EN

CNCERT2018 | 基于Bro的威脅追蹤思路與實踐

發(fā)布時間:2018-08-16
瀏覽量: 6450

2018中國網(wǎng)絡(luò)安全年會已進(jìn)行到最后一天,各種大會活動依然緊張進(jìn)行中。在結(jié)束了首日專家學(xué)者們對網(wǎng)絡(luò)安全產(chǎn)業(yè)環(huán)境、發(fā)展趨勢與技術(shù)創(chuàng)新等重大話題的探討后,讓我們將目光聚焦到以技術(shù)討論與分享為主導(dǎo)的大會8大特色分論壇上,來聽聽來自各自安全領(lǐng)域的技術(shù)專家所帶來的成果分析和安全實踐分享吧。


1615538454.jpg


  據(jù)悉,本屆大會共設(shè)置了應(yīng)急響應(yīng)、態(tài)勢感知、網(wǎng)絡(luò)攻擊溯源、威脅情報、物聯(lián)網(wǎng)、人工智能、安全漏洞、數(shù)據(jù)安全8個特色分論壇。在16日上午應(yīng)急響應(yīng)分論壇上,就如何應(yīng)對安全威脅泛濫的網(wǎng)絡(luò)環(huán)境,以發(fā)現(xiàn)未知的網(wǎng)絡(luò)攻擊并輔以安全保護(hù)的問題,任子行人提出了一種全新的安全檢測、預(yù)防和威脅溯源防護(hù)新思路。


安全新選擇 威脅追蹤 and 可視化分析

  在應(yīng)急響應(yīng)分論壇現(xiàn)場,面對在場的數(shù)百名技術(shù)人員,任子行SURFSRC實驗室攻防經(jīng)理彭軍波闡述了應(yīng)對日趨復(fù)雜頻發(fā)的安全威脅,基于Bro來實時追蹤安全威脅并為之溯源的一種新型安全防御思路。


1615538473.jpg

任子行SURFSRC實驗室攻防經(jīng)理彭軍波


  實際上面對當(dāng)前普遍的高級復(fù)雜的威脅,傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品已經(jīng)疲于應(yīng)付,主要是因為傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品依然基于一種被動的檢測方式,只有發(fā)生威脅后,應(yīng)急取證調(diào)查才會被啟動。其實,威脅已經(jīng)發(fā)生了,就在那里,因為沒有明顯的告警而被無視,實際上依然存在可疑的攻擊行為,這個時候依然要啟動威脅的分析機(jī)制,去發(fā)現(xiàn)、分析以及溯源威脅。其中威脅的追蹤機(jī)制需要建立在大量高質(zhì)量有針對性的數(shù)據(jù)基礎(chǔ)上,這也是本次引出Bro這個不一樣的NIDS的原因,因為其可通過配置產(chǎn)生大量豐富的網(wǎng)絡(luò)元數(shù)據(jù),提供后續(xù)的分析。為了減少安全分析人員的工作量,借助大數(shù)據(jù)關(guān)聯(lián)分析與基于可視化的分析,可以大大縮短安全分析人員的分析時間。這也是本次任子行攻防實驗室經(jīng)理彭軍波的議題《基于Bro的威脅追蹤思路與實踐》所探討的方向。

  該議題表達(dá)了每一種網(wǎng)絡(luò)協(xié)議均存在可被利用的脆弱點(diǎn),站在Bro的角度,對多種主流網(wǎng)絡(luò)協(xié)議可能存在的典型威脅進(jìn)行了說明。同時,在議題的具體應(yīng)用案例中,以Bro產(chǎn)生的豐富協(xié)議元數(shù)據(jù)為基礎(chǔ),展示了對橫向移動、惡意代碼C2以及常用于高級攻擊中的隱秘通道等幾種典型威脅場景的檢測方法。最后,強(qiáng)調(diào)了利用大數(shù)據(jù)對可疑的網(wǎng)絡(luò)活動進(jìn)行關(guān)聯(lián)分析以及可視化分析的重要性,能夠幫助運(yùn)維人員以及安全分析分析人員提供強(qiáng)大的未知威脅的發(fā)現(xiàn)與分析的能力。


關(guān)于《基于Bro的威脅追蹤思路與實踐》

  事實上,作為網(wǎng)絡(luò)安全防護(hù)的重要領(lǐng)域,基于威脅場景的攻擊行為檢測已成為了目前的研究熱點(diǎn)之一,使用這種方法可以較為清楚明確的顯示主機(jī)網(wǎng)絡(luò)安全狀態(tài),從而識別和遏制可疑行為,加固安全防護(hù)。任子行態(tài)勢感知系統(tǒng)的研制也借鑒了這一策略,通過對流量以及關(guān)聯(lián)的數(shù)據(jù)分析、處理,使得系統(tǒng)可多方位、多維度感知系統(tǒng)運(yùn)轉(zhuǎn)狀態(tài),由此并建立起一套完善的監(jiān)測、分析、防護(hù)和處置體系,從而為你的網(wǎng)絡(luò)安全提供客觀的決策依據(jù)。

  隨著信息技術(shù)創(chuàng)新發(fā)展,網(wǎng)絡(luò)安全問題越來越突出,網(wǎng)絡(luò)安全的內(nèi)涵也在不斷擴(kuò)展?;谇把仡I(lǐng)先的安防技術(shù)研究,提供可信賴的安全服務(wù)和品質(zhì)保障,為您的網(wǎng)絡(luò)安全保駕護(hù)航,這是任子行一直以來服務(wù)宗旨。未來,任子行依托行業(yè)領(lǐng)先的技術(shù)研發(fā)優(yōu)勢,將一如既往守護(hù)您的網(wǎng)絡(luò)信息安全,助力網(wǎng)絡(luò)強(qiáng)國建設(shè)。

熱點(diǎn)內(nèi)容

開始試用任子行產(chǎn)品
申請試用

20年公安服務(wù)經(jīng)驗

7*24小時應(yīng)急響應(yīng)中心

自主知識產(chǎn)權(quán)的產(chǎn)品裝備

專家級安全服務(wù)團(tuán)隊

網(wǎng)絡(luò)空間數(shù)據(jù)治理專家

榮獲國家科學(xué)技術(shù)二等獎

置頂
電話

400-700-1218

官方熱線電話

咨詢
留言
二維碼
微信公眾號
公司微博