基于大数据的APT攻击检测方案

大数据与APT攻击检测APT对传统检测技术的挑战•A问题：高级入侵手段–单点隐蔽能力强–攻击空间路径不确定–攻击渠道不确定–基于特征匹配的边界防护技术难以应对•P问题：持续性攻击–攻击时间上的长持续性–基于实时时间点的检测技术难以应对攻防双方的信息不对称性攻击源易隐藏目标上的日志信息易清除链路流量信息可靠、可控结论：从链路流量中检测APT攻击是可行方法当前APT检测方案•沙箱方案：针对A问题的解决方案–非特征匹配，使用智能沙箱技术识别0DAY攻击与异常行为当前APT检测方案•异常检测：针对A、P问题的解决方案–核心思想：通过流量建模识别异常–核心技术•元数据提取技术•基于连接特征的恶意代码检测规则•基于行为模式的异常检测算法当前APT检测方案•异常检测中的大数据处理当前APT检测方案•全流量审计：针对A、P问题的解决方案–核心思想：通过对全流量进行应用识别和还原，检测异常行为–核心技术：大数据存储及处理、应用识别、文件还原当前APT检测方案•基于深层协议解析的异常识别当前APT检测方案•攻击溯源（rootcauseexplorer）–通过已经提取出来的网络对象，可以重建一个时间区间内可疑的websession，email，对话信息。–通过将这些事件自动排列，可以帮助分析人员快速发现攻击源。当前APT检测方案•几种基于大数据的APT检测方案对比SoleraFlukeNarus捕包性能10G10G10G存储未知，可虚拟化60TB未知协议解析850+1000+数量未知应用层还原web页面、邮件附件、图片、文件、IM，内嵌wireshark解析器流媒体、IM无异常检测规则匹配、基线检测规则匹配、基线检测规则匹配、基线检测元数据提取支持支持存储元数据，或原始数据全流量审计与日志审计的关系•全流量审计与现有的检测产品和平台相辅相成，互为补充，构成完整防护体系–日志解决了“what”的问题，没有解决“how”和“howmuch”的问题，全流量信息则解决了这些问题–在整体防护体系中，传统检测设备的作用类似于“触发器”，检测到APT行为的蛛丝马迹，再利用全流量信息进行回溯和深度分析全流量审计+传统检测技术=基于记忆的检测系统APT攻击过程的暴露点攻击图（示意）检测•攻击过程包含路径和时序•攻击过程的大部分是貌似正常操作的•不是所有的异常操作都能立即被检测•不能保证被检测到的异常在APT过程的开始或早期•…•基于记忆的检测可以有效缓解上述问题应用场景设想Hacker服务器实时IDS流存储1.攻击者利用zeroday漏洞进行攻击2.实时IDS缺乏攻击特征，未能检测3.全流量存储设备进行了存储5.分析人员对相关历史流量进行应用识别和还原，确定可疑行为4.IDS检测到可疑外联行为总结•对抗APT：以时间对抗时间–对长时间、全流量数据进行深度分析–针对A问题：以沙箱方式、异常检测模式，解决特征匹配的不足–针对P问题：将传统基于实时时间点的检测，转变为基于历史时间窗的检测，通过流量的回溯和关联分析发现APT模式–流量存储与现有检测技术相结合，构成了新一代基于记忆的智能检测系统–需要利用大数据分析的关键技术谢谢！