1.png

信安守护者团队


【团队介绍】


富饶的海洋,孕育着民族的未来;美丽的岛礁,承载着国人的骄傲.宝岛海南上活跃着这样一群年轻的移动人,他们矢志不渝地奋斗在消除网络短板、建设安全移动网络的第一线,他们是海南移动网络维护中心信安守护者团队。


网络维护中心信安守护者团队是一个集“精全先”为一体的团体,所谓“精”就是团队成员由一批精通安全防护专业技能和知识的精英组成;所谓“全”就是团队成员个个技能全面;所谓“先”就是他们一直走在公司先进技术前列。李映壮、王瑶、周政成、冯成交、杜大千、吴坤涵、……网络维护中心网络安全室这群平均年龄不足28岁的年轻人,挑起了海南移动网络安全防护的重担。


01 面临困境


近年来,网络安全形势日趋复杂,大规模网络安全事件层出不穷。无论是席卷全球的wannaCry勒索病毒,还是骇人听闻的数据泄露事故,都预示着网络安全攻击已经朝着产业化、链条化、和隐蔽化的方向发展,静态单一的安全防护手段不足以应对复杂的安全攻击。


2.png

烟囱式安全建设方式


海南公司还在采用“头疼医头、脚疼医脚”的方式进行安全设备建设,如为了抵御入侵攻击部署IPS,为了避免网页篡改部署WAF,为了清洗DDoS攻击部署抗D设备。这种烟囱式的安全部署方式令我们陷入如下困境:


1、互联网技术发展迅速,攻击已朝隐蔽化、链条化方向发展,我们依然采用静态的、防护型的安全管理体系,安全管理有赖于事后审计,事后审计损失已定,难以挽回。


2、安全设备种类繁多,传统网络安全设备孤军作战,告警量大、分散,防护效率低、误报率高、运维难度大。


3、安全告警大数据化趋势明显,攻击痕迹分散于各个设备中、互不相连,形成了一个个信息孤岛,不计其数的安全事件被淹没于数据的汪洋之中。


02 我们做法


如何从成千上万的安全事件和日志中抽丝剥茧,找到最有价值、最亟待处理和解决的安全问题,是我们安全分析首先要解决的问题。既然我们的困境是由安全设备离散、安全日志量大、分析手段滞后等原因导致的,那么我们何不考虑将所有安全相关的日志统一起来综合分析呢。


安全大数据分析架构图


说干就干,于是信安守护者团队从2016年开始着手构建互联网安全防护分析系统,将海南省内安全设备日志、基础网络流量、系统业务数据统一采集,依托大数据分析及机器学习技术为核心引擎,以攻击者行为模式为分析要点,再利用丰富的可视化技术实现态势感知、风险评估、通报预警等功能,从而打通系统的整体运营体系。


信安守护者团队历时三年,分三个阶段构建的互联网安全防护分析系统,从感知、溯源、处置和可视化四个层次实现安全风险的全面预警。


√ 全面的安全威胁感知能力:


能够从网络安全、信息安全两个方面,实现数据泄露、恶意程序、入侵攻击等十一个维度安全事件的全面感知预警;


√ 精准的安全威胁溯源能力:


实现攻击情景重现、攻击者画像、历时行为追溯、定位攻击源头等溯源能力,知其然更知其所以然,便于安全事件的快速定位。


√ 快速的安全风险处置能力:


具备网站反篡改、CDN反劫持、DNS反劫持、短彩信反控制、流量反攻击五反紧急安全事件五分钟内一键封堵能力。


√ 可视化安全风险展示能力:


在数据采集、存储、分析及模型匹配数据的基础上,利用动态智能呈现技术,实现安全场景建模可视化、威胁可视化。


可视化安全风险展示页面


03 核心技术


在项目构建过程中,信安守护者团队自己翻阅国内先进文献进行学习实践,团队共拥有4项核心技术专利,在攻击溯源方面有独到的解决方法。


1、还原僵尸网络分布


针对僵尸网络溯源难的痛点,对DNS流量进行深度分析,发明一种基于DNS行为特征的网络评价系统,内置迭代基于二部图的迭代聚类算法,还原僵尸网络、蠕虫病毒传播途径,实现恶意程序源头封堵。


二部图聚类算法原理


算法有效解决单个域名、单维度评价算法评价可信度低的问题,提出一种针对多个域名,多维度的DNS的总系统评价算法。通过采用两种不同分组方法,将DNS系统从客户端IP与请求域名关系、请求域名与服务器IP关系两个角度进行评分,根据两个角度的DNS系统评分得到综合DNS系统评分,提升基于DNS评分的僵尸网络检测成功率。

僵尸网络分布图


2、入侵攻击过程还原


针对入侵检测设备或算法模型流量分析,发现的基本是大量的单点、单一时刻的威胁,无法感知APT攻击问题。我们提出一种多维度的攻击推理算法,以传统入侵检测设备或算法模型输出的告警为基础数据来源输入至攻击还原装置和资产IP列表,输出资产相关的被攻击路径。


某系统入侵攻击过程溯源图


上图是我们还原出来的某系统被入侵成功的全过程。通过将设备或算法检测生成的告警数据,从资产的角度,使用攻击阶段、时序关联、攻击的危险程度和资产重要程度,还原出资产的被攻击路径,有效能够发现基于局域网资产的树状威胁拓扑,还原了资产被入侵的历史痕迹,有效提高了威胁感知和预测能力。


3、持续身份认证算法


为了解决传统用户身份认证被伪造和绕过的安全风险,我们发明了一种基于行为图谱的身份认证算法,基于用户的历史行为对于用户进行刻画从而对于用户身份进行持续验证。


行为图谱持续身份认证原理图


该项技术先进性在于对于用户历史访问习惯进行刻画形成用户行为图谱,通过当前访问行为与历史访问行为的比对,得到用户偏离历史访问习惯的异常行为。采用基于行为的异常检测方式,无需提前设置策略,充分考虑用户个体的特点和习惯。此外行为图谱是动态变化的,时间越长对用户行为的刻画越精确。


04 后续展望


万物互联之下,已经没有可以独善其身的安全孤岛。移动公司内部流量清洗、产品网页防篡改等产品,尚没有在信息安全产品布局中得到体现。在话音收入下降,流量崛起的新常态下,网络和信息安全的重要性又跃升了一个新台阶,希望今后我们能够将在网络和信息安全领域的积累,转化为盈利能力,打造企业新的收入增长点。

*专家文章为作者独立观点,不代表移动Labs立场. 转载此文章须经作者同意,并请附上出处(移动Labs)及本页链接。

0