孫朝暉:全量數據是一切網絡安全分析的起點
隨著產業數字化發展進入深入區,網絡空間不斷壯大,網絡的邊界也變得難以界定,站在網絡的角度看安全,傳統的安全分析有著怎樣的短板與不足?未來大數據分析應該更注重哪方面的能力建設?
近日,騰訊安全云鼎實驗室「安全大講堂」邀請北京派網軟件CEO孫朝暉,基于安全業務視角,深度剖析網絡大數據分析的應用現狀,探討“網絡大數據分析發展趨勢”,為企業網絡安全建設發展提供了前瞻性建議。
從網絡的角度看,傳統安全廠家、安全專家在研究流量時,更多集中在HTTP、DNS、隧道協議、遠程控制協議等常用網絡協議上,但事實上,這些協議的流量在整個網絡世界的占比約為40%,只是網絡流量的冰山一角。我們在進行網絡分析的時候,更應該關注的是水下的部分,也即是現在業界比較熱門的話題——“全流量”。
在未來10年,可以說,全量數據是一切網絡安全分析的起點,即分析設備或者分析引擎要切切實實關注全流量數據,每一幀,每一個會話,每一個數據包。
為什么強調“全流量”?這要從數據分析的兩種建模方式說起,即已知中尋找異常和未知中排除正常。
所謂大隱隱于市,異常的通信內容隱蔽偽裝在常用協議中,是很多惡意應用的常用手段。如果能對已經識別的協議,根據協議、目標去向、域名、URL、DNS請求、用戶身份、地理位置、UA等元數據,建立數據倉庫,再根據它們的波動、差分、排序等統計規律尋找異常變化,最后對鎖定的異常變化會話數據進行深度的原始數據分析,就可以找到很多問題的答案。
這便是已知中尋找異常,也是安全廠商及安全解決方案中常用的方式,如IDS告警、WAF告警等都屬于這一建模方式的應用。
而未知中排除正常,在現有的安全解決方案中相對比較少見,因為特別多的網絡流量會被各種識別引擎剔除出來,在未知中尋找正常,需要排除這些已知的應用對安全的干擾。通常情況下,被識別引擎確定為未知的協議數據有三種:小眾協議、已知協議數據的漏識別以及廣泛使用的非正常協議。
利用同目標其他識別結果的交叉校驗,我們可以排除大量已知協議數據的漏識別,再結合交叉地理位置、使用頻度等情況,剩余的小眾協議和廣泛使用的非正常協議就會快速地浮出水面。在我看來,這和零信任在本質上有相似的邏輯,在未知中排除正常時,應該和零信任的概念相結合。
以網絡安全行業較為關注的典型IDC流量模型為例,一般我們認為,IDC正常的業務場景應該是業務流向從外到內,下行遠遠小于上行。
在進行虛擬貨幣排查的時候,一般有兩個判斷思路。
第一種是從威脅情報中獲悉,也是常用的技術手段。各個威脅情報廠商都有相對豐富的礦機樣本,用戶在使用時,只需要在安全設備上開啟該功能進行檢測即可。
第二種則是使用流量識別的方式,也是我前面提及的,從全量數據出發進行分析。本質上說,虛擬貨幣的識別并不需要外掛很多安全檢測產品來實現,通用型的網絡設備即可解決該問題,用戶只需借助現有網絡設備的精準應用識別能力,針對虛擬貨幣等異常流量進行甄別和記錄。在我看來,這就是典型的已知中尋找異常的應用場景。
如果兩個IDC之間搭建了一個隱蔽的通信隧道,如何進行安全分析?
同樣地,也有兩種方法:行為分析法和目的篩選法。
行為分析法的線索非常簡單,隱蔽的隧道通常會去往國外未知協議,且經常會使用已知協議偽造固定域名。按照URL日志檢索未知流量的日志,可以發現大量訪問固定域名的URL記錄,通過nslookup進行查詢,可以發現其域名為偽造域名,這就是典型的利用v2ray軟件搭建的FQ通道。
FQ的最終目的是訪問國外的一些服務器,或者與國外進行大量交互,從這點出發,可以直接按照流量流向的TOP目標進行篩查。這就是目的篩選法,和行為分析法一樣,都是典型的在未知中排除正常的應用場景。
我們在日常排查中也曾發現類似的事情:逐一按會話日志篩查與這些目的IP交互的會話信息,發現與***.***.76.236頻繁交互的IP為***.***.26.20,二者端口號都是18888,且其中大多會話均與國外交互,交互的協議多為未知流量。我們繼續按此邏輯逐一排查TOP目標IP,發現大多均與***.***.26.20有交互,因此可以判斷,***.***.26.20非常可能是一個FQ節點,在眾多未知流量中被發現的非正常流量。
回到最開始的話題,網絡安全分析的未來發展趨勢,我認為,至少未來3~4年內,我們還應該更多地關注統計中間表的建立,比如ICMP、DNS、NTP等。這些能夠概括網絡基本屬性的統計中間表,都屬于多樣式的確定性規則,因此,人工智能在網絡大數據識別處理上的應用助力非常有限。
而且在我看來,在網絡流量、大數據分析對安全協助的層面上,只有一個辦法,即通過日常的統計規律來完成對流量的識別,借助人工智能來提高檢出率的想法并不是太現實。不過在域名、URI和FLOW三個方向上,人工智能還是擁有較大的發揮空間。
以上是本次「安全大講堂」特邀講師北京派網軟件CEO孫朝暉的分享精華整理。下一期將為大家帶來中國信通院云大所云計算部副主任陳屹力的分享精華整理——《未來云原生安全能力建設將強調體系化的安全防護》,敬請留意關注。
