网安 - 专业的网络安全产业、社区、知识平台

孙朝晖:全量数据是一切网络安全分析的起点

VSole2022-03-21 10:18:17

随着产业数字化发展进入深入区,网络空间不断壮大,网络的边界也变得难以界定,站在网络的角度看安全,传统的安全分析有着怎样的短板与不足?未来大数据分析应该更注重哪方面的能力建设?

近日,腾讯安全云鼎实验室「安全大讲堂」邀请北京派网软件CEO孙朝晖,基于安全业务视角,深度剖析网络大数据分析的应用现状,探讨“网络大数据分析发展趋势”,为企业网络安全建设发展提供了前瞻性建议。

从网络的角度看,传统安全厂家、安全专家在研究流量时,更多集中在HTTP、DNS、隧道协议、远程控制协议等常用网络协议上,但事实上,这些协议的流量在整个网络世界的占比约为40%,只是网络流量的冰山一角。我们在进行网络分析的时候,更应该关注的是水下的部分,也即是现在业界比较热门的话题——“全流量”

在未来10年,可以说,全量数据是一切网络安全分析的起点,即分析设备或者分析引擎要切切实实关注全流量数据,每一帧,每一个会话,每一个数据包。

为什么强调“全流量”?这要从数据分析的两种建模方式说起,即已知中寻找异常和未知中排除正常。

所谓大隐隐于市,异常的通信内容隐蔽伪装在常用协议中,是很多恶意应用的常用手段。如果能对已经识别的协议,根据协议、目标去向、域名、URL、DNS请求、用户身份、地理位置、UA等元数据,建立数据仓库,再根据它们的波动、差分、排序等统计规律寻找异常变化,最后对锁定的异常变化会话数据进行深度的原始数据分析,就可以找到很多问题的答案。

这便是已知中寻找异常,也是安全厂商及安全解决方案中常用的方式,如IDS告警、WAF告警等都属于这一建模方式的应用。

而未知中排除正常,在现有的安全解决方案中相对比较少见,因为特别多的网络流量会被各种识别引擎剔除出来,在未知中寻找正常,需要排除这些已知的应用对安全的干扰。通常情况下,被识别引擎确定为未知的协议数据有三种:小众协议、已知协议数据的漏识别以及广泛使用的非正常协议。

利用同目标其他识别结果的交叉校验,我们可以排除大量已知协议数据的漏识别,再结合交叉地理位置、使用频度等情况,剩余的小众协议和广泛使用的非正常协议就会快速地浮出水面。在我看来,这和零信任在本质上有相似的逻辑,在未知中排除正常时,应该和零信任的概念相结合。

以网络安全行业较为关注的典型IDC流量模型为例,一般我们认为,IDC正常的业务场景应该是业务流向从外到内,下行远远小于上行。

在进行虚拟货币排查的时候,一般有两个判断思路。

第一种是从威胁情报中获悉,也是常用的技术手段。各个威胁情报厂商都有相对丰富的矿机样本,用户在使用时,只需要在安全设备上开启该功能进行检测即可。

第二种则是使用流量识别的方式,也是我前面提及的,从全量数据出发进行分析。本质上说,虚拟货币的识别并不需要外挂很多安全检测产品来实现,通用型的网络设备即可解决该问题,用户只需借助现有网络设备的精准应用识别能力,针对虚拟货币等异常流量进行甄别和记录。在我看来,这就是典型的已知中寻找异常的应用场景。

如果两个IDC之间搭建了一个隐蔽的通信隧道,如何进行安全分析?

同样地,也有两种方法:行为分析法和目的筛选法。

行为分析法的线索非常简单,隐蔽的隧道通常会去往国外未知协议,且经常会使用已知协议伪造固定域名。按照URL日志检索未知流量的日志,可以发现大量访问固定域名的URL记录,通过nslookup进行查询,可以发现其域名为伪造域名,这就是典型的利用v2ray软件搭建的FQ通道。

FQ的最终目的是访问国外的一些服务器,或者与国外进行大量交互,从这点出发,可以直接按照流量流向的TOP目标进行筛查。这就是目的筛选法,和行为分析法一样,都是典型的在未知中排除正常的应用场景。

我们在日常排查中也曾发现类似的事情:逐一按会话日志筛查与这些目的IP交互的会话信息,发现与***.***.76.236频繁交互的IP为***.***.26.20,二者端口号都是18888,且其中大多会话均与国外交互,交互的协议多为未知流量。我们继续按此逻辑逐一排查TOP目标IP,发现大多均与***.***.26.20有交互,因此可以判断,***.***.26.20非常可能是一个FQ节点,在众多未知流量中被发现的非正常流量。


回到最开始的话题,网络安全分析的未来发展趋势,我认为,至少未来3~4年内,我们还应该更多地关注统计中间表的建立,比如ICMP、DNS、NTP等。这些能够概括网络基本属性的统计中间表,都属于多样式的确定性规则,因此,人工智能在网络大数据识别处理上的应用助力非常有限。

而且在我看来,在网络流量、大数据分析对安全协助的层面上,只有一个办法,即通过日常的统计规律来完成对流量的识别,借助人工智能来提高检出率的想法并不是太现实。不过在域名、URI和FLOW三个方向上,人工智能还是拥有较大的发挥空间。

以上是本次「安全大讲堂」特邀讲师北京派网软件CEO孙朝晖的分享精华整理。下一期将为大家带来中国信通院云大所云计算部副主任陈屹力的分享精华整理——《未来云原生安全能力建设将强调体系化的安全防护》,敬请留意关注。

网络安全大数据
本作品采用《CC 协议》,转载必须注明作者和本文链接
网络安全正在成为数据分析的目标
2021-11-24 12:33:02
新冠情让网络安全威胁态势变得更加严峻,网络钓鱼攻击在过去一年平均增长了70%,数据泄露的平均成本于今年上升至21659美元,企业组织都在想寻求更好的方法来维护网络安全数据分析因此有了用武之地。
网络安全中的数据治理
2021-08-03 16:32:00
数据是指大型复杂的结构化或非结构化数据集。数据技术使组织能够生成、收集、管理、分析和可视化数据集,并为诊断、预测或其他决策任务提供见解。处理数据的关键问题之一是采用适当的数据治理框架,这样可以:①以所需的方式管理数据,以支持有效机器学习的高质量数据访问;②确保该框架规范存储和处理在相关监管框架内以可信赖的方式收集来自供应商和用户的数据。提出了一个数据治理框架,指导组织在相关的规则框架
基于数据关联性分析的新能源网络边界协同防护技术
2022-05-12 11:24:26
随着能源互联网的发展,电力信息网络系统架构也在不断变化,使电力信息网络安全面临着新的挑战。研究基于网络流水印的多点协同追踪和多层次的网络威胁协同阻断技术,由此设计高效的水印嵌入和检测算法,通过节点的协同配合,实现对安全威胁的实时追踪,同时针对不同的安全威胁,设计多层次的连接干扰和网络阻断技术,实现网络威胁的弱化和阻断。提出了跨域协同入侵追踪架构,解决了跨域网络入侵路径的快速重构。提出了基于时隙质心
基于数据的安防体系建设研究和实践
2022-02-17 17:56:44
随着数据、人工智能和云计算等信息技术的发展,安全防护形势也越来越严峻,IT 架构和服务模式不断发生变化,传统的安防体系面临着诸多问题。在继承传统的安全防护体系的基础上,提出了将数据相关技术融入到安防体系中,并从数据接入层面、数据融合分析层面、数据服务层面出发,通过数据等技术手段构建了安全数据中台,完善了安全防护技术体系。实践证明,该体系在结构上能够有效弥补传统安全防护架构的不足。
了解数据服务
2023-12-12 10:52:30
了解数据服务
全球网络安全态势综述报告
2024-01-27 10:37:36
从全球视野来看,当前的世界并不是一个安全的世界,攻防的博弈一直都在,并且愈演愈烈。我们知道,网络空间已成为继陆、海、空、天之外的第五空间,维护网络安全成为事关国家安全的重大问题。美国等西方发达国家频繁炒作“中国网络威胁言论”,但实际上作为拥有最强大网络武器库、最先进网络基础设施的国家,美国一直依靠其强大的网络攻击能力,对包括中国在内的多个国家持续进行网络攻击,西工大事件的爆发就是一个实例佐证。发达
范渊:全面理解网络安全对国家安全的重要性
2021-09-26 10:41:44
范渊,杭州安恒信息技术股份有限公司董事长,毕业于美国加州州立大学,获得计算机科学硕士学位,曾在美国硅谷国际著名安全公司从事多年的技术研发和项目管理,对在线应用安全、数据库安全和审计有深入的研究,主编《智慧城市与信息安全》一书。
公安部:严厉打击网络违法犯罪 切实维护国家网络和数据安全
2023-07-10 11:53:30
2023年7月6日,公安部召开“公安心向党 护航新征程”系列主题新闻发布会。其中,公安部牵头建立的网络安全等级保护制度,已经成为网络安全领域的基本制度。公安部积极参与制定数据分类分级保护、数据安全风险评估、监测预警和应急处置、数据安全审查等工作制度,健全完善数据安全制度体系。
智慧电力网络安全态势感知能力建设与提升
2021-09-06 14:25:29
在智慧电力快速发展的背景下,电力行业数字化转型进入跨越式的发展,新的应用不断涌现,整体网络规模逐渐扩大。物联网、云平台和数据中台等新型数字基建平台的建设,使网络边界从物理边界向物理和虚拟边界混合的模式演变。为保障电力生产、经营管理和客户服务等重要业务的正常开展,依据国网公司信息安全管理要求,国网上海市电力公司(SMEPC)构建了综合防线,覆盖互联网大区、管理信息大区和生产控制大区。
VSole
网络安全专家