攻防實戰(zhàn)下攻擊手段全面升級,如何有效應對加密流量攻擊?

  • 人閱讀
  • 2022-06-29 09:47:11

  • 來源:中關村網(wǎng)

  • 相關關鍵詞

如今,網(wǎng)絡攻擊技術和手段持續(xù)升級,漏洞利用攻擊、無文件攻擊等各類高級攻擊手段出現(xiàn),其攻擊手法隱蔽、破壞性強,給單位網(wǎng)絡安全帶來了極大挑戰(zhàn)。

其中,加密流量攻擊是攻防實戰(zhàn)中最常見的手法之一,攻擊者為了竊取數(shù)據(jù)、控制目標系統(tǒng),往往采取更加隱蔽的加密通信技術,通過對內(nèi)容進行協(xié)議加密,消除攻擊的明顯特征,使檢測難度呈指數(shù)上升。

據(jù)深信服千里目安全技術中心2021年的實戰(zhàn)分析,近50%的安全事件由加密流量攻擊引發(fā)。如滲透階段采用TLS加密掃描,攻擊階段采用RDP、SSH等加密的暴力破解,再通過webshell獲取權限,最后通過加密隧道外發(fā)數(shù)據(jù)等。

一、AI技術在實戰(zhàn)中被廣泛應用

檢測加密流量而不損害其加密完整性的智能手法逐步被認可,AI技術可以基于大數(shù)據(jù)統(tǒng)計分析,挖掘數(shù)據(jù)規(guī)律及目標特征,更快地檢測出加密流量威脅,減少所需時間和資源,提高網(wǎng)絡分析的效率及準確性,在實戰(zhàn)中被廣泛使用。

然而,AI技術如沒有得到有效運用,也無法在實戰(zhàn)中檢測到加密的威脅行為。例如無監(jiān)督學習可以定位未知威脅,但精準度待提升;有監(jiān)督學習精確度高,卻無法覆蓋未知威脅。

二、如何在實戰(zhàn)中精準識別加密流量攻擊?

深信服安全團隊經(jīng)過7000+用戶實踐發(fā)現(xiàn),只有將無監(jiān)督學習和有監(jiān)督學習智能化結合,才能最大限度提升加密流量攻擊的識別率。

▲深信服NDR在實戰(zhàn)中識別高級威脅行為示例

1.有監(jiān)督學習精準識別已知加密流量

有監(jiān)督機器學習通過將已知、帶標簽的行為數(shù)據(jù)輸入系統(tǒng),學習分析數(shù)據(jù)行為,并根據(jù)數(shù)據(jù)標簽來檢測、識別特定的高級威脅。

深信服NDR(全流量高級威脅檢測系統(tǒng))應用AI模型,基于有監(jiān)督機器學習抓取所有上下行流量,提取1000+維度特征,同時增加了模型訓練算法LightGBM學習特征的權重,對已知高級威脅的檢測更為精準。傳統(tǒng)的檢測方式基于一個模型檢測多個場景,不同場景的特征不盡相同,因此誤報率很高。深信服NDR基于AI模型有監(jiān)督學習進行場景化建模,一個模型對應一個場景,根據(jù)場景特征進行針對性檢測,模型檢測精準率能夠達到98%。

2.無監(jiān)督學習提前發(fā)現(xiàn)未知加密流量

無監(jiān)督的機器學習覆蓋了聚類、神經(jīng)網(wǎng)絡等方法,不依賴任何標簽值,通過自主學習,挖掘數(shù)據(jù)內(nèi)在特征,實現(xiàn)自動化全面檢測,更合理地利用資源,提升效率。

深信服NDR基于AI模型無監(jiān)督學習方法,通過聚類學習、特征映射等智能分析技術建立設備加密流量動態(tài)行為基線,篩選出異常的、可疑的行為,同時結合行為聚合與關聯(lián)分析,檢測出未知威脅的早期跡象,最大程度地實現(xiàn)自動化檢測,可以快速檢測出如下異常,幫助網(wǎng)絡安全團隊主動預防威脅:

異常的網(wǎng)絡設備JA3

異常的訪問時間和訪問頻率

異常的上下行數(shù)據(jù)包比率

異常的證書簽發(fā)機構

……

以常見的“服務器權限獲取手法webshell加密通信”為例,攻擊者通過滲透系統(tǒng)或網(wǎng)絡安裝webshell ,在應用服務器上執(zhí)行敏感命令、竊取數(shù)據(jù)、植入病毒,危害極大。‍webshell具有很強的隱蔽性,傳統(tǒng)的、基于單向數(shù)據(jù)流的流量檢測方案,無法實時更新數(shù)據(jù),難以有效檢測webshell。

深信服NDR基于AI模型無監(jiān)督學習的孤立森林異常點檢測算法,可以構建特征向量,精準檢測“孤立離群”的webshell訪問行為,具有更高檢出率,更低誤報率。除了webshell加密通信場景外,深信服NDR同樣支持隧道檢測、CS漏洞、加密挖礦、加密反彈shell等威脅檢測,覆蓋多種加密威脅場景。

▲NDR發(fā)現(xiàn)攻擊者發(fā)起暴力破解,并上傳免殺的webshell文件,最終實現(xiàn)遠程控制

目前,超7000+用戶依托深信服NDR產(chǎn)品,在常態(tài)化攻防實戰(zhàn)中筑牢安全堡壘。除了全面精準的高級威脅檢測,深信服NDR還可以深度聯(lián)動EDR、SaaS XDR等,對流量側、端側數(shù)據(jù)聚合分析,實現(xiàn)分析、檢測、溯源、響應的一站式防護閉環(huán),全力提升企業(yè)級用戶的縱深防御能力。

(免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內(nèi)容或斷開相關鏈接。 )