基于大数据的APT攻击检测.pptx

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2015/10/6,#,基于大数据的,APT,攻击检测,概念,高级持续性威胁,（,advanced,persistent threat,，,APT,）,是,指隐匿而持久的,电脑入侵,过程，通常由某些人员精心策划，针对特定的目标,。,其,通常是出于商业或政治动机，针对特定组织或国家，并要求在长时间内保持高隐蔽性,。,高级,长期威胁包含三个要素：高级、长期、,威胁。,高级,强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞,。,长期,暗指某个外部力量会持续监控特定目标，并从其获取数据,。,威胁,则指人为参与策划的攻击。,APT,攻击生命周期,2013,年,，,APT,攻击生命周期（美国,Mandiant,）：,初始入侵,使用社会工程学、钓鱼式攻击、,零日攻击,，通过邮件进行。在受害者常去的网站上植入恶意软件（挂马）也是一种常用的方法。,站稳脚跟,在受害者的网络中植入远程访问工具，打开网络后门，实现隐蔽访问。,提升特权,通过利用漏洞及破解密码，获取受害者电脑的管理员特权，并可能试图获取,Windows,域管理员特权。,内部勘查,收集周遭设施、安全信任关系、域结构的信息。,横向发展,将控制权扩展到其他工作站、服务器及设施，收集数据。,保持现状,确保继续掌控之前获取到的访问权限和凭据。,任务完成,从受害者的网络中传出窃取到的数据,。,APT,例子：震网病毒,APT,特点,组织特点,从,APT,攻击事件分析来看，,APT,攻击已突破传统黑客小团队“作坊级协同”模式，上升为一种国家层面“组织级联合”,模式，,攻击数量、持续性和复杂性不断,增加,攻击,目标指向高价值资产或物理系统,攻击特点,以,“低和慢”模式运行，同时使用用户凭据或零日漏洞，其巨大的复杂性和逃避检测能力，困扰着众多安全领域专家,。,“低模式”,即网络中保持,低调,“慢模式”,即执行过程,长。,APT,攻击（如震网（,Stuxnet,）、毒区（,Duqu,）、火焰（,Flame,）和红十月（,Red October,）等病毒）,网络安全“老三样”,使用,IDS,、防火墙、防病毒等常规安全防护系统，乃至于安全信息和事件管理系统（,SIEM,）都较难应对,APT,攻击,需要借助于安全专家的人工分析。,大数据,APT,检测思路,若将大数据分析技术应用于,APT,攻击检测，将大大提高检测能力。,应对,APT,攻击,“低模式”,，检测系统需将所辖网域中各种异常事件及数据完整记录，并利用大数据强分析能力处理数据间的相关性来揭示攻击轨迹,应对,“慢模式”,，需保留长时间窗口的历史记录数据，在时间窗口内处理所有攻击相关上下文信息。,“低模式”的应对研究,Beehive,（蜂窝）,传感器（蜜蜂）,感知异常行为如：提升权限、,窃取敏感信息、破坏操作系统,检测系统（蜂群）,分工各异的蜂群维护整个蜂窝,一次,APT,攻击是由多阶段攻击动作（漏洞发掘、控制权获取、横向移动、目标攻击）组成。,大数据分析将细微动作关联以发现,APT,攻击的“低模式”。不同安全产品日志的语义相关性，以及日志的大数据特性是重点解决的问题。,Beehive,:Large-scale log analysis for detecting suspicious activity in enterprise networksC,，,Proceedings,of the 29th Annual Computer Security Applications Conference.ACM,2013:199-208,.,“慢模式”的应对研究,攻击金字塔（,Attack Pyramid,）,采用攻击树原理及分层模型,Using large scale distributed computing to unveil advanced persistent threatsJ.SCIENCE,2013,1(3):pp.93-105.,“慢模式”的应对研究,攻击金字塔（,Attack Pyramid,）,使用不同的算法并以,MapReduce,分布式计算，来判断上下文间和上下文中可能的恶意活动,Using large scale distributed computing to unveil advanced persistent threatsJ.SCIENCE,2013,1(3):pp.93-105.,APT,检测产品,IBM,公司产品称为大数据安全智能平台（,Security Intelligence with Big Data,）,它综合安全智能平台的实时处理及安全操作、和大数据平台的大数据处理及分析取证。,Intel,公司产品称为安全商务智能平台（,Security Business Intelligence platform,）,可每天从超过,60,亿条事件提取特定的事件日志，能更快更智能的响应,APT,攻击。,