如今,網絡攻擊技術和手段持續升級,漏洞利用攻擊、無文件攻擊等各類高級攻擊手段出現,其攻擊手法隱蔽、破壞性強,給單位網絡安全帶來了極大挑戰。
其中,加密流量攻擊是攻防實戰中最常見的手法之一,攻擊者為了竊取數據、控制目標系統,往往采取更加隱蔽的加密通信技術,通過對內容進行協議加密,消除攻擊的明顯特征,使檢測難度呈指數上升。
據深信服千里目安全技術中心2021年的實戰分析,近50%的安全事件由加密流量攻擊引發。如滲透階段采用TLS加密掃描,攻擊階段采用RDP、SSH等加密的暴力破解,再通過webshell獲取權限,最后通過加密隧道外發數據等。
一、AI技術在實戰中被廣泛應用
檢測加密流量而不損害其加密完整性的智能手法逐步被認可,AI技術可以基于大數據統計分析,挖掘數據規律及目標特征,更快地檢測出加密流量威脅,減少所需時間和資源,提高網絡分析的效率及準確性,在實戰中被廣泛使用。
然而,AI技術如沒有得到有效運用,也無法在實戰中檢測到加密的威脅行為。例如無監督學習可以定位未知威脅,但精準度待提升;有監督學習精確度高,卻無法覆蓋未知威脅。
二、如何在實戰中精準識別加密流量攻擊?
深信服安全團隊經過7000+用戶實踐發現,只有將無監督學習和有監督學習智能化結合,才能最大限度提升加密流量攻擊的識別率。
▲深信服NDR在實戰中識別高級威脅行為示例
1. 有監督學習精準識別已知加密流量
有監督機器學習通過將已知、帶標簽的行為數據輸入系統,學習分析數據行為,并根據數據標簽來檢測、識別特定的高級威脅。
深信服NDR(全流量高級威脅檢測系統)應用AI模型,基于有監督機器學習抓取所有上下行流量,提取1000+維度特征,同時增加了模型訓練算法LightGBM學習特征的權重,對已知高級威脅的檢測更為精準。傳統的檢測方式基于一個模型檢測多個場景,不同場景的特征不盡相同,因此誤報率很高。深信服NDR基于AI模型有監督學習進行場景化建模,一個模型對應一個場景,根據場景特征進行針對性檢測,模型檢測精準率能夠達到98%。
2. 無監督學習提前發現未知加密流量
無監督的機器學習覆蓋了聚類、神經網絡等方法,不依賴任何標簽值,通過自主學習,挖掘數據內在特征,實現自動化全面檢測,更合理地利用資源,提升效率。
深信服NDR基于AI模型無監督學習方法,通過聚類學習、特征映射等智能分析技術建立設備加密流量動態行為基線,篩選出異常的、可疑的行為,同時結合行為聚合與關聯分析,檢測出未知威脅的早期跡象,最大程度地實現自動化檢測,可以快速檢測出如下異常,幫助網絡安全團隊主動預防威脅:
異常的網絡設備JA3
異常的訪問時間和訪問頻率
異常的上下行數據包比率
異常的證書簽發機構
……
以常見的“服務器權限獲取手法webshell加密通信”為例,攻擊者通過滲透系統或網絡安裝webshell ,在應用服務器上執行敏感命令、竊取數據、植入病毒,危害極大。webshell具有很強的隱蔽性,傳統的、基于單向數據流的流量檢測方案,無法實時更新數據,難以有效檢測webshell。
深信服NDR基于AI模型無監督學習的孤立森林異常點檢測算法,可以構建特征向量,精準檢測“孤立離群”的webshell訪問行為,具有更高檢出率,更低誤報率。除了webshell加密通信場景外,深信服NDR同樣支持隧道檢測、CS漏洞、加密挖礦、加密反彈shell等威脅檢測,覆蓋多種加密威脅場景。
▲ NDR發現攻擊者發起暴力破解,并上傳免殺的webshell文件,最終實現遠程控制
目前,超7000+用戶依托深信服NDR產品,在常態化攻防實戰中筑牢安全堡壘。除了全面精準的高級威脅檢測,深信服NDR還可以深度聯動EDR、SaaS XDR等,對流量側、端側數據聚合分析,實現分析、檢測、溯源、響應的一站式防護閉環,全力提升企業級用戶的縱深防御能力。
