在線公開課 | 教你如何自行搭建一個威脅感知大腦？

那麼在雲上安全備受矚目的大環境下，雲態勢感知技術又如何爲安全保駕護航呢？在將來又有着怎樣的發展趨勢呢？爲此，京東雲產品研發部產品經理梁洋洋，專門爲你們解讀了雲態勢感知的進化論。

 

01態勢感知出現的技術背景

雖然態勢感知是近幾年新有的安全名詞，但對於有安全背景的人來講，態勢感知並不陌生，它是跟SOC（安全操做中心）對標的產品。

在2010年以前，安全威脅不是特別多，主要仍是集中在網絡層面，因此當時的SOC產品仍是停留在NOC（網絡操做中心）基礎架構的階段。

當時比較出名的產品是Cisco-MARS產品，主要是把全部Cisco的交換機、路由器、防火牆、IDS、IPS數據都收集上來，而後放到MARS裏面來關聯分析，造成攻擊拓撲圖。這就是態勢感知最初始化的雛形，也就是把網絡層面的安全數據收集到NOC的產品當中。在安全技術還未成熟的2010年，這個技術足以讓人眼前一亮。

因爲安全威脅場景不斷變化，普通的NOC產品沒法分析出APT攻擊，加上安全設備和安全事件的突增，傳統的NOC已沒法知足需求，因此在2010年-2015年逐步興起SIEM/SOC平臺。SIEM是安全信息和日誌管理平臺。能夠把主機上的安全日誌包括登陸日誌都蒐集上來存儲到SIEM裏，對分析攻擊場景有很大的幫助。

不過，國內的一些安全廠商對SOC輸出沒有標準，致使蒐集的日誌格式不統一，後面的關聯分析達不到用戶需求，最終80%的SOC的項目都以失敗了結。

那麼新的態勢感知相比SOC平臺有哪些不一樣呢？

首先是檢測引擎，安全探針要提高自身的檢測能力和準確性。主機層面經過在終端安裝EDR產品或者下一代殺毒軟件，進行蒐集比較準確和簡單關聯的日誌，利於更好地檢測安全威脅。網絡層面經過NTA（全量日誌分析產品）來匹配危機情報和沙箱等新技術進行分析。web層面也會有基於語義分析的WAF日誌，這樣收集對關聯分析起到很大做用，達到檢測層面的提高。

其次是大數據架構方面的提高。因爲現有的SOC平臺用傳統的MySQL和Oracle來進行關聯分析，這種關聯分析的技術擴展性相對較差。因此隨着大數據技術的發展，蒐集的時候用Flume，存儲的時候用ES，在關聯分析的時候用Spark，達到大數據雲架構的改變。 最後是在雲上更有優點。能夠高度規劃實時的採集日誌，而且經過Kafka這種方式發送到態勢感知的安全操做中心，這樣在之後的關聯分析時就佔有了主動權。基於這些因素，才讓態勢感知產品出現。

隨着技術的發展，態勢感知會繼續往下發展，下一個極端是基於安全運營的SOC，比上一代的威脅感知SOC多了基礎日誌收集豐富程度。經過智能分析架構來作處理，例如機器學習、圖分析等技術。

 

02態勢感知技術的發展趨勢

態勢感知首先經過網絡層面進行決策，經過蒐集了大約十款產品來進行調研分析，發現網絡層面的能力主要有核心能力、擴展能力和加強安全運營能力。

態勢感知的核心能力包括持續抓包取證、流量/威脅可視化、網絡入侵檢測系統規則匹配、WebIDS規則匹配。擴展能力主要體如今威脅情報、動態行爲檢測和機器學習自動檢測引擎，機器學習自動檢測引擎裏面又分爲分類分析、聚類分類和KDE時序分析。

加強安全運營能力就是對安全實體進行分析，經過分析探針來查看攻擊的用戶，好比SOAR、Kill-Chain、UEBR。而態勢感知在主機層面上的能力，除了有核心能力、擴展能力和加強安全運營能力外，還具備未知威脅檢測能力。

針對於雲上，態勢感知的核心能力主要是作雲工做的負載肩負，包括配置/漏洞管理、網絡隔離防火牆流量可視化、系統完整性測量認證和監控、應用程序控制、補充性內存和漏洞攻擊防禦。

擴展能力中的行爲監控HIDS/EDR能力是雲端主機層面防禦軟件中最重要的，其它還包括靜態加密KMS、HIPS漏洞屏蔽、欺騙能力和反惡意軟件。加強安全運營能力包括工做負載外部的漏洞和配置評估、IAM/MFA、日誌管理和監控。未知威脅檢測能力需終端集成威脅情報、AI/沙箱雲查殺。

 

03京東雲態勢感知功能優點

京東雲的態勢感知產品可幫助用戶進行大數據安全分析。最底層是基礎數據層，進行NetFlow蒐集、網絡流量、DNS、HTTP/S日誌收集。第二層是威脅感知層，經過安全的探針檢測，包括DDoS/高防、全量日誌分析、NIDS、威脅情報匹配、機器學習異常檢測、沙箱、主機安全/EDR和漏洞掃描/蜜罐裏的數據都蒐集上來。

第三層是關聯分析層，包括實時針對性攻擊分析、APT攻擊分析、自動化編排研判、精準畫像UEBA和圖分析。針對性攻擊是在一分鐘以內發現了攻擊的關聯分析，而APT攻擊會把攻擊時間相對拉長，拉長成一小時或者一天的時間，給黑客足夠攻擊時間，便於檢測黑客攻擊的狀況。

自動化編排研判是目前比較好的解決方案，因爲黑客的攻擊手段千奇百怪，只能更細化調度的引擎，細化到每一個功能點像積木同樣組合在一塊兒，造成關聯鏈。經過關聯鏈更好的去分析、豐富查詢關聯分析的過程。

而UEBA主要是針對雲上的數據，以數據層面來進行切入，好比說OSS、RDS或用戶自建的數據庫對它進行監控，包括用戶對數據庫的訪問、對象存儲的訪問進行分析。底層的（OpenAPI）的訪問也都會進行關聯分析或機器學習分析。

圖分析是在主機層面檢測信息、網絡信息、用戶信息能夠用圖的方式展示給用戶，能夠挖掘出攻擊的路徑，是一種很好的分析手段。

第四層是威脅展現層，主要是經過告警事件、威脅事件、熱點事件、安全大坪、自動化攻擊溯源給用戶展現，下降用戶調查取證的時間，提高效率。

經過雲上日誌能夠分析出更有價值的安全威脅以及安全問題。

底層基礎網絡信息是五元組、DNS、HTTP、LB信息，在攻擊路徑的時候可能會經過NAT的轉換，轉換以後便不可查找主機ID。同時，NAT數據可用於對資產進行再補齊。經過VPC Log獲取VPC裏數據流傳輸，還能夠分析出橫向攻擊。

在主機基本信息中，經過上傳的進程、端口、帳號、軟件、文件、系統日誌，關聯出更有價值的信息。好比說異常網絡鏈接、肉雞行爲、可移操做、敏感文件篡改均可以進行分析。安全產品例如Anti-DDos、WAF、掃描器、HIDS、NIDS、數據庫審計、堡壘機均可以上傳。有利於分析DDoS攻擊、Web漏洞、SQL注入、病毒木馬等。

雲產品組件的雲產品基線，配置失敗可能引發的漏洞；還能夠對OSS審計日誌、RDS審計日誌、OpenAPI日誌的風險訪問行爲進行分析。還有人員信息中de登陸日誌和權限日誌。這些均可以幫助態勢感知更好的進行分析。

 

04雲態勢感知技術攻擊鏈分析

攻擊鏈分析分簡單規則關聯分析和複雜規則關聯分析。

雲態勢感知技術的計算層採用Spark，這樣數據分析產生的警告會隨着時間流入到大數據處理引擎（Spark）裏，經過Spark裏的滑動窗口對全部輸入的數據流來分析。遭受到暴力破解併成功，第一個從網絡的IDS會產生警告，接下來會有EDR告警，同時安裝系統後門。整個操做是連貫的，這即是簡單規則關聯分析。

那複雜規則關聯分析是什麼樣的呢？首先黑客會使用掃描集羣，掃描RDS端口進行暴力破解。若是未受權訪問上控制雲服務器的基礎服務器，便會將公鑰寫入基礎服務器，以後就能自動化操做，好比說裝一些黑客工具、DDoS工具或挖礦、勒索工具。

惡意服務器長時間掃描會被威脅情報檢測到服務器的IP地址，而後態勢感知在本地檢測的時候會對這些IP進行掃描。在掃描暴力破解的時候，利用NIDS ET規則來進行檢測，接下來會用Redis弱口令/開啓認證，口令是弱口令或者沒有開啓認證，會產生告警事件。寫入C&C服務器公鑰的時候會使用sshkey目錄，在動目錄的時候會產生一條非法文件篡改的告警事件。

再日後會有反彈shell，能夠對可疑鏈接或者是失陷主機主機進行檢測。在挖礦程序的時候咱們會經過雲沙箱來進行檢測，DDoS也能夠經過肉雞行爲進行檢測。這樣對用戶每一步操做都造成了告警事件，而後把這些告警事件關聯在一塊兒。這就是比較複雜的規則和時序分析的過程。

 

05雲態勢感知技術機器學習&深度學習分析

異常檢測是怎麼作的呢？這裏以DGA檢測爲例。首先要把外部訓練數據導進來，有黑數據和白數據，而後把DNS的數據導進來進行特徵提取，再往下是用Spark訓練模型，訓練以後會把模型放在集羣裏面進行檢測，這樣就造成了DGA運行檢測的流程。

那麼模型作好以後怎麼用呢？

首先檢測經過兩條路，第一條路是NIDS的DNS流數據，經過程序補齊帳號以後發到Spark裏面進行特徵提取匹配，而後進行預測；第二條路是雲主機上，好比說本身設定了公網DNS解析的話，它發送的數據也是經過DNS解析來進行補齊資產來進行實時檢測。

經過這兩個數據會把DGA預測作一下，以後把數據放在實時管理分析引擎中進行分析。分析以後纔會把它放到ES topic裏面，給用戶看到最終的分析結果，這樣就實現了DGA域名檢測流程。

圖分析技術就是把全部的數據導到圖分析，經過圖的方式關聯出來，再經過圖的搜索算法檢測出來。例以下面這個真實的入侵案例；

首先經過挖礦進程發現其中有一臺服務器（Test-001）已經高負載，查看高負載CPU所定義的進程的時候，發現它是一個異常進程，因此進行告警。告警以後會進入到觀察列表裏，經過某個點找出挖礦進程的程序是怎麼運行起來的，又是怎麼進到服務器裏的。

經過時間推移的方式，經過上下文關聯來進行檢測，關聯以後發現了一條命令行審計規則，也就是經過其中一個可疑進程來下載了挖礦的腳本而且運行了。挖礦腳本的副進程是用戶本身建立的一個Hadoop的進程，也就是Yarn進程。Yarn進程實際上是Hadoop未受權訪問的RCE的漏洞。同時經過掃描器來進行掃描檢測這臺主機，發現這臺主機確實存在Hadoop RCE的漏洞，這即是自動化攻擊溯源，裏面的核心技術就是圖分析的技術。

目前京東雲態勢感知產品的應用場景一個是公有云市場，另外一個是專有云市場。 專有云市場所對應的產品有態勢感知JDStack版本，是內嵌到專有云的雲租戶來進行檢測，它的用戶是對於裏面每個租戶安全的檢測。還有一個是針對於雲平臺，或者針對與IDC傳統的安全管理場景提出產品叫態勢感知專有云的版本。

點擊「京東雲」瞭解京東雲態勢感知產品

歡迎點擊「連接」瞭解京東雲更多精彩內容

---