不論IT如何變遷，網(wǎng)絡(luò)安全始終是不過時的話題。但不同環(huán)境的網(wǎng)絡(luò)安全有不同的內(nèi)涵，當(dāng)前全產(chǎn)業(yè)轉(zhuǎn)型“互聯(lián)網(wǎng)+”，云計(jì)算、大數(shù)據(jù)和移動互聯(lián)網(wǎng)技術(shù)的普及應(yīng)用，極大地改變了IT架構(gòu)，網(wǎng)絡(luò)邊界越來越模糊，同時趨利性的未知安全威脅也越來越多，這為安全管理帶來了新的挑戰(zhàn)，同樣也未安全技術(shù)的升級提供了契機(jī)。

在此背景下，網(wǎng)康近日推出的慧眼云(wise eye)網(wǎng)絡(luò)威脅感知系統(tǒng)，基于云、大數(shù)據(jù)和機(jī)器學(xué)習(xí)技術(shù)，通過異常行為識別技術(shù)和威脅情報(bào)技術(shù)進(jìn)行失陷主機(jī)的分析、發(fā)現(xiàn)、溯源，還原整個攻擊過程，找到安全薄弱點(diǎn)，最終部署對抗措施，提升覆蓋已知威脅和未知威脅的主動防御能力，將安全隱患消滅于萌芽狀態(tài)。本文將介紹網(wǎng)康慧眼云的設(shè)計(jì)思路與架構(gòu)。

安全方法論的變革

有經(jīng)驗(yàn)的安全技術(shù)人員都知道，傳統(tǒng)安全產(chǎn)品，如終端殺毒、防火墻、IPS、Web安全，都是基于已知特征和預(yù)設(shè)規(guī)則展開工作的，其理論依據(jù)是邊界安全與P2DR防護(hù)模型(一種基于已知威脅的靜態(tài)、被動防御模型)。當(dāng)“互聯(lián)網(wǎng)+”時代來臨，未知威脅來臨、內(nèi)部威脅增多，網(wǎng)絡(luò)邊界逐漸模糊化甚至消失后，傳統(tǒng)安全靜態(tài)、被動、防御思維的安全模型對未知威脅的檢測必然乏力，已經(jīng)不能夠應(yīng)對當(dāng)前網(wǎng)絡(luò)攻擊趨勢。而未知威脅由于政治/經(jīng)濟(jì)利益，將更加猖獗。因此，徹底打破舊的安防體系，變被動防御為主動感知和主動防御，是現(xiàn)代安全架構(gòu)需要實(shí)現(xiàn)的突破。

大數(shù)據(jù)分析和機(jī)器學(xué)習(xí)方法的興起，帶來了變革的工具和思想基礎(chǔ)。大數(shù)據(jù)分析和機(jī)器學(xué)習(xí)技術(shù)能夠根據(jù)已有數(shù)據(jù)感知和預(yù)測未來，也就是說利用已有的海量攻擊數(shù)據(jù)提取特征并構(gòu)建出有效的模型，再根據(jù)模型實(shí)時監(jiān)測網(wǎng)絡(luò)流量，識別出異常行為，預(yù)測安全風(fēng)險。當(dāng)然，識別的精確程度，有賴于模型的質(zhì)量;同時，海量數(shù)據(jù)的分析必須依靠云計(jì)算技術(shù)。

慧眼云系統(tǒng)設(shè)計(jì)思路與架構(gòu)

具體的模型構(gòu)建思路，網(wǎng)康安全工程師分析認(rèn)為，每一次的入侵滲透，都會有目標(biāo)偵測、攻擊工具使用、漏洞利用、惡意軟件植入等多個環(huán)節(jié)。由于0day等未知威脅的的利用，初始入侵的成功率越來越高，一旦入侵成功后，入侵者將找到一個支撐點(diǎn)，通過這個支撐點(diǎn)再逐漸進(jìn)行內(nèi)部滲透，繼續(xù)尋找其它支撐點(diǎn)，直至找到攻擊目標(biāo)，然后進(jìn)行數(shù)據(jù)的收集和竊取。如果能提前發(fā)現(xiàn)這些支撐點(diǎn)，攻擊者也將最終失敗。這些支撐點(diǎn)的滲透必然伴隨著許多異常行為，換言之，通過對異常行為的分析，就可以發(fā)現(xiàn)支撐點(diǎn)，從而找到安全隱患。所以，異常行為的分析成為解決問題的關(guān)鍵。

基于上述思路，網(wǎng)康推出了慧眼云產(chǎn)品，主打“失陷主機(jī)(支撐點(diǎn))”的檢測，通過對網(wǎng)絡(luò)中行為日志、安全日志、流量日志等進(jìn)行實(shí)時、快速、持續(xù)的關(guān)聯(lián)分析，結(jié)合網(wǎng)康威脅情報(bào)系統(tǒng)，實(shí)時檢測到網(wǎng)絡(luò)中存在的問題系統(tǒng)，并通過溯源取證，部署防御措施，從而提高安全防護(hù)能力。慧眼云系統(tǒng)整體架構(gòu)如下圖所示。　　

通過失陷主機(jī)、威脅情報(bào)、情景分析、日志搜索和安全報(bào)告等核心功能，慧眼云完成了支撐點(diǎn)的檢測和報(bào)告輸出。基于威脅行為階段和行為模型(與C&C服務(wù)器通信、發(fā)起掃描攻擊等)，慧眼云構(gòu)建主機(jī)失陷的確定性和威脅性的分?jǐn)?shù)，并通過失陷主機(jī)的威脅活動分布、詳細(xì)數(shù)據(jù)列表等逐層鉆取，進(jìn)行整個失陷過程的還原，找到對抗方法。基于威脅情報(bào)的整合，慧眼云可以勾畫出攻擊者的畫像，預(yù)測將來可能發(fā)生的攻擊。涉及主機(jī)類型、連接方向、源地址、目的地址等屬性的情境分析，則能夠自適應(yīng)的建模出客戶當(dāng)前業(yè)務(wù)下的安全威脅模型，從而更有針對性的發(fā)現(xiàn)網(wǎng)絡(luò)中存在的異常。慧眼云還支持幾秒內(nèi)完成幾十T的數(shù)據(jù)搜索，讓安全人員可以進(jìn)行快速的事件定位和回溯。

這些功能的具體演示，請點(diǎn)擊閱讀：深度體驗(yàn)慧眼云，探秘國內(nèi)失陷主機(jī)檢測系統(tǒng)。這里要說的是，失陷主機(jī)、威脅情報(bào)和情境分析功能的存在，對于慧眼云能夠“慧眼”預(yù)測未知威脅來說功不可沒，而基于統(tǒng)計(jì)關(guān)聯(lián)分析、機(jī)器學(xué)習(xí)的異常行為檢測技術(shù)，則是這三項(xiàng)功能的核心所在。例如，通過對基于大數(shù)據(jù)分析平臺，融合外部情報(bào)，NS-TIP威脅情報(bào)生產(chǎn)平臺才能夠給出惡意IP、惡意URL、惡意DNS、惡意行為，并還原攻擊者組織、攻擊目的、行業(yè)覆蓋度、活躍程度等信息。全方位、多角度對海量數(shù)據(jù)的深度挖掘、關(guān)聯(lián)和聚合，是精準(zhǔn)識別、感知的保證。慧眼云底層的大數(shù)據(jù)分析架構(gòu)如下圖所示。　　

大數(shù)據(jù)分析涵蓋流量日志、威脅日志、應(yīng)用日志和用戶日志，談到這些數(shù)據(jù)源就不能不提到云計(jì)算技術(shù)對本地用戶異常行為的收集，這也和慧眼云的部署模式有關(guān)。網(wǎng)康慧眼云整體解決方案包含慧眼云和NGFW兩部分，支持公有云、私有云兩種形態(tài)。NGFW 既可以設(shè)置為鏡像模式，作為慧眼云的獨(dú)立探針;也可以串接，作為網(wǎng)關(guān)、網(wǎng)橋，不但作為慧眼云的探針，也作為安全管控設(shè)備，進(jìn)行安全阻斷管理。

公有云部署模式下，客戶可以在互聯(lián)網(wǎng)邊界、內(nèi)網(wǎng)邊界、數(shù)據(jù)中心邊界分別部署NGFW 防火墻，這些NGFW實(shí)時地將網(wǎng)絡(luò)中的各種安全日志上傳到公有云進(jìn)行大數(shù)據(jù)的關(guān)聯(lián)分析。私有云模式用于安全日志量過大的用戶，他們可以在互聯(lián)網(wǎng)邊界、內(nèi)網(wǎng)邊界、數(shù)據(jù)中心邊界分別部署NGFW防火墻和其它內(nèi)網(wǎng)產(chǎn)品，將這些設(shè)備產(chǎn)生的各種安全日志上傳到私有云進(jìn)行大數(shù)據(jù)的關(guān)聯(lián)分析。

小結(jié)

基于云和大數(shù)據(jù)技術(shù)，慧眼云能夠?qū)W(wǎng)絡(luò)異常行為進(jìn)行實(shí)時、持續(xù)的檢測，結(jié)合威脅情報(bào)系統(tǒng)，發(fā)現(xiàn)網(wǎng)絡(luò)中存在的失陷主機(jī)，并采取對應(yīng)措施，防患于未然。慧眼云通過對各種日志基于時間維度和空間維度的關(guān)聯(lián)分析，發(fā)現(xiàn)用戶的異常行為，鎖定潛在風(fēng)險，提高安全防御能力。而通過對歷史數(shù)據(jù)的分析和鉆取，對已經(jīng)失陷的主機(jī)進(jìn)行完整的還原和過程回溯，慧眼云可以為掌握攻擊過程、評估攻擊危害提供數(shù)據(jù)支撐，找到根本性對抗措施。