2023國家網(wǎng)絡(luò)安全宣傳周丨新疆電信:基于數(shù)據(jù)分析提升
高危源IP識別能力
9月11日-17日是2023年國家網(wǎng)絡(luò)安全宣傳周,今年的主題為"網(wǎng)絡(luò)安全為人民�����,網(wǎng)絡(luò)安全靠人民"。國家網(wǎng)絡(luò)安全宣傳周期間��,新疆互聯(lián)網(wǎng)協(xié)會(huì)在全區(qū)開展網(wǎng)絡(luò)安全成果案例征集展示活動(dòng)�。全面宣傳企業(yè)網(wǎng)絡(luò)安全領(lǐng)域成果和先進(jìn)經(jīng)驗(yàn),普及網(wǎng)絡(luò)安全知識��,提升網(wǎng)絡(luò)安全意識���,探索社會(huì)關(guān)切的網(wǎng)絡(luò)安全焦點(diǎn)問題解決途徑�����,科普防范知識,提高全民網(wǎng)絡(luò)安全意識和防護(hù)技能���。
中國電信股份有限公司新疆分公司
基于數(shù)據(jù)分析提升高危源IP識別能力
近年來,網(wǎng)絡(luò)安全攻擊手段日新月異�����,部分安全攻擊行為未能在現(xiàn)有安全防護(hù)設(shè)備/系統(tǒng)上產(chǎn)生告警�,導(dǎo)致未能及時(shí)阻斷此類安全威脅��。常規(guī)安全防護(hù)系統(tǒng)大多采用誤用檢測�,即基于特征的檢測,其缺點(diǎn)是攻擊信息的收集和更新存在一定滯后����,難以發(fā)現(xiàn)新型的攻擊行為,維護(hù)特征庫的工作量較大�。若攻擊方利用的是業(yè)務(wù)邏輯漏洞����,則防護(hù)系統(tǒng)的技術(shù)策略無法全面有效防御這種類型的威脅����。傳統(tǒng)識別邏輯漏洞方式是對業(yè)務(wù)系統(tǒng)進(jìn)行人工滲透,對一個(gè)系統(tǒng)實(shí)施一次人工滲透需5-7天����,人力成本較高這種方式����,且對滲透人員技術(shù)水平要求高。為應(yīng)對此類安全威脅�����,需從攻擊方攻擊行為進(jìn)行分析識別���,攻擊方在發(fā)起實(shí)際攻擊前,通常會(huì)先在其掌握的系統(tǒng)(資產(chǎn))清單中挑選一些進(jìn)行訪問或者全部訪問(這種訪問行為與正常訪問行為一樣�����,其目的僅為偵察)��,然后選擇其認(rèn)為技術(shù)薄弱�����、安全性不佳的系統(tǒng)再進(jìn)行進(jìn)一步執(zhí)行漏洞掃描或直接發(fā)起攻擊�。攻擊方訪問的這些業(yè)務(wù)系統(tǒng)在業(yè)務(wù)上關(guān)聯(lián)性不大甚至并沒有關(guān)聯(lián)性����。
基于此邏輯新疆電信制作了高危IP識別模型��,若同一個(gè)源IP在一段時(shí)間內(nèi)訪問非關(guān)聯(lián)性業(yè)務(wù)或業(yè)務(wù)關(guān)聯(lián)性不強(qiáng)的系統(tǒng)�����,那么其很有可能是一個(gè)具有惡意的IP�。新疆電信根據(jù)業(yè)務(wù)系統(tǒng)用途或業(yè)務(wù)屬性對我方的全量業(yè)務(wù)系統(tǒng)進(jìn)行數(shù)字標(biāo)記����,采集每個(gè)訪問IP階段時(shí)間內(nèi)訪問的業(yè)務(wù)系統(tǒng)的數(shù)字標(biāo)記形成集合,其標(biāo)記數(shù)字所呈現(xiàn)的離散性與所訪問系統(tǒng)的非關(guān)聯(lián)性成正比��。可在攻擊方進(jìn)行偵察階段就能完成識別����,及早發(fā)現(xiàn)攻擊源IP��。
