當基於簽名的模式最初被引入網際網路安全時,是作為一種過濾流量的更快的決策模式,當時簽名資料庫還是可管理的,並且零日攻擊只是想象得到,一般不會執行。
然而,當試圖為不斷增加的新簽名擴充套件簽名模式時,問題就出現了。今年三大臭名昭著的惡意軟體(即stuxnet、duqu和flame)暴露了基於簽名的技術的弊端,這些惡意軟體能夠在不被檢測到的情況下實施攻擊。因為對於各種基於簽名的產品而言,這些惡意軟體是未知的。除了這三個惡意軟體,多型惡意軟體和模糊技術同樣暴露了簽名技術和零日檢測的不足之處。
這些惡意軟體的攻擊事件讓安全社群的很多人呼籲使用基於異常的監控模式。在本文中,我們將介紹基於異常的惡意軟體監控以及探索這種模式給企業惡意軟體防禦帶來的好處。
定義基於異常的監控
基於異常的監控模式並不是乙個新概念,事實上,這是一種舊的安全模式,以前被稱為「全部拒絕」或者「允許特例」。在網際網路安全早期階段,在web成為服務前端之前,這種模式非常流行,當時服務更少且更易於管理。
想要理解基於異常的監控模式,首先需要了解異常的定義:偏離正常;奇怪的條件、情況或者質量;不協調或不一致之處。在基於異常的監控模式定義中,重要的是,要明白每乙個異常並不一定代表惡意事件,並且,異常檢測技術歷來都存在誤報的問題。
異常是指不正常的事件,這也就意味著人對異常的處理決定著異常是否為惡意事件。在本文的後面,我們將介紹基於異常的監控模式中可以幫助決策者的一些可用的工具和方法。
異常採集的過程
為了理解異常檢測技術如何運作,我們有必要初步討論一些採集技術。採集技術可分為兩種基本型別:啟發式方法和政策標準方法。
啟發式方法依賴於研究環境,這種方法主要是採集網路流量的統計資料。採集引擎將分析網路流量,並採集ip位址、服務和流量的統計資料。然後進行統計分析,以確定網路環境中的最高值和最低值、平均值和其他相關流量資料。接著,基於這些不同的數值建立標準,流量隨後會與所設立的正常基準進行對比。與基準匹配的流量將被認為是正常流量,而所有其他流量被視為異常。啟發式方法提供了更快的設定,但這種方法更容易將惡意事件視為正常行為,例如,當在「學習」階段出現惡意活動時。
另一種採集技術是政策標準方法,有時也被稱為知識標準方法。這種方法借鑑於軟體可靠性中使用的執行標準定義。在這種方法中,標準可以被當做可執行的程序及其相關概率。如果說啟發式方法依賴於研究環境的機器,那麼,政策標準方法則依賴於操作員,操作員需要了解環境並能夠通過已知資料建立標準到機器,操作員還需要了解政策、服務、資產以及服務如何訪問網路中的資產。隨後,這些知識被量化和輸入到標準中。這種政策標準模式非常適用於小型受限的環境,而這種模式最大的缺點就是需要勞動密集型的前期工作來定義標準。大型企業環境可能認為這種模式成本太高,尤其是考慮到這種方法同樣可能產生很多誤報。
每種方法都有各自的長處和短處。在這兩種方法中,異常處理都屬於勞動密集型工作,且需要決策者。雖然異常檢測技術提供處理異常的方法,實際上,它們只是提供決策支援功能,仍然需要知識淵博的網路管理分析師來處理異常。在安全領域,分析師歷來被視為是薄弱環節,但基於異常監控方法的發展非常依賴於分析師的角色
異常處理
潛在的模型有決策樹、模糊邏輯、神經網路、馬爾可夫和聚類分析等模型。異常處理可以依賴於幾個模型中的任乙個模型或者模型組合。在大多數情況下,這些模型可以在任一採集環境中運作,但它們通常只適用於乙個環境。
決策樹類似於攻擊樹和錯誤樹,其結構主要基於可被視為故障的事件,然後通過反向分析來確定導致故障的原因或活動錯誤。由於故障或入侵的原因通常不是單個事件,這種分析非常適用於模型組合。然而,為了建立乙個代表樹,**各種問題的能力變得非常重要,否則,零日攻擊將可能威脅到這種模型。鑑於其離散性,這種方法適用於操作基於政策/標準的資料。
邏輯模糊主要適用於異常檢測和惡意行為之間的灰色地帶。這種處理方法基於模糊集理論,其特徵在於判斷是否存在本質近似,模糊邏輯通常會提供平均流量模式以及從平均值得出的標準偏差值範圍。有了這些資訊,使用者可以確定哪些行為應被認為是異常行為。統計學家和數學家批評模糊邏輯技術缺乏嚴格的界限,他們通常更願意選擇概率模型。這種方法可用於基於政策/標準或啟發式採集技術。
神經網路,顧名思義,可以被認為是人類神經系統的數學表示式,這種模型通常用於**分析。神經網路可以通過理解輸入到輸出的對映來建立乙個標準,通過研究過去的模式,**未來的模式。這個標準可以幫助建立乙個趨勢,然後使用概率模型來幫助視覺化和確定相關異常事件和活動的可能性。當這種分析應用於流量和資產時,神經網路可以幫助解釋異常行為。雖然這種模型在兩種情況下都可以使用,但神經網路通常應用於啟發式採集技術。
貝葉斯分析依賴於對所有路徑的了解以及加權路徑的能力,它有時被用於神經網路異常檢測來進行入侵檢測。加權路徑可以基於流量資料、過去的攻擊模式、其他標準或標準組合。加權的值將被轉換成百分比,從而使操作員基於量化值(用於**漏洞)來分配資產。貝葉斯分析能與兩種採集技術協同使用,不過,它常用於啟發式採集技術。
馬爾可夫模型也可用於分析概率系統(狀態發生變化時),這種模型可用於幾種採集方法。當建模離散空間時,馬爾可夫過程被稱為馬爾可夫鏈,該模型被稱為離散空間馬爾可夫模型。當建模乙個沒有得到很好定義的空間時,部署的馬爾可夫模型被稱為連續空間馬爾可夫模型。同樣,對於指定固定時間間隔轉換的時間空間,需要使用離散時間馬爾可夫模型,而在任何時間允許轉換的模型被稱為連續時間馬爾可夫模型。
通過結合馬爾可夫建模和回報分析,馬爾可夫回報分析提供了有意義的資料,這些資料可用於評估潛在的入侵異常行為。馬爾可夫模型選擇基於問題空間。靜態的良好定義的環境(例如基於政策/標準環境中定義的環境)使用離散模型,而與啟發式相關的更流暢的環境則更適合連續時間/空間馬爾可夫模型。
當確定資料中的模式時,聚類分析很好用,因為它提供了對網路活動的視覺化支援。由於惡意事件通過不只針對站點的乙個資產目標,它們通常是相關的,而不是單一活動。新異常活動將反映在聚類中,這些聚類經常會形成模式。雖然聚類分析可用於顯示各種模式,但確定必要的引數仍然需要不斷努力。聚類分析可以用於任一採集方法。
基於異常監控的未來
因為很多上面描述的方法適用於在大型企業環境,大資料的增長將繼續推動異常檢測技術和更好的視覺化工具。與現有的基於簽名的技術相比,基於異常監控模型可能捕捉更多惡意活動,例如零日攻擊、內部人員威脅和高階持續性威脅。
捕捉和處理如此龐大資料量的能力極具吸引力,但處理異常資料還需要大量的額外工作,並需要安全專家在分析編寫方面的技能。企業部署基於異常的監控仍然需要一定時間。混合模式有可能最先出現,大型企業中的小團體使用政策/標準方法,而大團體則使用啟發式方法。探索使用新模式中遇到的困難並不是簡單的事情,但異常檢測模式提供的優勢將提高整體系統和網路安全態勢。
在celery中使用logging記錄日誌
由於專案需要日誌檔案的功能,又由於專案中有用到celery模組,所以就看了看celery的用法,然後研究了一下如何在celery中記錄日誌。如圖 這是我的專案的目錄,proj是專案名,celery.py檔案是celery的一些基本配置,比如你要使用的中介軟體是什麼,用的是哪台電腦的中介軟體。比如我是...
在可編輯datagrid中,使用my97日期控制項
有圖有真相,先看圖後解答 首先,擴充套件datagrid的editors,使其支援my97控制項,當然在這之前別忘了引入my97的js 01 extend fn.datagrid.defaults.editors,07getvalue function target 10setvalue funct...
VBA高階 在VBA中使用SQL語句篩選日期
sub multipleselect group1 dim cnn as new adodb.connection dim rst as adodb.recordset dim mypath as string dim sql as string dim i as integer dim d as ...