如今,網(wǎng)絡(luò)攻擊技術(shù)和手段持續(xù)升級,漏洞利用攻擊、無文件攻擊等各類高級攻擊手段出現(xiàn),其攻擊手法隱蔽、破壞性強,給單位網(wǎng)絡(luò)安全帶來了極大挑戰(zhàn)。
其中,加密流量攻擊是攻防實戰(zhàn)中最常見的手法之一,攻擊者為了竊取數(shù)據(jù)、控制目標(biāo)系統(tǒng),往往采取更加隱蔽的加密通信技術(shù),通過對內(nèi)容進行協(xié)議加密,消除攻擊的明顯特征,使檢測難度呈指數(shù)上升。
據(jù)深信服千里目安全技術(shù)中心2021年的實戰(zhàn)分析,近50%的安全事件由加密流量攻擊引發(fā)。如滲透階段采用TLS加密掃描,攻擊階段采用RDP、SSH等加密的暴力破解,再通過webshell獲取權(quán)限,最后通過加密隧道外發(fā)數(shù)據(jù)等。
一、AI技術(shù)在實戰(zhàn)中被廣泛應(yīng)用
檢測加密流量而不損害其加密完整性的智能手法逐步被認(rèn)可,AI技術(shù)可以基于大數(shù)據(jù)統(tǒng)計分析,挖掘數(shù)據(jù)規(guī)律及目標(biāo)特征,更快地檢測出加密流量威脅,減少所需時間和資源,提高網(wǎng)絡(luò)分析的效率及準(zhǔn)確性,在實戰(zhàn)中被廣泛使用。
然而,AI技術(shù)如沒有得到有效運用,也無法在實戰(zhàn)中檢測到加密的威脅行為。例如無監(jiān)督學(xué)習(xí)可以定位未知威脅,但精準(zhǔn)度待提升;有監(jiān)督學(xué)習(xí)精確度高,卻無法覆蓋未知威脅。
二、如何在實戰(zhàn)中精準(zhǔn)識別加密流量攻擊?
深信服安全團隊經(jīng)過7000+用戶實踐發(fā)現(xiàn),只有將無監(jiān)督學(xué)習(xí)和有監(jiān)督學(xué)習(xí)智能化結(jié)合,才能最大限度提升加密流量攻擊的識別率。
▲深信服NDR在實戰(zhàn)中識別高級威脅行為示例
1.有監(jiān)督學(xué)習(xí)精準(zhǔn)識別已知加密流量
有監(jiān)督機器學(xué)習(xí)通過將已知、帶標(biāo)簽的行為數(shù)據(jù)輸入系統(tǒng),學(xué)習(xí)分析數(shù)據(jù)行為,并根據(jù)數(shù)據(jù)標(biāo)簽來檢測、識別特定的高級威脅。
深信服NDR(全流量高級威脅檢測系統(tǒng))應(yīng)用AI模型,基于有監(jiān)督機器學(xué)習(xí)抓取所有上下行流量,提取1000+維度特征,同時增加了模型訓(xùn)練算法LightGBM學(xué)習(xí)特征的權(quán)重,對已知高級威脅的檢測更為精準(zhǔn)。傳統(tǒng)的檢測方式基于一個模型檢測多個場景,不同場景的特征不盡相同,因此誤報率很高。深信服NDR基于AI模型有監(jiān)督學(xué)習(xí)進行場景化建模,一個模型對應(yīng)一個場景,根據(jù)場景特征進行針對性檢測,模型檢測精準(zhǔn)率能夠達到98%。
2.無監(jiān)督學(xué)習(xí)提前發(fā)現(xiàn)未知加密流量
無監(jiān)督的機器學(xué)習(xí)覆蓋了聚類、神經(jīng)網(wǎng)絡(luò)等方法,不依賴任何標(biāo)簽值,通過自主學(xué)習(xí),挖掘數(shù)據(jù)內(nèi)在特征,實現(xiàn)自動化全面檢測,更合理地利用資源,提升效率。
深信服NDR基于AI模型無監(jiān)督學(xué)習(xí)方法,通過聚類學(xué)習(xí)、特征映射等智能分析技術(shù)建立設(shè)備加密流量動態(tài)行為基線,篩選出異常的、可疑的行為,同時結(jié)合行為聚合與關(guān)聯(lián)分析,檢測出未知威脅的早期跡象,最大程度地實現(xiàn)自動化檢測,可以快速檢測出如下異常,幫助網(wǎng)絡(luò)安全團隊主動預(yù)防威脅:
異常的網(wǎng)絡(luò)設(shè)備JA3
異常的訪問時間和訪問頻率
異常的上下行數(shù)據(jù)包比率
異常的證書簽發(fā)機構(gòu)
……
以常見的“服務(wù)器權(quán)限獲取手法webshell加密通信”為例,攻擊者通過滲透系統(tǒng)或網(wǎng)絡(luò)安裝webshell ,在應(yīng)用服務(wù)器上執(zhí)行敏感命令、竊取數(shù)據(jù)、植入病毒,危害極大。webshell具有很強的隱蔽性,傳統(tǒng)的、基于單向數(shù)據(jù)流的流量檢測方案,無法實時更新數(shù)據(jù),難以有效檢測webshell。
深信服NDR基于AI模型無監(jiān)督學(xué)習(xí)的孤立森林異常點檢測算法,可以構(gòu)建特征向量,精準(zhǔn)檢測“孤立離群”的webshell訪問行為,具有更高檢出率,更低誤報率。除了webshell加密通信場景外,深信服NDR同樣支持隧道檢測、CS漏洞、加密挖礦、加密反彈shell等威脅檢測,覆蓋多種加密威脅場景。
▲NDR發(fā)現(xiàn)攻擊者發(fā)起暴力破解,并上傳免殺的webshell文件,最終實現(xiàn)遠程控制
目前,超7000+用戶依托深信服NDR產(chǎn)品,在常態(tài)化攻防實戰(zhàn)中筑牢安全堡壘。除了全面精準(zhǔn)的高級威脅檢測,深信服NDR還可以深度聯(lián)動EDR、SaaS XDR等,對流量側(cè)、端側(cè)數(shù)據(jù)聚合分析,實現(xiàn)分析、檢測、溯源、響應(yīng)的一站式防護閉環(huán),全力提升企業(yè)級用戶的縱深防御能力。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )