慧眼云:基于云计算和大数据分析的主动防御实践

不论IT如何变迁,网络安全始终是不过时的话题。但不同环境的网络安全有不同的内涵,当前全产业转型“互联网+”,云计算、大数据和移动互联网技术的普及应用,极大地改变了IT架构,网络边界越来越模糊,同时趋利性的未知安全威胁也越来越多,这为安全管理带来了新的挑战,同样也未安全技术的升级提供了契机。

在此背景下,网康近日推出的慧眼云(wise eye)网络威胁感知系统,基于云、大数据和机器学习技术,通过异常行为识别技术和威胁情报技术进行失陷主机的分析、发现、溯源,还原整个攻击过程,找到安全薄弱点,最终部署对抗措施,提升覆盖已知威胁和未知威胁的主动防御能力,将安全隐患消灭于萌芽状态。本文将介绍网康慧眼云的设计思路与架构。

安全方法论的变革

有经验的安全技术人员都知道,传统安全产品,如终端杀毒、防火墙、IPS、Web安全,都是基于已知特征和预设规则展开工作的,其理论依据是边界安全与P2DR防护模型(一种基于已知威胁的静态、被动防御模型)。当“互联网+”时代来临,未知威胁来临、内部威胁增多,网络边界逐渐模糊化甚至消失后,传统安全静态、被动、防御思维的安全模型对未知威胁的检测必然乏力,已经不能够应对当前网络攻击趋势。而未知威胁由于政治/经济利益,将更加猖獗。因此,彻底打破旧的安防体系,变被动防御为主动感知和主动防御,是现代安全架构需要实现的突破。

大数据分析和机器学习方法的兴起,带来了变革的工具和思想基础。大数据分析和机器学习技术能够根据已有数据感知和预测未来,也就是说利用已有的海量攻击数据提取特征并构建出有效的模型,再根据模型实时监测网络流量,识别出异常行为,预测安全风险。当然,识别的精确程度,有赖于模型的质量;同时,海量数据的分析必须依靠云计算技术。

慧眼云系统设计思路与架构

具体的模型构建思路,网康安全工程师分析认为,每一次的入侵渗透,都会有目标侦测、攻击工具使用、漏洞利用、恶意软件植入等多个环节。由于0day等未知威胁的的利用,初始入侵的成功率越来越高,一旦入侵成功后,入侵者将找到一个支撑点,通过这个支撑点再逐渐进行内部渗透,继续寻找其它支撑点,直至找到攻击目标,然后进行数据的收集和窃取。如果能提前发现这些支撑点,攻击者也将最终失败。这些支撑点的渗透必然伴随着许多异常行为,换言之,通过对异常行为的分析,就可以发现支撑点,从而找到安全隐患。所以,异常行为的分析成为解决问题的关键。

基于上述思路,网康推出了慧眼云产品,主打“失陷主机(支撑点)”的检测,通过对网络中行为日志、安全日志、流量日志等进行实时、快速、持续的关联分析,结合网康威胁情报系统,实时检测到网络中存在的问题系统,并通过溯源取证,部署防御措施,从而提高安全防护能力。慧眼云系统整体架构如下图所示。
 


 

通过失陷主机、威胁情报、情景分析、日志搜索和安全报告等核心功能,慧眼云完成了支撑点的检测和报告输出。基于威胁行为阶段和行为模型(与C&C服务器通信、发起扫描攻击等),慧眼云构建主机失陷的确定性和威胁性的分数,并通过失陷主机的威胁活动分布、详细数据列表等逐层钻取,进行整个失陷过程的还原,找到对抗方法。基于威胁情报的整合,慧眼云可以勾画出攻击者的画像,预测将来可能发生的攻击。涉及主机类型、连接方向、源地址、目的地址等属性的情境分析,则能够自适应的建模出客户当前业务下的安全威胁模型,从而更有针对性的发现网络中存在的异常。慧眼云还支持几秒内完成几十T的数据搜索,让安全人员可以进行快速的事件定位和回溯。

这些功能的具体演示,请点击阅读:深度体验慧眼云,探秘国内失陷主机检测系统。这里要说的是,失陷主机、威胁情报和情境分析功能的存在,对于慧眼云能够“慧眼”预测未知威胁来说功不可没,而基于统计关联分析、机器学习的异常行为检测技术,则是这三项功能的核心所在。例如,通过对基于大数据分析平台,融合外部情报,NS-TIP威胁情报生产平台才能够给出恶意IP、恶意URL、恶意DNS、恶意行为,并还原攻击者组织、攻击目的、行业覆盖度、活跃程度等信息。全方位、多角度对海量数据的深度挖掘、关联和聚合,是精准识别、感知的保证。慧眼云底层的大数据分析架构如下图所示。
 


 

大数据分析涵盖流量日志、威胁日志、应用日志和用户日志,谈到这些数据源就不能不提到云计算技术对本地用户异常行为的收集,这也和慧眼云的部署模式有关。网康慧眼云整体解决方案包含慧眼云和NGFW两部分,支持公有云、私有云两种形态。NGFW 既可以设置为镜像模式,作为慧眼云的独立探针;也可以串接,作为网关、网桥,不但作为慧眼云的探针,也作为安全管控设备,进行安全阻断管理。

公有云部署模式下,客户可以在互联网边界、内网边界、数据中心边界分别部署NGFW 防火墙,这些NGFW实时地将网络中的各种安全日志上传到公有云进行大数据的关联分析。私有云模式用于安全日志量过大的用户,他们可以在互联网边界、内网边界、数据中心边界分别部署NGFW防火墙和其它内网产品,将这些设备产生的各种安全日志上传到私有云进行大数据的关联分析。

小结

基于云和大数据技术,慧眼云能够对网络异常行为进行实时、持续的检测,结合威胁情报系统,发现网络中存在的失陷主机,并采取对应措施,防患于未然。慧眼云通过对各种日志基于时间维度和空间维度的关联分析,发现用户的异常行为,锁定潜在风险,提高安全防御能力。而通过对历史数据的分析和钻取,对已经失陷的主机进行完整的还原和过程回溯,慧眼云可以为掌握攻击过程、评估攻击危害提供数据支撑,找到根本性对抗措施。