SaaS监测服务、云防护服务、蜜罐网络、全球资产探测等能力,同时集成国内外200余家情报源,采用云沙箱、机器学习与专家分析等方式,提炼形成面向服务器安全的高质量威胁情报中心——IoC信誉库、网络资产库、安全事件库、专家情报库四大核心情报库。

细化来看:

1、威胁捕获:捕获全球恶意攻击样本

安恒蜜罐虚拟出网络信息系统来吸引攻击者攻击,对恶意代码和攻击行为的信息采集和分析,形成安全威胁情报,集中到安恒数据大脑(态势感知平台威胁情报采集中心),为攻击检测策略提供参考。

2、Sumap网络空间测绘:发现全球资产风险

Sumap全球网络空间超级雷达,43亿IP扫描空间,利用全网快速扫描引擎,2小时全网极速扫描,完成全网资产探测、漏洞扫描和风险趋势分析。4年多的全球扫描数据积累,利用异步无状态的批量横向资产检测技术,形成全球资产指纹画像与风险库。

图:海量指纹与风险库

3、国内外开源/商用情报/威胁情报联盟共享

安恒数据大脑集成了开源情报、商用情报、战略情报、机读情报、威胁情报联盟共享等多维情报,形成威胁情报生态。

安恒信息将来源于网络空间测绘、大数据智能安全分析(AI)、网络流量分析(NTA)、高级威胁监测(APT)、用户行为分析(UBA)的本地化威胁情报,借助智能安全分析提炼高价值威胁情报,以提高安全事件的检测效率和精准度,辅助态势感知。

智能分析与威胁情报结合:大数据+ AI

面对海量告警的信息过载,我们如何实而不虚的发挥数据和情报的价值?在我们过去的探索中,我们发现有效融合情报的能力作为关键要素,能帮助安全运营人员快速、精准的识别受攻击对象和完成攻击者画像。

利用大数据和人工智能技术,能有效地发挥威胁情报的价值,应用于多个场景:

  • 全局监控与感知

借助安恒AiLPHA深度感知智能引擎DSI,全面多维度特征提取与画像,通过聚类异常模型、时序基线异常模型等机器学习算法模型与威胁情报相结合,提高准确率与检新率。

2、加密流量处理—监督式机器学习

据 Gartner 预测,到 2019 年,80% 的网站流量都会被加密。攻击者可利用加密流量进行APT攻击。安恒信息利用背景流量数据(contexual flow data)识别TLS加密恶意流量,采用SVM等分类器((有监督机器学习)对加密流量的高维特征空间进行分类,结合威胁情报从而识别加密的恶意流量。

3、基于边界流量中的威胁检测预警

通过近百次安保实践,安恒信息发现每一百台服务器当中事先植入后门的比例是29%,内网出现已经沦陷主机的概率接近100%。安恒信息凭借大数据威胁情报和全流量的能力支撑,对网络流量进行实时分析和检测,对可疑网络行为进行告警,全方位发现失陷主机、从海量攻击事件中识别针对性攻击。

4、高级威胁检测(APT)

通过对攻击行为的模型/知识库与检测告警结合威胁情报分析,判断意图明确的针对性攻击、预期有严重影响的入侵行为、APT组织等。

协同处置:SOAR智能研判、编排与响应

威胁情报需要形成一个闭环,通过SOAR智能编排技术,将人、技术和流程整合,提供快速智能的研判和应急响应能力,自动化分析研判、处置联动、通报预警,流程化完成事件管理,提高协作沟通效率。

 

应用案例:某大型会议网络安保活动智能处置

1.通过制定安全分析规则、统计模型,进行网络安全事件实时监测;

2.当发生安全事件快速进行攻击来源分析、攻击上下文分析、安全事件逻辑关联分析;

3.对攻击者进行威胁情报碰撞、攻击指纹分析、攻击特征分析

4.对影响范围分析,分析攻击目标,确定攻击的影响范围

5.通过智能研判,确定安全事件的性质、攻击来源、危害程度等

6.进行智能相应,例如:联动处置、通报预警、自动分析报告、对接工单平台。

案例:威胁情报在护网行动的应用

2017年某省公安厅举行网络安全攻防应急演练,安恒信息为其提供技术保障。

技术支持:给演练提供了场地、网络、攻击IP、现场监控、安全实时检测、漏洞记录平台及攻击进展情况大屏展示等全方位技术保障。演练全程采取“背靠背”的方式进行,即事先不通知、攻击源不明确、攻击目标不明确、攻击手段不明确,完全接近于实战。

演练成果:攻击方累计发起了15万次攻击,采用多种攻击手段,发现问题超过百处,典型问题包括弱口令、文件上传、命令执行、逻辑漏洞等。提升被攻击目标防御和应急处置能力,同时锻炼了浙江网警接警、出警、取证的能力。

威胁情报应用:蓝方安全设备发现一个攻击行为,快速研判攻击,将该攻击以情报方式共享至情报中心,海量的情报数据通过大数据AI算法提高情报准确率后,同步给其他安全设备,对下次访问流量进行情报碰撞,快速预警。

知己知彼,方能百战‍‍‍‍‍‍不殆。威胁情报作为网络空间治理的重要一环,需要政府部门、科研院校、网络安全企业、运维服务支撑单位、行业安全专家等形成情报协同、数据协同、能力协同,共同构建网络空间治理与协同防御能力体系。

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 4条评论
  • 余安哑萝2022-05-29 15:21:16
  • 情报中心,海量的情报数据通过大数据AI算法提高情报准确率后,同步给其他安全设备,对下次访问流量进行情报碰撞,快速预警。知己知彼,方能百战‍‍‍‍‍‍不殆。威胁情报作为网络空间治理的重要一环,需要政府部门、科研院校、网络安全企业、运维服务支撑
  • 辙弃路岷2022-05-29 14:00:42
  • 针3、网络空间测绘:每周更新全球43亿资产信息4、国内外开源/商用情报:200+开源与商用情报源5、安恒用户分析情报:安恒各类设备,服务分析经客户允许后产生的精准情报6、威胁情报联盟共享:CN
  • 森槿雾敛2022-05-29 23:49:48
  • 、安全事件逻辑关联分析;3.对攻击者进行威胁情报碰撞、攻击指纹分析、攻击特征分析4.对影响范围分析,分析攻击目标,确定攻击的影响范围5.通过智能研判,确定安全事件的性质、攻击来源、危害程度等6.进行智能相应,
  • 俗野沐白2022-05-29 15:57:38
  • 出警、取证的能力。威胁情报应用:蓝方安全设备发现一个攻击行为,快速研判攻击,将该攻击以情报方式共享至情报中心,海量的情报数据通过大数据AI算法提高情报准确率后,同步给其他安全设备,对下次访问

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理