大數據分析可以通過基于異常發(fā)現的檢測機制�,相對于傳統(tǒng)基于靜態(tài)規(guī)則�,能夠發(fā)現更多隱藏的持續(xù)的攻擊。因此�����,越來越多的企業(yè)在采用大數據安全分析技術應用于安全防護�����,百度亦不例外���。
吳登輝:百度高級安全工程師�。歷經安全運維����,安全測試,安全開發(fā)�。對企業(yè)安全體系建設,以及安全大數據分析具有較為深入的了解����。曾就職于華為�,負責二進制方面的漏洞挖掘工作����。入職百度后,曾負責web安全測試�、移動app安全評估以及一些安全規(guī)范安全體系的建立等,也參與了百度安全中心的建立��。目前�����,主要負責web日志的安全分析���。
隨著互聯網技術的迅猛發(fā)展�����,互聯網對政治�����、經濟��、社會和文化的影響愈加深遠�,圍繞著信息獲取��、利用和控制的國際競爭日趨激烈�,網絡與信息安全面臨的形勢日益嚴峻。而且�����,服務和業(yè)務逐漸擴展到Web平臺上��,Web安全威脅接踵而至����。攻擊者可以利用網站操作系統(tǒng)的漏洞和Web服務程序的SQL注入漏洞等得到Web服務器的控制權限,輕則篡改網頁內容����,重則竊取重要內部數據,更為嚴重的則是在網頁中植入惡意代碼��,使得網站訪問者受到侵害�����。
作為具有豐富實戰(zhàn)經驗的Web安全專家,吳登輝表示:“對互聯網企業(yè)而言�����,目前針對Web安全最關注兩點:一是�,Web系統(tǒng)的可用性;二是,用戶數據的保密性����。這就涉及到目前影響最大的幾種攻擊方式,包括DDOS和數據庫注入以及撞庫�。同時,新型漏洞從爆發(fā)到大規(guī)模利用的時間也越來越短��。”
為了防范web安全威脅�,很多企業(yè)選擇部署Web防火墻。有使用硬件盒子式的����,也有使用基于云的Web防火墻。吳登輝建議��,在部署時一定要注意防火墻規(guī)則的維護�����。針對硬件盒子形式的防火墻�,企業(yè)需要專門有相應的運維人員。而當前基于云的Web防火墻例如百度云加速����,安全寶等,云廠商則會幫企業(yè)進行統(tǒng)一的維護���,并進行漏洞響應����,從而大大降低企業(yè)的成本�。
Web防火墻大數據安全分析實踐
作為一名Web安全防護人員,你是否想要知道攻擊是什么時候發(fā)生的?網站是怎么被攻擊的?攻擊者又是誰?網站是否安裝了木馬?你是否想要在攻擊者動手前摁住他?在網絡邊界早已模糊的今天�,在大數據的時代,大數據安全分析可以幫助你從更廣闊的視野里尋找更深層次的原因�����,找出潛在的可循規(guī)律�����,感知Web攻擊���。
吳登輝表示�����,大數據安全分析是為了彌補現有漏洞發(fā)現手段的不足�����,及時檢測攻擊并實施攻擊阻斷����,所用的基于數據關聯與分析的方法。為了彌補傳統(tǒng)的安全防御體系的不足���,包括主動掃描能力無法完整覆蓋業(yè)務����,阻斷攻擊時WAF/IPS誤傷業(yè)務�����,新型攻擊出現�,攻擊檢測的策略無法及時更新的問題……而不是為了炒作制作個公雞(攻擊)圖。在Web防火墻大數據安全分析的實踐中,需要從數據采集�、數據分析、基礎架構��,以及數據分析實踐四個方面出發(fā)�。
數據采集:采集一切數據放到集群上�����,以及只采集系統(tǒng)已有的數據放到集群上����,這兩種做法都有問題。那么究竟該如何采集安全數據?對于有針對性的數據采集�����,需要開發(fā)特定的采集探針����,數據將更有效并會事半功倍。例如:可以按照攻擊樹和Cyber Kill Chain來采集數據���,構建攻擊場景����。
數據分析:在進行數據分析時,工作人員需要通過機器學習發(fā)現異常���,通過進行人工標定和分析來產生規(guī)則情報��,最終把規(guī)則情報反饋給分析系統(tǒng)��,產出更多的信息����。
系統(tǒng)架構:系統(tǒng)架構需要實現交互式搜索���,情報易集成可動態(tài)配置�����,支持機器學習模型訓練以及支持實時模型調用���。
數據分析實踐:為了發(fā)現繞過Web防火墻的攻擊行為,并提取攻擊情報���,包括掃描器payload惡意攻擊IP等����。需要從HTTP請求的各個角度,PATH, QUERY, UA, SESSION等多個維度進行分析���。并采用基于統(tǒng)計�����、機器學習�����,對PATH,QUERY�,SESSION等建立模型的分析方法。包括:參數分布���,請求頻率�����,SESSION請求寬度���,404比例等。
據吳登輝透露,目前百度針對安全寶和云加速的用戶���,已經開發(fā)出這樣的一套大數據分析系統(tǒng)-- “諦聽”��。它會根據網站的訪問訓練出網站的正常的訪問模型���,從而發(fā)現未知的攻擊。目前該系統(tǒng)已經成功的幫安全管理人員發(fā)現了很多繞過防火墻的高級攻擊�。同時,它也會從攻擊中提取出情報信息�����,包括惡意IP地址�����,新型的攻擊payload等�����。
