基于Bro的威胁追踪思路与实践

2018中国网络安全年会已进行到最后一天,各种大会活动依然紧张进行中。在结束了首日专家学者们对网络安全产业环境、发展趋势与技术创新等重大话题的探讨后,让我们将目光聚焦到以技术讨论与分享为主导的大会8大特色分论坛上,来听听来自各自安全领域的技术专家所带来的成果分析和安全实践分享吧。

据悉,本届大会共设置了应急响应、态势感知、网络攻击溯源、威胁情报、物联网、人工智能、安全漏洞、数据安全8个特色分论坛。在16日上午应急响应分论坛上,就如何应对安全威胁泛滥的网络环境,以发现未知的网络攻击并辅以安全保护的问题,任子行人提出了一种全新的安全检测、预防和威胁溯源防护新思路。

安全新选择

威胁追踪 and 可视化分析

在应急响应分论坛现场,面对在场的数百名技术人员,任子行SURFSRC实验室攻防经理彭军波阐述了应对日趋复杂频发的安全威胁,基于Bro来实时追踪安全威胁并为之溯源的一种新型安全防御思路。

任子行SURFSRC实验室攻防经理彭军波

实际上面对当前普遍的高级复杂的威胁,传统网络安全产品已经疲于应付,主要是因为传统网络安全产品依然基于一种被动的检测方式,只有发生威胁后,应急取证调查才会被启动。其实,威胁已经发生了,就在那里,因为没有明显的告警而被无视,实际上依然存在可疑的攻击行为,这个时候依然要启动威胁的分析机制,去发现、分析以及溯源威胁。其中威胁的追踪机制需要建立在大量高质量有针对性的数据基础上,这也是本次引出Bro这个不一样的NIDS的原因,因为其可通过配置产生大量丰富的网络元数据,提供后续的分析。为了减少安全分析人员的工作量,借助大数据关联分析与基于可视化的分析,可以大大缩短安全分析人员的分析时间。这也是本次任子行攻防实验室经理彭军波的议题《基于Bro的威胁追踪思路与实践》所探讨的方向。

该议题表达了每一种网络协议均存在可被利用的脆弱点,站在Bro的角度,对多种主流网络协议可能存在的典型威胁进行了说明。同时,在议题的具体应用案例中,以Bro产生的丰富协议元数据为基础,展示了对横向移动、恶意代码C2以及常用于高级攻击中的隐秘通道等几种典型威胁场景的检测方法。最后,强调了利用大数据对可疑的网络活动进行关联分析以及可视化分析的重要性,能够帮助运维人员以及安全分析分析人员提供强大的未知威胁的发现与分析的能力。

关于《基于Bro的威胁追踪思路与实践》

该议题结合当前整个大环境下的网络安全形势,针对目前传统的威胁检测手段不足以应对当前复杂高级的网络安全威胁这一问题,基于bro这一基于分析的NIDS从理论与实际应用两方面探讨如何更加有效地从网络层面进行威胁追踪(ThreatHunting)。首先议题从设计与架构上阐述了BroIDS具备的优势。在设计上BroIDS相对于基于静态签名检测的NIDS,例如snort,具备基于网络流量上下文进行深度分析的能力,提供一套脚本语言用于编写检测更加复杂且难以基于静态签名检测到的威胁的检测脚本。同时Bro提供了多个框架用于辅助检测网络威胁,例如其内置的情报框架可以离线方式高效利用威胁情报,有效检测当前存在的热点威胁事件。

同时,该议题结合当前出现最多的几个典型威胁场景,利用bro强大的分析检测能力,通过几个实例来对多个威胁以及其检测的思路进行阐述。其中几种典型的威胁场景包括:DDoS、僵尸网络、挖矿木马、失陷主机、漏洞利用等。最后,从大数据分析算法的角度结合网络攻防的经验,基于bro产生的各种协议的丰富网络元数据,对于高级复杂的威胁追踪思路以及如何实践进行探讨。最后总结了在实践中如何高效使用bro的经验,整个议题从理论到实践内容丰富饱满,对从网络层面检测典型场景威胁和高级复杂的威胁提供了新的思路。

事实上,作为网络安全防护的重要领域,基于威胁场景的攻击行为检测已成为了目前的研究热点之一,使用这种方法可以较为清楚明确的显示主机网络安全状态,从而识别和遏制可疑行为,加固安全防护。任子行态势感知系统的研制也借鉴了这一策略,通过对流量以及关联的数据分析、处理,使得系统可多方位、多维度感知系统运转状态,由此并建立起一套完善的监测、分析、防护和处置体系,从而为你的网络安全提供客观的决策依据。

随着信息技术创新发展,网络安全问题越来越突出,网络安全的内涵也在不断扩展。基于前沿领先的安防技术研究,提供可信赖的安全服务和品质保障,为您的网络安全保驾护航,这是任子行一直以来服务宗旨。未来,任子行依托行业领先的技术研发优势,将一如既往守护您的网络信息安全,助力网络强国建设。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180816A1I8VN00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券