2023國家網(wǎng)絡(luò)安全宣傳周丨新疆電信:基于數(shù)據(jù)分析提升
高危源IP識別能力
9月11日-17日是2023年國家網(wǎng)絡(luò)安全宣傳周,今年的主題為"網(wǎng)絡(luò)安全為人民,網(wǎng)絡(luò)安全靠人民"。國家網(wǎng)絡(luò)安全宣傳周期間,新疆互聯(lián)網(wǎng)協(xié)會(huì)在全區(qū)開展網(wǎng)絡(luò)安全成果案例征集展示活動(dòng)。全面宣傳企業(yè)網(wǎng)絡(luò)安全領(lǐng)域成果和先進(jìn)經(jīng)驗(yàn),普及網(wǎng)絡(luò)安全知識,提升網(wǎng)絡(luò)安全意識,探索社會(huì)關(guān)切的網(wǎng)絡(luò)安全焦點(diǎn)問題解決途徑,科普防范知識,提高全民網(wǎng)絡(luò)安全意識和防護(hù)技能。
中國電信股份有限公司新疆分公司
基于數(shù)據(jù)分析提升高危源IP識別能力
近年來,網(wǎng)絡(luò)安全攻擊手段日新月異,部分安全攻擊行為未能在現(xiàn)有安全防護(hù)設(shè)備/系統(tǒng)上產(chǎn)生告警,導(dǎo)致未能及時(shí)阻斷此類安全威脅。常規(guī)安全防護(hù)系統(tǒng)大多采用誤用檢測,即基于特征的檢測,其缺點(diǎn)是攻擊信息的收集和更新存在一定滯后,難以發(fā)現(xiàn)新型的攻擊行為,維護(hù)特征庫的工作量較大。若攻擊方利用的是業(yè)務(wù)邏輯漏洞,則防護(hù)系統(tǒng)的技術(shù)策略無法全面有效防御這種類型的威脅。傳統(tǒng)識別邏輯漏洞方式是對業(yè)務(wù)系統(tǒng)進(jìn)行人工滲透,對一個(gè)系統(tǒng)實(shí)施一次人工滲透需5-7天,人力成本較高這種方式,且對滲透人員技術(shù)水平要求高。為應(yīng)對此類安全威脅,需從攻擊方攻擊行為進(jìn)行分析識別,攻擊方在發(fā)起實(shí)際攻擊前,通常會(huì)先在其掌握的系統(tǒng)(資產(chǎn))清單中挑選一些進(jìn)行訪問或者全部訪問(這種訪問行為與正常訪問行為一樣,其目的僅為偵察),然后選擇其認(rèn)為技術(shù)薄弱、安全性不佳的系統(tǒng)再進(jìn)行進(jìn)一步執(zhí)行漏洞掃描或直接發(fā)起攻擊。攻擊方訪問的這些業(yè)務(wù)系統(tǒng)在業(yè)務(wù)上關(guān)聯(lián)性不大甚至并沒有關(guān)聯(lián)性。
基于此邏輯新疆電信制作了高危IP識別模型,若同一個(gè)源IP在一段時(shí)間內(nèi)訪問非關(guān)聯(lián)性業(yè)務(wù)或業(yè)務(wù)關(guān)聯(lián)性不強(qiáng)的系統(tǒng),那么其很有可能是一個(gè)具有惡意的IP。新疆電信根據(jù)業(yè)務(wù)系統(tǒng)用途或業(yè)務(wù)屬性對我方的全量業(yè)務(wù)系統(tǒng)進(jìn)行數(shù)字標(biāo)記,采集每個(gè)訪問IP階段時(shí)間內(nèi)訪問的業(yè)務(wù)系統(tǒng)的數(shù)字標(biāo)記形成集合,其標(biāo)記數(shù)字所呈現(xiàn)的離散性與所訪問系統(tǒng)的非關(guān)聯(lián)性成正比。可在攻擊方進(jìn)行偵察階段就能完成識別,及早發(fā)現(xiàn)攻擊源IP。