隨著IT技術(shù)和通信技術(shù)的發(fā)展�,網(wǎng)絡(luò)環(huán)境日趨復(fù)雜�,云計算和虛擬化等技術(shù)應(yīng)用使得主機邊界、網(wǎng)絡(luò)邊界變得更加動態(tài)和模糊���,網(wǎng)絡(luò)攻擊日漸頻繁����,隱蔽性、持續(xù)性等高級網(wǎng)絡(luò)威脅明顯增多�����,傳統(tǒng)的單體防御已難以滿足安全防護需求�,通過攻擊之前態(tài)勢感知的應(yīng)用日志分析及安全設(shè)備的聯(lián)動防御加強網(wǎng)絡(luò)防護能力的呼聲越來越高�。
電力能源行業(yè)網(wǎng)絡(luò)環(huán)境都存在一定的復(fù)雜性,不同的業(yè)務(wù)部署了各類的Web應(yīng)用��;在數(shù)據(jù)層�、網(wǎng)絡(luò)層以及應(yīng)用層等網(wǎng)絡(luò)信息系統(tǒng)中的各個環(huán)節(jié)配置了具有專門功能的防護安全設(shè)備。這些安全防護設(shè)備不僅涵蓋基本的防火墻�、防病毒、數(shù)據(jù)庫審計等���,也包含較新攻擊特征的防御系統(tǒng)���,如抗拒絕服務(wù)系統(tǒng)、高級持續(xù)性威脅防御系統(tǒng)等���。但是現(xiàn)有的防護手段依舊無法滿足用戶更及時準確的把握攻擊者動向的迫切需求�����。
盛邦安全通過多年來對電力能源行業(yè)安全事件的分析及處置經(jīng)驗得出����,95%以上的攻擊者會通過掃描工具,針對系統(tǒng)的數(shù)據(jù)庫�����、后臺管理地址��、網(wǎng)頁漏洞等進行滲透��,收集目標系統(tǒng)的信息��。與此同時����,被掃描的系統(tǒng)日志上會留下掃描記錄以及異常流量信息。由此可見���,攻擊者在嗅探階段的惡意掃描行為是可以通過日志�、流量提前預(yù)知的����。
入侵防御系統(tǒng)的核心可以理解成漸進明晰的過程���。通過日志告警、異常流量警報等安全設(shè)備獲取的數(shù)據(jù)���,通過數(shù)據(jù)分析進行事件分析���,進一步實現(xiàn)對未知威脅的預(yù)測���?�;趩蝹€系統(tǒng)的事件預(yù)警是通過攻擊者對目標系統(tǒng)的嗅探攻擊���,實時采集分析應(yīng)用層日志以及告警事件,實時監(jiān)控系統(tǒng)的安全性�。當系統(tǒng)開始遭遇惡意掃描、暴力破解等行為時����,入侵防御系統(tǒng)將立即啟動告警機制,并及時通過短信��、郵件等多種途徑發(fā)送告警信息。
入侵防御系統(tǒng)基于應(yīng)用層日志��、流量告警事件可劃分為3個階段:未知威脅發(fā)現(xiàn)�����、威脅事件判定����、威脅事件告警。
攻擊者入侵系統(tǒng)前��,首先要通過嗅探攻擊進行信息收集�,95%的攻擊者是會利用掃描工具對目標系統(tǒng)的后臺管理地址、數(shù)據(jù)庫�����、網(wǎng)頁漏洞等進行掃描�,通過試探性攻擊分析確定系統(tǒng)的薄弱點,為后續(xù)的入侵攻擊尋找目標���。攻擊者在信息收集時通常使用掃描器或構(gòu)造特殊的HTTP請求等����,使得服務(wù)器端的應(yīng)用程序返回一些錯誤信息或系統(tǒng)運行環(huán)境的信息,從而獲取Web服務(wù)器和應(yīng)用程序指紋信息�����、后臺應(yīng)用程序信息等��。但同時攻擊者執(zhí)行的一系列操作都會在系統(tǒng)日志上形成一條條的日志記錄以及異常流量告警信息���。
日志信息�����、流量信息是相互關(guān)聯(lián)但又相互孤立的數(shù)據(jù)�����。單純的通過對流量的分析不能準確定位每條預(yù)警的有效性,而結(jié)合日志信息進行關(guān)聯(lián)分析�,可以在攻擊者剛剛有所行動時就將攻擊行為扼殺在搖籃之中。通過構(gòu)建大量的基于惡意掃描�、滲透爆破等行為模型,針對不同的惡意攻擊依據(jù)模型��,更精準地判定事件���,將攻擊形式��、對系統(tǒng)的數(shù)據(jù)庫����、中間件或者是管理后臺地址等各種層面的攻擊及時、準確地進行預(yù)警����,為威脅處置、及時響應(yīng)提供具有針對性的依據(jù)�。
入侵防御系統(tǒng)通過對可疑行為的分析、判定得出結(jié)論之后����,及時告知管理員發(fā)現(xiàn)可疑入侵行為,并提供簡單的處置建議����。入侵防御系統(tǒng)能夠在及時定位到發(fā)生威脅的單個系統(tǒng),在攻擊者還未對目標系統(tǒng)發(fā)起攻擊前就采取相應(yīng)的防御手段�,將大大減少系統(tǒng)被入侵的風(fēng)險。
無論網(wǎng)絡(luò)安全技術(shù)多強�����、多新都無法保障網(wǎng)絡(luò)運行的絕對安全;不論系統(tǒng)的漏洞修復(fù)程度及加固工作做到何種程度����,總有更高超的攻擊者從意想不到的地方實施入侵;所以���,不能單純的以加固的方式去考慮防御��,可以換個思路�����,從攻擊者的入侵行為去分析和入手���。不論是利用0day漏洞還是常規(guī)漏洞,攻擊者都會對目標系統(tǒng)進行嗅探攻擊����,而這些行為都是可以通過日志信息���、流量信息提前知曉的�����。知己知彼����,百戰(zhàn)不殆。立足攻擊者的角度�,將威脅事件通過數(shù)據(jù)分析的方式得到攻擊前的“蛛絲馬跡”,就有機會實現(xiàn)將不可控的未知威脅變成可預(yù)知的威脅預(yù)警�����,未雨綢繆��,防患于未然��。
