背景分析

 

随着网络攻击技术的不断增强，仅仅利用布置在互联网边界的防护手段，已经无法全面地掌握网络系统内部的情况。在网络安全保障时，当攻击者突破网络边界的防护，进入网络系统内部进行横向渗透或者指令控制等操作时，安全管理员无法快速直观地掌握内部恶意流量的情况，这样容易使得攻击者成功进行内网渗透，从而进入重要系统。在日常的安全防范当中，安全管理员既要能够快速定位攻击类型和入侵手段，又需要获得足够的检测证据，以便于准确研判和溯源，因此在安全保障时不仅要求威胁可以防得住、看得见，还需要对攻击链做到全面掌控，实现攻击溯源。

 

在实际的安全运维工作中常见的情况会有如下几点：

 

1、攻击预警太多，导致情报泛滥，有用信息被淹没；

2、存在攻击告警，但是无法快速查看完整的事件线索，必须前往受害系统查看，十分繁琐；

3、攻击事件碎片化、告警分散，难以形成有效的溯源攻击链。

 

方案概述

 

通常来讲，安全防护类产品可以依赖自身的检测识别能力来判断并抵御入侵网络内部的攻击，但是无法杜绝所有的网络攻击，尤其是有针对性的复杂、持续性攻击威胁。想要全局化地掌控网络态势，提升整体的安全强度，就需要对全网的流量进行整体的风险监测和数据分析，不遗漏任何攻击流量可能出现的角落。

 

盛邦安全攻击监测专项方案，采用多源融合的分析技术对网络流量全貌进行实时感知，结合威胁情报数据及异常行为发现能力，从分析、关联、溯源、降噪、预警、欺骗六个方面来识别攻击威胁、关联入侵路径、提升检测准确性、预警未知威胁并诱导捕获攻击。一方面利用情报共享机制构筑检测生态，准确、快速地同步攻击信息以实现全网快速封堵；另一方面利用攻击欺骗技术诱导和捕获攻击行为，并获取溯源取证数据，从而形成一套完整的网络攻击监测体系。

 

分析：采用安全情报+攻击特征库+机器学习算法的方法，实时分析流量中是否存在异常行为或者恶意流量。

 

关联：使用默认或自定义的攻击链模型，对所检测到的攻击行为进行关联分析，复原攻击线路或入侵路径。

 

溯源：利用入侵轨迹追溯和原始信息钻取的方式，在监测到攻击行为时，通告可能的威胁来源。

 

降噪：通过事件上下文线索关联的方式进行融合过滤，避免依靠单一特征确定攻击或异常行为的做法，提升研判准确率。

 

预警：根据攻击链模型实时监控相应的攻击节点，从攻击者视角判断当前所处的攻击阶段，并预警下一步可能遭受的威胁行为。

 

欺骗：利用伪装欺骗的技术，在关键攻击线路上部署虚假陷阱资产，诱使攻击者攻击伪装目标，从而对其进行捕获并做溯源取证。

 

概括而言，主要的监测内容包含如下几类：

 

信息扫描监测：网络扫描监测、弱口令告警监测、漏洞扫描监测；

 

网络异常监测：DDoS攻击检测、DGA域名检测、C&C通讯检测；

 

威胁情报监测：恶意IP检测、恶意域名检测、恶意URL检测、恶意文件检测；

 

入侵攻击监测：协议分析还原、Web安全监测、漏洞攻击检测；

 

恶意文件监测：木马监测、病毒监测、蠕虫监测、Webshell监测；

 

异常链接监测：恶意外联监测、远程控制监测、隐蔽通道监测。

 

优势价值

 

1、提升内网威胁监控能力。利用后门检测、外联监测和隐蔽通道发现等能力，及时发现内部异常行为，降低内部横向渗透的可能性，降低系统受控风险；

 

2、提升攻击预警的准确性。利用关联分析和攻击追溯，降低噪音干扰，掌握关键线索，提升攻击发现的准确率和预警的有效性。

 

3、提升风险研判的成功率。利用攻击链模型进行风险程度判定并进行后续威胁预测，合理的把控真实安全态势。

 

4、提升主动防御的可靠性。结合蜜罐系统的欺骗防御技术，干扰攻击者视线并进行主动诱导，提取溯源证据并进行有效处置。

 

安全建议

 

除了部署攻击监测方案以外，用户需要建立一套清晰、明确、动态更新的网络资产台账表，包括：业务类型、归属责任人、网络环境和历史安全记录等等，这样在攻击事件发生时，才能够快速定位系统上搭载的业务信息、找准责任人，及时进行应急处置等相关操作。