2023國家網絡安全宣傳周丨新疆電信:基于數(shù)據(jù)分析提升
高危源IP識別能力
9月11日-17日是2023年國家網絡安全宣傳周,今年的主題為"網絡安全為人民,網絡安全靠人民"。國家網絡安全宣傳周期間,新疆互聯(lián)網協(xié)會在全區(qū)開展網絡安全成果案例征集展示活動。全面宣傳企業(yè)網絡安全領域成果和先進經驗,普及網絡安全知識,提升網絡安全意識,探索社會關切的網絡安全焦點問題解決途徑,科普防范知識,提高全民網絡安全意識和防護技能。
中國電信股份有限公司新疆分公司
基于數(shù)據(jù)分析提升高危源IP識別能力
近年來,網絡安全攻擊手段日新月異,部分安全攻擊行為未能在現(xiàn)有安全防護設備/系統(tǒng)上產生告警,導致未能及時阻斷此類安全威脅。常規(guī)安全防護系統(tǒng)大多采用誤用檢測,即基于特征的檢測,其缺點是攻擊信息的收集和更新存在一定滯后,難以發(fā)現(xiàn)新型的攻擊行為,維護特征庫的工作量較大。若攻擊方利用的是業(yè)務邏輯漏洞,則防護系統(tǒng)的技術策略無法全面有效防御這種類型的威脅。傳統(tǒng)識別邏輯漏洞方式是對業(yè)務系統(tǒng)進行人工滲透,對一個系統(tǒng)實施一次人工滲透需5-7天,人力成本較高這種方式,且對滲透人員技術水平要求高。為應對此類安全威脅,需從攻擊方攻擊行為進行分析識別,攻擊方在發(fā)起實際攻擊前,通常會先在其掌握的系統(tǒng)(資產)清單中挑選一些進行訪問或者全部訪問(這種訪問行為與正常訪問行為一樣,其目的僅為偵察),然后選擇其認為技術薄弱、安全性不佳的系統(tǒng)再進行進一步執(zhí)行漏洞掃描或直接發(fā)起攻擊。攻擊方訪問的這些業(yè)務系統(tǒng)在業(yè)務上關聯(lián)性不大甚至并沒有關聯(lián)性。
基于此邏輯新疆電信制作了高危IP識別模型,若同一個源IP在一段時間內訪問非關聯(lián)性業(yè)務或業(yè)務關聯(lián)性不強的系統(tǒng),那么其很有可能是一個具有惡意的IP。新疆電信根據(jù)業(yè)務系統(tǒng)用途或業(yè)務屬性對我方的全量業(yè)務系統(tǒng)進行數(shù)字標記,采集每個訪問IP階段時間內訪問的業(yè)務系統(tǒng)的數(shù)字標記形成集合,其標記數(shù)字所呈現(xiàn)的離散性與所訪問系統(tǒng)的非關聯(lián)性成正比。可在攻擊方進行偵察階段就能完成識別,及早發(fā)現(xiàn)攻擊源IP。