




版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)
文檔簡介
基于
NIDS
構(gòu)建縱深防御體系
2
點融的NIDS架構(gòu)3
關(guān)于異常檢測4
關(guān)于聯(lián)動5
關(guān)于與HIDS1
為什么我們需要NIDS
目錄1.bypass
WAF/FW的可能性(大包/繞過/0day/SSRF)2.內(nèi)向外的惡意行為(反彈shell/內(nèi)鬼/邊界存在漏洞的情況/C&C通訊)
3.多數(shù)為買來的WAF/WF,自主性,靈活性差
為什么我們需要NIDS1.鏡像負(fù)載均衡/核心交換流量2.Packetbeat/Bro對流量進行DPI3.用ES/Kibana進行存儲展示(原始數(shù)據(jù),告警數(shù)據(jù)),圖數(shù)據(jù)使用ArangoDB
4.主要有規(guī)則引擎/異常檢測模塊/資產(chǎn)模塊組成
點融的NIDS架構(gòu)1.自主研發(fā)的好處:更加靈活2.支持常規(guī)檢測(正則/多模匹配等),支持頻率檢測(頻率檢測/自定義類型頻
率檢測),支持外部函數(shù)(寫外部函數(shù)/規(guī)則引擎調(diào)用,滿足場景如:威脅情報),支
持自定義告警方式/自定義聯(lián)動方式等
關(guān)于規(guī)則引擎1.某部門需要刪除某臨時表想得到實時反饋2.添加臨時規(guī)則,檢測SQL語句,符合條件向相關(guān)人員發(fā)送郵件
場景一1.某組件出現(xiàn)0day,無法及時升級版本修復(fù)有問題的組件2.根據(jù)PoC編寫臨時規(guī)則,并聯(lián)動WAF/FW進行封禁IP處理
場景二1.規(guī)則引擎可以幫助我們快速的發(fā)現(xiàn)一些已知的安全問題,但是這足夠么?2.甲方安全人員相對較少,不可能全部精力放在編寫規(guī)則上,如何自動的發(fā)現(xiàn)
安全問題?
思考異常檢測模塊
1.假設(shè)某公司僅有一個數(shù)據(jù)庫,且僅有一個業(yè)務(wù):登陸2.那么對于數(shù)據(jù)庫的操作應(yīng)該僅有:select
uid
from
user
where
uid=?
and
pwd
=
?
場景一:數(shù)據(jù)庫操作1.公司業(yè)務(wù)如上,僅有登陸操作2.那么相關(guān)的HTTP請求(提交參數(shù))應(yīng)該也僅有一個:
場景二1.SQL注入:HTTP:uid從郵箱變成了包含其他多種符號的字符串SQL:AST由select
uid
from
user
where
uid=?and
pwd=
?
變成了
select
uid
from
user
where
uid=?or
?
=
?
and
pwd
=
?2.脫褲:出現(xiàn)了不常見的AST:select*from
user
舉例1.根據(jù)上面的思想:根據(jù)當(dāng)前業(yè)務(wù)自動進行白名單的生成,以HTTP協(xié)議為例,我們以接口為單位,生成接口-參數(shù)key-參數(shù)的白名單2.白名單生成的算法目前我們使用多種無監(jiān)督聚類算法和異常點檢測算法
實現(xiàn)3.針對業(yè)務(wù)更新迭代專門做了優(yōu)化和調(diào)整
異常檢測模塊1.Request請求包含參數(shù),且Response
Code不為4XX/5XX2.進行Path分析(Request
Path中經(jīng)常包含參數(shù),如:/get/12345/name)3.對Request
Params進行解析和Feature計算4.保存Feature,進行機器學(xué)習(xí)計算,得到相關(guān)模型5.定期更新模型
異常檢測模塊流程(以HTTP協(xié)議為例)
1.異常不等于攻擊(某用戶喜歡臉滾鍵盤,但不會一直滾)2.面對富文本型接口誤報/漏報高且難以調(diào)整3.性能問題(但是通過白名單的數(shù)據(jù)不需要過規(guī)則引擎)4.可解釋性差5.需要一定的數(shù)據(jù)量進行白名單模型的生成
異常檢測的缺點1.可以和黑名單形成互補2.不僅可以發(fā)現(xiàn)攻擊行為,也可以幫助甲方梳理自己的業(yè)務(wù)3.面對大多數(shù)攻擊(除邏輯漏洞),漏報極低
異常檢測的優(yōu)點1.國內(nèi)某億級用戶的大型互聯(lián)網(wǎng)公司2.抽取線上流量進行測試3.使用內(nèi)部自研掃描器進行漏報檢測4.零漏報零誤報
異常檢測算法的成績1.可以適用于多種協(xié)議2.我們使用異常檢測算法對ICMP隱秘通道檢測的情況是零漏報3.其他類似場景(可通過數(shù)據(jù)建立白名單的場景)
異常檢測拓展NIDS的資產(chǎn)模塊
1.實時梳理資產(chǎn)信息:端口,服務(wù),版本2.實時記錄資產(chǎn)間關(guān)系:協(xié)議,頻次,對于部分協(xié)議進行全量記錄3.按小時分片,幫助安全事件調(diào)查,溯源,分析
NIDS的資產(chǎn)模塊NIDS的資產(chǎn)模塊
NIDS的資產(chǎn)模塊
根據(jù)資產(chǎn)間通信和規(guī)則引擎,可以編寫基于行為的規(guī)則,如:1.X秒連接X個端口被RST視作端口掃描行為2.WebServer通過高權(quán)限登陸數(shù)據(jù)庫或SSH登陸其他任何主機視為異常
3.主動連接外網(wǎng)服務(wù)器會進行威脅情報檢測等等
NIDS的資產(chǎn)模塊即使得到告警,我們信息也有限,我們需要獲得更多的信息1.聯(lián)動CMDB,得到IP基本信息和業(yè)務(wù)信息,如PM/DBA/DevOps等
2.聯(lián)動FW,獲得連接規(guī)則3.聯(lián)動Nginx配置文件,獲得配置信息4.聯(lián)動FW白名單,避免誤報5.聯(lián)動云管理端,獲得云資產(chǎn)列表信息等等
NIDS的聯(lián)動能力1.Packetbeat/Bro不支持的協(xié)議,加密的協(xié)議,場景:·各種反彈shell·各種后門2.信息過少,安全工程師無法準(zhǔn)確分析,場景:·威脅情報半夜3點告警一臺服務(wù)器連接惡意服務(wù)器·此時抓包已經(jīng)來不及,我們也不知道具體是什么進程/文件的行為
NIDS的不足1.輕量級,僅支持Centos7(其他版本未進行穩(wěn)定性測試,理論也支持不少)2.支持與點融自研NIDS聯(lián)動,實時查詢進程/端口占用/文件等信息3.對登陸/線上操作/關(guān)鍵文件變動記錄等信息會記錄并同步到Server4.實現(xiàn)了一小部分可信計算的東西5.支持各種姿勢檢測Rootkit6.基線檢查7.規(guī)則引擎語法與NIDS相同,NIDS聯(lián)動方式僅僅是在規(guī)則里增加一個字段
點融的HIDS我們面對的信息不再是割裂的,是完整的:·PID和PPID的cmdline;cwd;user;exe·TCP/UDP五元組,部分協(xié)議的原始數(shù)據(jù)·業(yè)務(wù)信息:APPID·FW_RULE·NIDS/HIDS規(guī)則ID·威脅情報
NIDS+HIDS從這里可以看到,NIDS已經(jīng)不僅僅是NIDS,由于原本的規(guī)則引擎,異常檢測,資產(chǎn)模塊的完全共用,無論是N
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 母嬰用品專業(yè)代購服務(wù)合作協(xié)議
- 遺產(chǎn)糾紛調(diào)節(jié)協(xié)議書
- 裝修公司結(jié)算協(xié)議書
- 銀行承兌抽屜協(xié)議書
- 酒店經(jīng)營合伙協(xié)議書
- 首飾工廠訂購協(xié)議書
- 鄉(xiāng)村黨建宣傳欄協(xié)議書
- 餐廳設(shè)備租售協(xié)議書
- 跳舞團隊免責(zé)協(xié)議書
- 解除勞務(wù)協(xié)議協(xié)議書
- 轉(zhuǎn)讓店鋪輪胎協(xié)議書
- 2025年遼寧省盤錦市中考數(shù)學(xué)二模試卷
- 完整版新修訂《厲行節(jié)約反對浪費條例》(課件)
- 貴州國企招聘2025貴州省水利投資(集團)有限責(zé)任公司招聘84人筆試參考題庫附帶答案詳解
- 【8生 會考】2022-2024年安徽省初中(八年級)中考初二會考生物試卷(3年真題)
- 2025年網(wǎng)絡(luò)與信息安全專業(yè)考試試卷及答案
- 2024年河北承德辰飛供電服務(wù)有限公司招聘真題
- 滬教版八年級化學(xué)(下冊)期末試卷及答案
- DL-T-1878-2018燃煤電廠儲煤場盤點導(dǎo)則
- 小小科學(xué)家《物理》模擬試卷A(附答案)
- 體能科學(xué)訓(xùn)練方法智慧樹知到期末考試答案2024年
評論
0/150
提交評論