版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
APT攻擊的網(wǎng)絡(luò)解決方案檢測、追蹤、取證與防護(hù)大綱背景與需求分析
產(chǎn)品與關(guān)鍵技術(shù)案例分析關(guān)于我們12341、APT背景與需求分析高級持續(xù)性威脅(APT):有組織、有明確目的、采用先進(jìn)技術(shù)的復(fù)雜網(wǎng)絡(luò)攻擊Flame(2012),NightDragon(2011),Stuxnet(2010),OperationAurora(2009)2011年3月17日,EMC公司宣布遭受APT攻擊,攻擊者已獲得其RSASecurID的一次性密碼(OTP)認(rèn)證產(chǎn)品的有關(guān)信息APT攻擊逐漸盛行2013年3月20日,新韓銀行、農(nóng)協(xié)銀行等韓國金融機(jī)構(gòu)的信息系統(tǒng)遭到APT攻擊,信息系統(tǒng)癱瘓,服務(wù)幾近中斷攻擊策劃時間長達(dá)8個月,成功潛入韓國金融機(jī)構(gòu)1500次,共使用了76個定制的惡意軟件,受害計算機(jī)總數(shù)達(dá)48000臺,攻擊路徑涉及韓國25個地點(diǎn)、海外24個地點(diǎn)。對金融業(yè)的安全威脅1、APT背景與需求分析夾雜著各種目的的APT攻擊,2013年是最不平凡的一年斯諾登爆料稱美國政府入侵中國網(wǎng)絡(luò)多年棱鏡門牽出“上游”監(jiān)控項目利用WPS2012/20130day針對中國政府部門的定向攻擊3684個中國政府站點(diǎn)遭黑客入侵.cn根域名服務(wù)器遭遇有史最大的DDOS攻擊利用熱點(diǎn)的新型APT攻擊針對AdobeFlash漏洞的APT攻擊如家、錦江之星等酒店的用戶信息泄露梭子魚多個產(chǎn)品驚現(xiàn)SSH后門賬戶HPD2D/StorOnce備份服務(wù)器被爆發(fā)現(xiàn)后門DLink路由器固件后門騰達(dá)Tenda路由器后門黑客向NSA出售0day漏洞ApacheStruts2框架漏洞人民銀行慘遭國外礦工DDOS攻擊持續(xù)性同發(fā)性個人終端突破多攻擊向量社工0DAY社工跳板可信通道加密緩慢長期長期竊取戰(zhàn)略控制深度滲透1、APT背景與需求分析1、APT背景與需求分析APT攻擊的特點(diǎn)Advanced(復(fù)雜性):采用高級攻擊技術(shù),突破現(xiàn)有防御體系利用0Day漏洞、結(jié)合社交工程,向目標(biāo)系統(tǒng)發(fā)起組合多種技術(shù)的攻擊Persistent(持久性):躲過現(xiàn)有檢測技術(shù),可長時間潛伏定制惡意軟件,通過變形、加密等技術(shù)逃避檢測,在目標(biāo)系統(tǒng)內(nèi)部不斷擴(kuò)散Threat(目的性):具有明確的攻擊目的,造成巨大危害有針對性地收集和竊取高價值的數(shù)據(jù),控制和破壞重要信息系統(tǒng)防火墻殺毒軟件IDSIPS安全網(wǎng)關(guān)AntiSpamWeb攻擊釣魚郵件惡意文件0Day流量加密1、APT背景與需求分析現(xiàn)有網(wǎng)絡(luò)安全防御體系面臨的挑戰(zhàn)安全網(wǎng)關(guān)基于IP、URL等黑白名單進(jìn)行控制,無法檢測未知內(nèi)容入侵檢測基于攻擊特征檢測,誤報率高,容易被繞過殺毒軟件基于代碼指紋進(jìn)行檢測,缺乏動態(tài)行為深度分析,無法識別未知惡意代碼反垃圾郵件基于IP、域名、內(nèi)容特征檢測,難以對抗結(jié)合社交工程的定向攻擊防火墻基于IP、端口進(jìn)行攔截,缺乏對內(nèi)容的深度分析缺乏對未知攻擊的檢測能力缺乏對流量的深度分析能力1、APT背景與需求分析APT攻擊監(jiān)測的主要思路及挑戰(zhàn)原理:將分析樣本引入可控虛擬環(huán)境,動態(tài)解析或運(yùn)行樣本,通過分析樣本的
動態(tài)處理過程,判斷樣本中是否包含惡意代碼。目的:解決APT攻擊中的0Day漏洞利用檢測等問題挑戰(zhàn):1、惡意代碼的反制;2、全面的用戶環(huán)境模擬。
動態(tài)行為分析技術(shù)原理:對網(wǎng)絡(luò)中的正常行為模式建模,通過分析流量對于正常行為模式的偏離而識別網(wǎng)絡(luò)攻擊。目的:解決APT攻擊中的隱蔽傳輸與內(nèi)網(wǎng)探測檢測等問題挑戰(zhàn):簡單準(zhǔn)確的定義正常行為模式。
異常流量的檢測技術(shù)原理:在全流量存儲的條件下,回溯分析相關(guān)流量,對流量進(jìn)行深層次的協(xié)議解析和應(yīng)用還原,識別其中是否包含攻擊行為。目的:解決APT攻擊長期潛伏的發(fā)現(xiàn)與追溯問題挑戰(zhàn):1、高性能的數(shù)據(jù)捕獲;2、快速回溯分析能力。
全流量回溯分析技術(shù)123大綱背景與需求分析產(chǎn)品與關(guān)鍵技術(shù)案例分析關(guān)于我們1234實(shí)時檢測威脅阻斷數(shù)據(jù)還原策略管理警報收集數(shù)據(jù)展現(xiàn)數(shù)據(jù)保存追蹤取證可疑文件動態(tài)分析行為分析2.1、APT檢測平臺簡介2.1、APT檢測平臺簡介分布式平臺面向APT攻擊的多維網(wǎng)絡(luò)監(jiān)測產(chǎn)品惡意文件分析系統(tǒng)多環(huán)境虛擬化分析引擎樣本文件動態(tài)行為實(shí)時分析反分析、反虛擬化對抗支持集群化部署C/S架構(gòu)高速流量數(shù)據(jù)采集引擎海量協(xié)議模糊識別快速流量會話重建實(shí)時數(shù)據(jù)分析上報支持分布式部署C/S架構(gòu)前端服務(wù)系統(tǒng)數(shù)據(jù)深度關(guān)聯(lián)分析引擎可疑流量識別安全事件智能分析產(chǎn)品集中管理配置前端服務(wù)器管理B/S架構(gòu)分析中心2.2、產(chǎn)品部署產(chǎn)品部署示意圖2.3、產(chǎn)品關(guān)鍵技術(shù)關(guān)鍵技術(shù)1:基于硬件模擬的虛擬化動態(tài)分析技術(shù)宿主操作系統(tǒng):LinuxV-CPUV-Mem其他V-Devices操作系統(tǒng)樣本文件虛擬化分析環(huán)境分析引擎分析結(jié)果硬件模擬器指令行為關(guān)聯(lián)樣本文件分析中心2.3、產(chǎn)品關(guān)鍵技術(shù)關(guān)鍵技術(shù)1:基于硬件模擬的虛擬化動態(tài)分析技術(shù)多協(xié)議流量監(jiān)測基于硬件模擬的虛擬執(zhí)行環(huán)境Email檢測電子郵件還原郵件附件檢測動態(tài)行為實(shí)時分析文件釋放檢測Shellcode檢測密碼保護(hù)檢測系統(tǒng)修改檢測網(wǎng)絡(luò)連接檢測數(shù)據(jù)傳輸檢測重啟分析檢測分析環(huán)境智能選取Web檢測HTTP文件還原Webmail檢測
文件檢測網(wǎng)絡(luò)文件共享FTP文件傳輸2.3、產(chǎn)品關(guān)鍵技術(shù)Sandboxie、影子系統(tǒng)等系統(tǒng)沙箱FireEye本項目產(chǎn)品VMWare、VirtualBox等虛擬軟件第一代第二代系統(tǒng)沙箱技術(shù)虛擬軟件技術(shù)硬件模擬技術(shù)動態(tài)分析的發(fā)展和方法對比第三代技術(shù)缺陷:需要其他分析工具輔助和具有可檢測的軟件特征技術(shù)缺陷:需要運(yùn)行分析進(jìn)程和驅(qū)動需要掛載SSDT等系統(tǒng)鉤子防檢測虛擬機(jī)系統(tǒng)完全純凈,不做修改防篡改從模擬硬件直接提取原始數(shù)據(jù)防穿透所有代碼經(jīng)過模擬器翻譯執(zhí)行防干擾數(shù)據(jù)提取與數(shù)據(jù)分析相互隔離XX關(guān)鍵技術(shù)2:基于行為異常的流量檢測技術(shù)2.3、產(chǎn)品關(guān)鍵技術(shù)協(xié)議模式根據(jù)通訊協(xié)議的規(guī)范,檢測發(fā)現(xiàn)非規(guī)范協(xié)議的通信流量檢測的異常行為:木馬私有控制協(xié)議;隱蔽信道;網(wǎng)絡(luò)狀態(tài)根據(jù)網(wǎng)絡(luò)運(yùn)行狀態(tài)的歷史數(shù)據(jù)統(tǒng)計,形成正常行為輪廓,以此為基礎(chǔ)檢測異常檢測的異常行為:內(nèi)網(wǎng)探測;應(yīng)用數(shù)據(jù)異常網(wǎng)絡(luò)行為根據(jù)業(yè)務(wù)應(yīng)用特點(diǎn)定義正常行為輪廓,以此為基礎(chǔ)檢測異常檢測的異常行為:跳板攻擊;應(yīng)用訪問異常關(guān)鍵技術(shù)3:全流量回溯分析技術(shù)2.3、產(chǎn)品關(guān)鍵技術(shù)基于索引的海量數(shù)據(jù)快速檢索自主設(shè)計的海量數(shù)據(jù)存儲結(jié)構(gòu)和預(yù)處理算法1TB數(shù)據(jù)的檢索時間低于3秒鐘多維度的網(wǎng)絡(luò)流量線索分析支持從時間、會話、協(xié)議、事件等不同維度進(jìn)行網(wǎng)絡(luò)流量追蹤分析可根據(jù)發(fā)現(xiàn)的異常事件進(jìn)行深度追蹤、溯源,快速確定潛在的威脅,全面評估事件的危害大綱背景與需求分析產(chǎn)品與關(guān)鍵技術(shù)案例分析關(guān)于我們1234背景:某社會科學(xué)研究院負(fù)責(zé)國家社會學(xué)科研究和政策研究的院所,國外情報機(jī)關(guān)對該機(jī)構(gòu)進(jìn)行了長期的滲透攻擊。該研究院對此十分重視,部署了大量了防護(hù)設(shè)備。影響:發(fā)現(xiàn)臺灣、美國對該研究院已經(jīng)長期竊密,發(fā)現(xiàn)36臺重要的服務(wù)器和該機(jī)構(gòu)核心研究員個人主機(jī)被滲透,重要的國家社會情報信息和外交政策信息被竊取,造成重大的影響3.1、案例:某研究院被APT攻擊發(fā)現(xiàn)異?;厮萑∽C業(yè)務(wù)庫可疑郵件警報;黑域名攔截記錄;賬號信息警報;可疑HTTP警報;分析攔截查看郵件內(nèi)容;查看附件分析;提取添加黑域名;查看攔截記錄;搜尋問題IP;下載原始數(shù)據(jù)包;分析木馬活動情況;提取數(shù)據(jù)流特征;樣本庫;特征庫;黑域名/黑IP庫;攻擊、竊密行為模型庫;3.2、案例:檢測、追蹤、取證與防護(hù)利用社會工程學(xué)偽裝的郵件3.2、APT案例分析:偽裝郵件將高危附件提取的黑域名添加到黑名單檢測到收件人點(diǎn)擊了附件而且被植入木馬
3.2、APT案例分析:追蹤攔截防護(hù)找到中馬機(jī)器,調(diào)取其發(fā)生竊密行為的時間的原始數(shù)據(jù)包,還原整個竊密過程,并審計整個竊密行為
3.2、APT案例分析:回溯取證利用賬號記錄和分析功能,發(fā)現(xiàn)境外IP獲得了該研究院的所有郵箱賬號信息
3.2、APT案例分析:帳號攻擊APT(高級持續(xù)性威脅)攻擊軟件漏洞+社會工程學(xué)+行為隱蔽以信息竊密為主攻擊十分普遍,產(chǎn)品部署點(diǎn)都幾乎都有發(fā)現(xiàn)傳統(tǒng)的安全設(shè)備無法防范,如入無人之境。
3.3、APT攻擊總結(jié)美國同樣也面臨APT攻擊美國已經(jīng)有非常成熟的防范手段同類產(chǎn)品fireeye(火眼),Macfee同類產(chǎn)品Mandiant利用“火眼”發(fā)現(xiàn)來自中國的APT攻擊,最終指向總參三部二局美國超過1000家政府單位和大型企業(yè)部署“火眼”我國目前大多依靠傳統(tǒng)的安全防護(hù)手段來發(fā)現(xiàn)APT攻擊,能力較弱我國在意識和現(xiàn)狀非??皯n,大量的重要數(shù)據(jù)受到威脅
3.4、總結(jié):中、美如何應(yīng)對APT攻擊大綱背景與需求分析產(chǎn)品與關(guān)鍵技術(shù)案例分析關(guān)于我們12344.1、關(guān)于科來國家認(rèn)定的高新技術(shù)企業(yè)和雙軟企業(yè),在網(wǎng)絡(luò)協(xié)議分析等方面擁有多項核心技術(shù)和完全的自主知識產(chǎn)權(quán)產(chǎn)品。科來軟件的全球商用客戶超過5000家,遍布全球97個國家,85個世界500強(qiáng)企業(yè)客戶。2010年獲得網(wǎng)絡(luò)分析領(lǐng)軍企業(yè)獎;
2011年獲得“中國網(wǎng)絡(luò)分析行業(yè)最佳產(chǎn)品獎”;
2012年科來網(wǎng)絡(luò)分析系統(tǒng)獲“全球最佳科技產(chǎn)品獎”(PCMagazine)。成立于2003年4月,是一家專注于網(wǎng)絡(luò)安全和網(wǎng)絡(luò)分析技術(shù)和產(chǎn)品研發(fā)的高新技術(shù)企業(yè)。在網(wǎng)絡(luò)協(xié)議分析、特種木馬檢測與分析等技術(shù)方面有10多年的技術(shù)積累。4.2、生產(chǎn)基礎(chǔ)研發(fā)中心公司目前擁有2000平方米的研發(fā)中心,研發(fā)用設(shè)備100多臺。測試實(shí)驗室現(xiàn)有測試實(shí)驗室占地60平方米,配備了各類測試設(shè)備62臺。產(chǎn)品組裝線擁有專業(yè)產(chǎn)品組裝測試設(shè)備數(shù)十套,具備年產(chǎn)1000臺的設(shè)備組裝能力。4.3、客戶基礎(chǔ)科來在全球全球5000多商業(yè)客戶,87個世界500強(qiáng)用戶
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2024-2025學(xué)年人教版九年級英語復(fù)習(xí) 專題05 閱讀理解之說明文 【期末必刷15篇】
- 八年級語文第三次月考卷(考試版A3)【測試范圍:八上第1~5單元】(湖南長沙專用)-A4
- 三年級下冊英語一課一練-Module 7 unit2 it's warm today∣外研社(三起)(含解析)-1小學(xué)英語教學(xué)教材課件
- 2023年高頻電控氣閥項目融資計劃書
- 烹飪原料知識題庫(附參考答案)
- 養(yǎng)老院老人生活照顧細(xì)節(jié)制度
- 養(yǎng)老院老人健康巡查制度
- 汽車行業(yè)質(zhì)量管理體系內(nèi)審員模擬試題及答案
- 新造集裝箱檢驗合同范本
- 承包道路填石粉工程協(xié)議書
- 三維超聲輸卵管造影的應(yīng)用課件
- 高壓旋噴樁檢測方案
- Unit1 My classroom Part A Lets spell(說課稿)-2022-2023學(xué)年英語四年級上冊
- 查看下載鄭州電視臺商都頻道簡介
- 2023年國開大學(xué)期末考復(fù)習(xí)題-10861《理工英語4》
- 公安廉政心談話六篇
- 【要點(diǎn)解讀】《實(shí)踐是檢驗真理的唯一標(biāo)準(zhǔn)》論證邏輯圖
- 數(shù)字電子技術(shù)(山東工商學(xué)院)知到章節(jié)答案智慧樹2023年
- 商務(wù)禮儀(山東聯(lián)盟)知到章節(jié)答案智慧樹2023年山東財經(jīng)大學(xué)
- 人教部編版語文九年級上冊第一單元分層作業(yè)設(shè)計
- 《怪奇事物所》讀書筆記思維導(dǎo)圖PPT模板下載
評論
0/150
提交評論