技術(shù)說明天闐高級(jí)持續(xù)性威脅檢測(cè)與管理系統(tǒng)威脅分析一體機(jī)

目錄一.引言 41.1背景 41.1.1網(wǎng)絡(luò)安全法制化建設(shè)穩(wěn)步推進(jìn)，數(shù)據(jù)安全逐漸成為焦點(diǎn) 41.1.2互聯(lián)網(wǎng)逐漸全面轉(zhuǎn)向加密化，傳統(tǒng)DPI方法難以識(shí)別 41.1.3網(wǎng)絡(luò)犯罪產(chǎn)業(yè)鏈逐漸成型，地下黑產(chǎn)技術(shù)“深度融合” 61.1.4勒索攻擊已成為全球公敵，“多重勒索”、“APT化”成為勒索攻擊標(biāo)配 81.1.5就地取材，LOLBins、攻擊性安全工具濫用成趨勢(shì) 101.1.6Web攻擊工具逐漸自動(dòng)化、加密化，辦公系統(tǒng)、安全設(shè)備漏洞威脅愈發(fā)嚴(yán)重 111.1.7我國境內(nèi)高級(jí)持續(xù)性威脅狀況依然嚴(yán)峻 111.2面對(duì)新威脅的應(yīng)對(duì)措施 131.2.1傳統(tǒng)防御手段難以為繼 141.2.2新技術(shù)、新應(yīng)對(duì) 16二.定位與價(jià)值 172.1產(chǎn)品定位 172.2產(chǎn)品價(jià)值 19三.產(chǎn)品架構(gòu) 213.1分層設(shè)計(jì) 213.1.1TAR-AIO網(wǎng)絡(luò)流檢測(cè)引擎 213.1.2TAR-AIO文件檢測(cè)引擎 243.1.3TAR-AIO威脅分析系統(tǒng) 253.2ELK大數(shù)據(jù)架構(gòu) 27四.關(guān)鍵技術(shù)應(yīng)用 284.1支持雙向特征匹配特征檢測(cè) 284.2動(dòng)靜態(tài)相結(jié)合的未知威脅檢測(cè) 284.3基于NTA的加密流量檢測(cè)能力 324.4攻擊鏈還原自動(dòng)化擴(kuò)線分析 324.5基于算法模型的檢測(cè)能力 344.6結(jié)合威脅狩獵的主動(dòng)防御 374.7VenusEye情報(bào)云查輔助降低甄別難度 40五.功能價(jià)值呈現(xiàn) 425.1基于完整流的取證與研判分析 425.2全面實(shí)時(shí)的監(jiān)測(cè)與威脅分析 435.2.1威脅視角 445.2.2風(fēng)險(xiǎn)感知 465.2.3場(chǎng)景分析 485.2.4離線數(shù)據(jù)與樣本檢測(cè) 515.3強(qiáng)大的加密流量檢測(cè) 525.3.1加密通道中的攻擊行為檢測(cè) 545.3.2惡意或非法加密應(yīng)用檢測(cè) 555.3.3加密隱蔽隧道檢測(cè) 585.4多維度可視化安全預(yù)警 625.5可感知的威脅告警 635.6易運(yùn)營的運(yùn)維處理 655.6.1自動(dòng)化聯(lián)動(dòng)NFT取證溯源 655.6.2多維度報(bào)表 655.6.3APT設(shè)備集中管控 66六.部署與解決方案 676.1一體化威脅感知場(chǎng)景——單機(jī)部署模式 676.2全網(wǎng)威脅感知場(chǎng)景1——整體解決方案部署模式 696.3全網(wǎng)威脅感知場(chǎng)景2——XDR集中管理部署模式 70七.結(jié)論 71引言背景網(wǎng)絡(luò)安全法制化建設(shè)穩(wěn)步推進(jìn)，數(shù)據(jù)安全逐漸成為焦點(diǎn)習(xí)近平總書記指出：“安全是發(fā)展的前提，發(fā)展是安全的保障”。這表明在塑造數(shù)字化發(fā)展這個(gè)新“動(dòng)力系統(tǒng)”的同時(shí)，也要注重實(shí)現(xiàn)網(wǎng)絡(luò)和數(shù)據(jù)安全的“制動(dòng)系統(tǒng)”。唯有如此，才能形成健康、良性、高質(zhì)量的數(shù)字化發(fā)展新格局。網(wǎng)絡(luò)安全法的正式施行，標(biāo)志著我國網(wǎng)絡(luò)安全納入法制化軌道。等級(jí)保護(hù)2.0相關(guān)標(biāo)準(zhǔn)的正式實(shí)施，構(gòu)成了國家網(wǎng)絡(luò)安全保障的基本制度、基本策略和基本方法。2021年7月，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）》，從關(guān)鍵信息基礎(chǔ)設(shè)施到供應(yīng)鏈安全等多角度維護(hù)國家安全。同月，工業(yè)和信息化部、國家互聯(lián)網(wǎng)信息辦公室、公安部聯(lián)合印發(fā)了《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，自2021年9月1日起施行。該規(guī)定的施行將推動(dòng)網(wǎng)絡(luò)產(chǎn)品安全漏洞管理工作的制度化、規(guī)范化、法治化，引導(dǎo)建設(shè)規(guī)范有序、充滿活力的漏洞收集和發(fā)布渠道，防范網(wǎng)絡(luò)安全重大風(fēng)險(xiǎn)，保障國家網(wǎng)絡(luò)安全。特別值得一提的是2021年9月1日即將施行的《中華人民共和國數(shù)據(jù)安全法》，它的頒布和實(shí)施為規(guī)范數(shù)據(jù)處理活動(dòng)、保障數(shù)據(jù)安全、促進(jìn)數(shù)據(jù)開發(fā)利用提供了法律依據(jù)。同時(shí)標(biāo)志著數(shù)據(jù)安全正逐漸成為焦點(diǎn)，并已經(jīng)成為國家戰(zhàn)略層面的重要考量。經(jīng)過近幾年的發(fā)展，針對(duì)數(shù)據(jù)安全的各項(xiàng)保障工作逐漸取得成效。我們相信，隨著相關(guān)法律法規(guī)的不斷落地以及相關(guān)技術(shù)的不斷成熟，我國網(wǎng)絡(luò)安全治理能力和數(shù)據(jù)安全保障水平將會(huì)不斷邁上新的臺(tái)階?；ヂ?lián)網(wǎng)逐漸全面轉(zhuǎn)向加密化，傳統(tǒng)DPI方法難以識(shí)別互聯(lián)網(wǎng)技術(shù)的發(fā)展極大地豐富了人們的生活，產(chǎn)生了各種網(wǎng)絡(luò)應(yīng)用，而網(wǎng)絡(luò)流量則是網(wǎng)絡(luò)應(yīng)用在網(wǎng)絡(luò)交互過程中的數(shù)據(jù)表現(xiàn)形式?；ヂ?lián)網(wǎng)服務(wù)提供商（InternetServiceProvider，ISP）為了保證網(wǎng)絡(luò)的服務(wù)質(zhì)量（QualityofService，QoS）和用戶的體驗(yàn)效果（QualityofExperience，QoE），需要對(duì)網(wǎng)絡(luò)流量尤其是OTT（Overthetop）應(yīng)用的網(wǎng)絡(luò)流量進(jìn)行分析，這也是提升網(wǎng)絡(luò)管理水平、實(shí)現(xiàn)網(wǎng)絡(luò)資源優(yōu)化的重要手段；同時(shí)，互聯(lián)網(wǎng)技術(shù)的高速發(fā)展也使互聯(lián)網(wǎng)上存在大量非法行為與惡意流量，安全監(jiān)管部門需要通過流量分析技術(shù)實(shí)現(xiàn)互聯(lián)網(wǎng)的監(jiān)管和安全保護(hù)。隨著目前國內(nèi)外網(wǎng)絡(luò)安全法律法規(guī)的完善和用戶網(wǎng)絡(luò)安全意識(shí)的興起，目前大量網(wǎng)頁已經(jīng)被加密。根據(jù)NetMarketShare的數(shù)據(jù)，2021年12月三大主流鼓勵(lì)使用HTTPS的瀏覽器市場(chǎng)占比已超過90%，全球加密Web流量的比例也已經(jīng)超過90%；根據(jù)Google透明度報(bào)告“Chrome中的HTTPS加密情況”，2022年5月Chrome加載網(wǎng)頁中啟用加密的比例已經(jīng)達(dá)到了99%。除網(wǎng)頁外，隱私與版權(quán)意識(shí)的加強(qiáng)使得視頻、音樂等內(nèi)容與即時(shí)通信、文件傳輸?shù)葢?yīng)用在網(wǎng)絡(luò)中采用加密傳輸，而反作弊和服務(wù)器安全保護(hù)的需求也推動(dòng)了電子游戲、遠(yuǎn)程訪問等行為流量的加密化。Google透明度報(bào)告“所有Google產(chǎn)品和服務(wù)中的已加密流量”比例已經(jīng)在2022年5月幾乎達(dá)到了100%（除GoogleMaps與GoogleNews）。網(wǎng)絡(luò)流量的加密化已經(jīng)成為必然趨勢(shì)。網(wǎng)絡(luò)流量加密化在給用戶和企業(yè)帶來隱私與安全的同時(shí)，也給網(wǎng)絡(luò)安全監(jiān)管和網(wǎng)絡(luò)流量管理帶來了挑戰(zhàn)。網(wǎng)絡(luò)監(jiān)管和流量管理通常需要準(zhǔn)確的流量分析，但流量經(jīng)加密后難以通過傳統(tǒng)的方法實(shí)現(xiàn)細(xì)粒度實(shí)時(shí)分析。傳統(tǒng)的流量分析方法依靠DPI（DeepPacketInspection）深度包檢測(cè)方法對(duì)明文報(bào)文中的負(fù)載特殊字段進(jìn)行匹配而實(shí)現(xiàn)，但隨著加密流量的興起，DPI方法難以對(duì)被加密的負(fù)載內(nèi)容進(jìn)行匹配。目前的DPI方法包含對(duì)密文字段匹配的中間盒分析方法，通過將DPI和密碼學(xué)原理相結(jié)合，獲取并過濾用戶令牌，提取并生成加密流量通信過程中的各個(gè)行為規(guī)則，實(shí)現(xiàn)在保護(hù)用戶隱私情況下的加密流量檢測(cè)（主要用于入侵檢測(cè)）。值得注意的是，該過程需要較高的權(quán)限與訪問方的配合，僅適用于企業(yè)內(nèi)網(wǎng)邊界，因?yàn)槠髽I(yè)內(nèi)網(wǎng)與外部網(wǎng)絡(luò)進(jìn)行交互都需要通過中間盒進(jìn)行（串行流量模式）。該模式不適合在互聯(lián)網(wǎng)中使用，因?yàn)榛ヂ?lián)網(wǎng)流量規(guī)模巨大（尤其是骨干網(wǎng)環(huán)境）、用戶數(shù)量眾多且用戶行為不可控，流量分析需要通過旁路并接進(jìn)行。網(wǎng)絡(luò)犯罪產(chǎn)業(yè)鏈逐漸成型，地下黑產(chǎn)技術(shù)“深度融合”隨著RaaS（勒索軟件即服務(wù)）、MaaS（惡意軟件即服務(wù)）等模式的發(fā)展，網(wǎng)絡(luò)犯罪產(chǎn)業(yè)鏈逐漸成型。網(wǎng)絡(luò)犯罪過程中的任何環(huán)節(jié)都能找到相應(yīng)的服務(wù)，網(wǎng)絡(luò)犯罪團(tuán)伙儼然已經(jīng)成為一個(gè)協(xié)作有序、相互匿名的項(xiàng)目團(tuán)隊(duì)。在日益成熟的網(wǎng)絡(luò)犯罪產(chǎn)業(yè)鏈下，地下黑產(chǎn)技術(shù)“深度融合”。以RaaS模式為例，各成員通過暗網(wǎng)相互提供服務(wù)，管理者作為“項(xiàng)目經(jīng)理”統(tǒng)籌資源的調(diào)配，賺得的勒索金額會(huì)根據(jù)不同工種的工作量給予一定的利潤分成。勒索團(tuán)伙通常包含資源服務(wù)團(tuán)隊(duì)，技術(shù)服務(wù)團(tuán)隊(duì)和業(yè)務(wù)服務(wù)團(tuán)隊(duì)。圖SEQ圖\*ARABIC1_D3Fend框架DNS網(wǎng)絡(luò)流量數(shù)字工件在日漸成熟的網(wǎng)絡(luò)犯罪產(chǎn)業(yè)鏈下，各類僵尸網(wǎng)絡(luò)、勒索軟件、加載器、商業(yè)木馬“深度融合”，許多網(wǎng)絡(luò)犯罪分子在產(chǎn)業(yè)鏈內(nèi)發(fā)展關(guān)系，從而獲得使團(tuán)隊(duì)運(yùn)作或利潤最大化的必要技術(shù)。以下是過去一年多我們觀察到的不同攻擊活動(dòng)中常見的惡意軟件投遞關(guān)系圖：圖SEQ圖\*ARABIC2_常見惡意軟件投遞關(guān)系圖勒索攻擊已成為全球公敵，“多重勒索”、“APT化”成為勒索攻擊標(biāo)配過去一年多，平均每11秒就有一家企業(yè)成為勒索病毒攻擊的目標(biāo)，勒索攻擊或在2020年造成高達(dá)數(shù)千億美元的損失。據(jù)不完全統(tǒng)計(jì)，2020年全球勒索攻擊次數(shù)較2019年同比增長了150%以上，每次勒索的平均贖金達(dá)到了31萬美元；2021年“勒索攻擊產(chǎn)業(yè)”年收入將達(dá)到數(shù)千億美元。勒索軟件的威脅堪比“911”事件后全球恐怖主義所面臨的挑戰(zhàn)，并逐漸成為全球公敵。在“RaaS（勒索軟件即服務(wù)）”、“APT化”攻擊模式以及“BigGameHunting（大型狩獵游戲）”盛行的大背景下，勒索攻擊的參與者越來越多，勒索攻擊的事后追查越來越困難，勒索入侵的過程越來越復(fù)雜，勒索攻擊的目標(biāo)越來越有針對(duì)性。勒索組織管理者通過招募相關(guān)領(lǐng)域的“人才”組成松散的“團(tuán)隊(duì)”。“團(tuán)隊(duì)”構(gòu)建完畢后，通過價(jià)值目標(biāo)選擇、攻擊方案選擇等完成前期準(zhǔn)備，再通過弱口令爆破、僵尸網(wǎng)絡(luò)、魚叉攻擊、水坑攻擊、供應(yīng)鏈攻擊或者0day/Nday漏洞等方式進(jìn)入受害者的網(wǎng)絡(luò)環(huán)境，進(jìn)而通過憑證竊取、權(quán)限提升、橫向移動(dòng)等找到受害者的重要資產(chǎn)，將數(shù)據(jù)打包后上傳到攻擊者的服務(wù)器，最后投放勒索軟件進(jìn)行精準(zhǔn)勒索。一般一次完整的勒索攻擊會(huì)持續(xù)數(shù)周甚至數(shù)月時(shí)間，攻擊者在受害者網(wǎng)絡(luò)中長期潛伏，甚至?xí)诠暨^程中隨時(shí)根據(jù)受害者的網(wǎng)絡(luò)防護(hù)情況調(diào)整自己的策略，所做的一切都只為尋找最有價(jià)值的數(shù)據(jù)并在最后一刻“一招斃命”。同時(shí)，勒索攻擊者已經(jīng)普遍不滿足于依靠單一勒索方式達(dá)到目的，而是采取泄露攻擊目標(biāo)重要數(shù)據(jù)，對(duì)攻擊目標(biāo)發(fā)動(dòng)DDoS攻擊甚至威脅與受害企業(yè)相關(guān)的客戶等“多重勒索”方式達(dá)成最終的目的。此外，以往勒索攻擊主要針對(duì)傳統(tǒng)IT系統(tǒng)，近年來隨著云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)等技術(shù)的快速發(fā)展，勒索已經(jīng)逐漸瞄準(zhǔn)云上資源、IoT設(shè)備、工控系統(tǒng)以及移動(dòng)終端設(shè)備，這類本來自身安全性就較薄弱的系統(tǒng)在面對(duì)勒索攻擊時(shí)更加不堪一擊，輕則造成企業(yè)生產(chǎn)停滯，重則危害社會(huì)乃至國家安全。未來，除了針對(duì)價(jià)值目標(biāo)的“APT化”勒索攻擊外，類似DarkSide組織以摧毀重要基礎(chǔ)設(shè)施為目的的高級(jí)勒索攻擊將會(huì)屢見不鮮，勒索攻擊將成為危害網(wǎng)絡(luò)安全的首要威脅。圖SEQ圖\*ARABIC3_APT組織慣用技術(shù)矩陣2021年5月7日，全美最大油氣輸送管道運(yùn)營商ColonialPipeline遭到勒索軟件定向攻擊，此次勒索攻擊由于涉及到國家級(jí)關(guān)鍵基礎(chǔ)設(shè)施，故而引起了全球的震動(dòng)和廣泛關(guān)注。此次攻擊的幕后黑手確認(rèn)為DarkSide勒索團(tuán)伙，該公司不得不向黑客支付了440萬美元的贖金，以恢復(fù)被攻擊的系統(tǒng)。圖SEQ圖\*ARABIC4_ColonialPipeline輸油管線就地取材，LOLBins、攻擊性安全工具濫用成趨勢(shì)對(duì)于攻擊者來說，利用各種現(xiàn)成的工具來實(shí)現(xiàn)其最終目的無疑是最佳選擇。一是，利用現(xiàn)成的工具可以更大地降低成本，攻擊者只需要付出一定的學(xué)習(xí)成本便可輕松達(dá)到目的；二是，有些工具并非是真正的惡意軟件，安全軟件一般不會(huì)檢測(cè)或者會(huì)被管理者當(dāng)作白名單，大大提高了這類工具在使用過程中的“免殺”能力。三是，使用現(xiàn)成工具往往會(huì)更進(jìn)一步隱藏攻擊者的真實(shí)身份，使得基于工具進(jìn)行攻擊者身份鑒別的手段失效。在“Livingofftheland”熱度不減的同時(shí)，攻擊性安全工具（OffensiveSecurityTools，簡稱OST）越來越受到攻擊者的關(guān)注?！癓ivingofftheland”通常指攻擊者使用目標(biāo)主機(jī)上已安裝的工具或功能進(jìn)行攻擊的方式，被利用的工具通常叫做“LOLBin”。在真實(shí)攻擊中，LOLBin一般以操作系統(tǒng)自帶的具有一定功能（如網(wǎng)絡(luò)訪問，命令執(zhí)行等）的系統(tǒng)文件為主。雖然“Livingofftheland”可以最大限度地避免攻擊被發(fā)現(xiàn)的可能，但僅利用系統(tǒng)提供的有限功能“拼湊”出整個(gè)攻擊過程并非易事，攻擊性安全工具便進(jìn)入了攻擊者的視野。攻擊性安全工具是指在不利用軟件自身缺陷或漏洞的情況下，以合法身份實(shí)施入侵或規(guī)避安全防御機(jī)制的軟件代碼庫。攻擊性安全工具一般由信息安全專業(yè)人士開發(fā)，目的是促進(jìn)網(wǎng)絡(luò)安全相關(guān)技術(shù)的發(fā)展。通俗地講，攻擊性安全工具就是開源代碼共享網(wǎng)站可以下載到的滲透工具或者較為知名的商業(yè)滲透攻擊套件的集合。Web攻擊工具逐漸自動(dòng)化、加密化，辦公系統(tǒng)、安全設(shè)備漏洞威脅愈發(fā)嚴(yán)重近年來，Web攻擊工具呈現(xiàn)逐漸自動(dòng)化、加密化的趨勢(shì)。以冰蝎、哥斯拉為代表的新型Webshell管理工具正逐漸往流量加密的趨勢(shì)發(fā)展。傳統(tǒng)的以特征串匹配為基礎(chǔ)的流量檢測(cè)手段已逐漸失效，以流量行為特征、機(jī)器學(xué)習(xí)、威脅狩獵為基礎(chǔ)的檢測(cè)方式正逐漸走上舞臺(tái)。以Goby、Xray為代表的漏掃工具方興未艾，它們普遍都集成了各類系統(tǒng)及應(yīng)用的漏洞EXP，并且支持自定義EXP，通過豐富漏洞EXP資源庫方便使用者快速獲取權(quán)限。再配合各腳本、工具間實(shí)現(xiàn)高效聯(lián)動(dòng)，提升了漏洞的探測(cè)能力與利用效率。這些漏掃工具功能越來越強(qiáng)大，使用越來越方便，即使是入門級(jí)的新手也能依靠這些工具自動(dòng)化完成大部分滲透工作。此外，仍有不少0day漏洞被曝光，這其中大部分都是辦公系統(tǒng)及安全設(shè)備本身的漏洞。這類漏洞具有覆蓋范圍廣、危害大，利用難度較低的特點(diǎn)。由于OA系統(tǒng)通常位于DMZ區(qū)或內(nèi)網(wǎng)，安全設(shè)備通常位于內(nèi)網(wǎng)，加之國內(nèi)部分企業(yè)網(wǎng)絡(luò)環(huán)境相對(duì)復(fù)雜，訪問控制策略不規(guī)范，時(shí)常會(huì)有內(nèi)外網(wǎng)或DMZ區(qū)互通的現(xiàn)象出現(xiàn)。此時(shí)OA系統(tǒng)或辦公設(shè)備的漏洞就會(huì)成為攻擊者的絕佳入口，攻擊者可利用OA系統(tǒng)掛馬或當(dāng)作跳板直達(dá)核心辦公網(wǎng)，甚至利用安全設(shè)備漏洞直接關(guān)閉告警信息讓攻擊者暢通無阻。我國境內(nèi)高級(jí)持續(xù)性威脅狀況依然嚴(yán)峻在2023上半年監(jiān)測(cè)到數(shù)十個(gè)境外APT組織針對(duì)我國范圍內(nèi)大量目標(biāo)IP進(jìn)行通信，形成了大量的境內(nèi)IP與特定APT組織的網(wǎng)絡(luò)基礎(chǔ)設(shè)施的高危通信事件。其中還存在個(gè)別APT組織通過多個(gè)C2服務(wù)器與同一IP通信的情況。下圖為2023上半年中國境內(nèi)疑似連接過境外APT組織C2服務(wù)器的IP地址地域分布，分別展示了各省疑似受害IP地址的數(shù)量：廣東省受境外APT團(tuán)伙攻擊情況最為突出，其次是北京、上海、浙江等經(jīng)濟(jì)發(fā)達(dá)地區(qū)。此外，監(jiān)測(cè)發(fā)現(xiàn)中國香港地區(qū)也存在一定數(shù)量的受害目標(biāo)。圖SEQ圖\*ARABIC5_2023上半年中國境內(nèi)疑似受控IP地域分布TOP10下圖分別為2023上半年境外APT組織疑似控制我國境內(nèi)目標(biāo)IP數(shù)量占比以及境外APT組織疑似使用過的C2服務(wù)器數(shù)量分布。圖SEQ圖\*ARABIC6_2023上半年APT組織控制境內(nèi)IP數(shù)量占比及C2服務(wù)器數(shù)量分布可以看出，海蓮花、毒云藤兩個(gè)組織依舊是針對(duì)國內(nèi)攻擊的主要組織，Winnti、蔓靈花、APT-Q-27、響尾蛇、Lazarus等APT組織也疑似控制了境內(nèi)大量IP地址。這些組織潛伏在我國周邊國家和地區(qū)伺機(jī)發(fā)起攻擊，其中毒云藤和海蓮花長期針對(duì)中國。在上半年的攻擊中，毒云藤大多以釣魚為主，目標(biāo)通常為高校、科研領(lǐng)域，海蓮花則主要針對(duì)我國關(guān)鍵基礎(chǔ)設(shè)施。通過在客戶現(xiàn)場(chǎng)處置排查的真實(shí)APT攻擊事件及威脅情報(bào)的全線產(chǎn)品告警數(shù)據(jù)進(jìn)行分析，得到境內(nèi)受害行業(yè)分布情況：2023上半年涉及我國政府、能源、科研教育、金融商貿(mào)的高級(jí)威脅事件占主要部分，其次為科技、國防、衛(wèi)生醫(yī)療等領(lǐng)域。相關(guān)受影響的境內(nèi)行業(yè)分布如下。圖SEQ圖\*ARABIC7_2023上半年高級(jí)威脅事件涉及境內(nèi)行業(yè)分布面對(duì)新威脅的應(yīng)對(duì)措施過去幾年中，網(wǎng)絡(luò)攻擊的數(shù)量呈指數(shù)級(jí)增長影響各種規(guī)模、行業(yè)的企業(yè)網(wǎng)絡(luò)。而傳統(tǒng)的基于黑白名單、簽名和規(guī)則特征的安全威脅發(fā)現(xiàn)手段，已經(jīng)不能應(yīng)對(duì)不斷發(fā)展的網(wǎng)絡(luò)威脅和IT環(huán)境。在這些威脅中，尤其是以高級(jí)持續(xù)性惡意攻擊（APT攻擊）為代表的新威脅，更是讓企業(yè)防不勝防。現(xiàn)有的任何防御手段在APT攻擊這種定向攻擊面前都顯得蒼白無力。針對(duì)高級(jí)威脅，傳統(tǒng)的頭痛醫(yī)頭腳痛醫(yī)腳的安全防御并無法解決問題，反而還帶來了割裂的安全，缺乏全過程的防護(hù)。同時(shí)多異構(gòu)設(shè)備的疊加帶來了安全的碎片化，缺乏統(tǒng)一的視角和關(guān)聯(lián)能力，無法打破數(shù)據(jù)孤島，協(xié)同防御。傳統(tǒng)防御手段難以為繼網(wǎng)絡(luò)安全檢測(cè)分析是攻與防的持續(xù)對(duì)抗過程，傳統(tǒng)的網(wǎng)絡(luò)威脅分析存在很多的關(guān)鍵技術(shù)問題亟需解決：傳統(tǒng)檢測(cè)技術(shù)無法有效應(yīng)對(duì)加密威脅在互聯(lián)網(wǎng)技術(shù)日益健全的今天，網(wǎng)絡(luò)流量識(shí)別技術(shù)對(duì)網(wǎng)絡(luò)管理、服務(wù)質(zhì)量保障和網(wǎng)絡(luò)安全等具有重大的意義。伴隨著加密技術(shù)的不斷發(fā)展，加密流量在互聯(lián)網(wǎng)流量中的數(shù)量和比例也不斷上升，根據(jù)最近的互聯(lián)網(wǎng)研究趨勢(shì)報(bào)告，如今87%的web流量是加密的，預(yù)計(jì)在2020年超過70%的惡意軟件活動(dòng)將使用某種類型的加密來隱藏惡意軟件的傳輸、控制命令活動(dòng)和數(shù)據(jù)滲漏。由于加密后流量的特征發(fā)生了改變，因而傳統(tǒng)流量檢測(cè)方式在加密環(huán)境下難以復(fù)現(xiàn)，如何在加密流量上進(jìn)行有效的惡意流量識(shí)別成為了網(wǎng)絡(luò)安全領(lǐng)域的重要挑戰(zhàn)。安全產(chǎn)品各自為戰(zhàn)，難以形成合力現(xiàn)在網(wǎng)絡(luò)里面部署了大量的安全產(chǎn)品，終端殺毒軟件產(chǎn)品、網(wǎng)絡(luò)邊界防護(hù)防火墻，IPS產(chǎn)品、網(wǎng)絡(luò)檢測(cè)IDS，沙箱產(chǎn)品等。這些安全產(chǎn)品都是為了解決特定的安全問題部署進(jìn)去的，相互之間沒有聯(lián)系，各自為戰(zhàn)，對(duì)于稍微復(fù)雜的安全威脅問題是沒有辦法的，比如越來越多的惡意軟件加入了反終端檢測(cè)的功能，會(huì)使用多種靜動(dòng)態(tài)免殺手段躲避終端殺毒軟件，甚至直接講終端殺毒軟件關(guān)閉，這就導(dǎo)致終端安全檢測(cè)失效，惡意軟件在突破終端殺毒軟件后，繼續(xù)進(jìn)行破壞活動(dòng)，往往伴隨網(wǎng)絡(luò)行為，比如與C&C遠(yuǎn)控服務(wù)器連接，橫向發(fā)包探測(cè)等，這些行為是可以通過網(wǎng)絡(luò)檢測(cè)產(chǎn)品檢測(cè)到的。但是網(wǎng)絡(luò)檢測(cè)產(chǎn)品僅僅發(fā)現(xiàn)了一次遠(yuǎn)控或探測(cè)的安全攻擊行為，如果能夠與終端系統(tǒng)的日志進(jìn)行關(guān)聯(lián)，就能夠發(fā)現(xiàn)完整的一次惡軟件攻擊行為，還原出整個(gè)過程。海量安全事件無法運(yùn)維，漏掉確定性的攻擊線索目前網(wǎng)絡(luò)威脅檢測(cè)的技術(shù)方案還是以特征檢測(cè)為主，通過報(bào)文頭特征或載荷特征進(jìn)行檢測(cè)，每天產(chǎn)生的安全事件數(shù)量是非常大的，超過上萬條。安全運(yùn)維人員的處理基線是每天不到100條安全事件，同時(shí)運(yùn)維人員在處理這些安全事件的時(shí)候，大多數(shù)安全事件都是“誤報(bào)”的。造成目前網(wǎng)絡(luò)流量檢測(cè)技術(shù)方案誤報(bào)多的現(xiàn)象主要有以下幾個(gè)原因：一是類似于PING這類的“誤報(bào)”，其本質(zhì)并非誤報(bào)。而是缺少上下文關(guān)聯(lián)導(dǎo)致大量的報(bào)警淹沒了關(guān)鍵攻擊行為。這類“誤報(bào)”必須和其他失陷的確定性報(bào)警結(jié)合起來作為攻擊前奏來看，而不能單純看作是確定性攻擊。二是提取的攻擊關(guān)鍵特征與正常協(xié)議沖突，攻擊特征是在威脅發(fā)生時(shí)流量里面提取到的，這些特征大都是靠安全專家的經(jīng)驗(yàn)總結(jié)提煉的，在面對(duì)現(xiàn)網(wǎng)錯(cuò)綜復(fù)雜的業(yè)務(wù)應(yīng)用流時(shí)，會(huì)出現(xiàn)攻擊特征與正常的業(yè)務(wù)流特征沖突。三是網(wǎng)絡(luò)流量引擎特征大都是單向特征，本質(zhì)上缺乏對(duì)于攻擊確定性的判定依據(jù)，現(xiàn)在大多數(shù)安全事件是網(wǎng)絡(luò)探測(cè)或攻擊嘗試行為產(chǎn)生的。這些安全事件無法給出確定性的攻擊成功與否判定，對(duì)于用戶的主觀感受就是誤報(bào)很多。未知威脅檢測(cè)能力有限，APT攻擊檢測(cè)缺乏有效手段這些年APT組織在攻擊隱匿性方面越來越強(qiáng)，釣魚手段更加精細(xì)化，針對(duì)性和迷惑性更強(qiáng)，利用開源代碼，改進(jìn)攻擊工具，降低攻擊成本。這些對(duì)于傳統(tǒng)的基于特征和規(guī)則的網(wǎng)絡(luò)安全檢測(cè)產(chǎn)品來說都是嚴(yán)峻挑戰(zhàn)。另外隨著網(wǎng)絡(luò)應(yīng)用逐步向加密傳輸方式演進(jìn)，邊界網(wǎng)關(guān)產(chǎn)品對(duì)于加密隧道采取放通策略，攻擊組織也利用這點(diǎn)，將SSH隧道等傳輸方式作為惡意軟件通信的基本能力，直接通過邊界網(wǎng)關(guān)產(chǎn)品進(jìn)入內(nèi)網(wǎng)。安全事件缺乏事后快速處置、追蹤溯源、攻擊路徑還原的工具支撐網(wǎng)絡(luò)安全產(chǎn)品檢測(cè)出安全事件，因?yàn)槿狈﹃P(guān)聯(lián)分析，只能根據(jù)各自產(chǎn)品安全威脅事件的危害程度進(jìn)行處置，對(duì)于危害程度更高的組合型APT高級(jí)威脅就無法及時(shí)處置了，需要有經(jīng)驗(yàn)的安全運(yùn)維人員到多個(gè)安全產(chǎn)品、系統(tǒng)里面進(jìn)行事件、告警日志等分析，找到確定的失陷主機(jī)，然后追蹤溯源，還原出攻擊路徑，最后去切斷路徑，實(shí)現(xiàn)完整的閉環(huán)。這些工作都需要統(tǒng)一的系統(tǒng)工具進(jìn)行支撐，固化運(yùn)維經(jīng)驗(yàn)和提高效率。新技術(shù)、新應(yīng)對(duì)早在2013年以前，APT攻擊對(duì)于我們來說還是個(gè)只聞其聲未見其面的“奢侈品”，曾經(jīng)名噪一時(shí)的“震網(wǎng)”攻擊、“極光”攻擊似乎離我們非常遙遠(yuǎn)。但是近年來，隨著黑產(chǎn)團(tuán)隊(duì)的組織化、攻擊技能的不斷泛化，攻擊目標(biāo)的定向化、攻擊工具的商品化，APT攻擊技術(shù)早已從高深不可得的“陽春白雪”，變成了技術(shù)小白都能嘗試一下的“下里巴人”。過去，造成較大影響力的攻擊事件普遍存在著影響范圍廣、持續(xù)時(shí)間短等特點(diǎn)。而現(xiàn)代攻擊中除了挖礦等少數(shù)需要大規(guī)模算力才能達(dá)成目標(biāo)的攻擊類型外，大多數(shù)攻擊都在向“APT化”發(fā)展?！癆”即高級(jí)，主要體現(xiàn)在攻擊者通常會(huì)采取加密、混淆、0day的方法繞過防御策略，甚至?xí)槍?duì)被攻擊者的特點(diǎn)單獨(dú)制定攻擊路線；“P”即持續(xù)，主要體現(xiàn)在攻擊從前期的踩點(diǎn)、武器準(zhǔn)備到載荷投遞、定植，再到權(quán)限提升、內(nèi)網(wǎng)橫向移動(dòng)直至最終的命令回傳、加密文件等一般都需要經(jīng)歷較長的過程。面對(duì)越來越多的“APT化”攻擊，迫切需要構(gòu)建“主動(dòng)防御、協(xié)同防御”的新型防御體系，其原因主要有以下幾點(diǎn)：一是由于“APT化”攻擊的“高級(jí)性”特點(diǎn)，傳統(tǒng)的基于已知特征或模型的被動(dòng)檢測(cè)模式完全無法應(yīng)對(duì)新型攻擊，攻擊者100%會(huì)突破防線進(jìn)入受害者網(wǎng)絡(luò)，“守不住，看不見”成為正常現(xiàn)象。但“雁過必留痕”，只要確保終端、邊界、內(nèi)網(wǎng)的流量、日志、告警記錄都能充分記錄下來，當(dāng)未知攻擊被有效識(shí)別后，具有豐富經(jīng)驗(yàn)的安全專家就可以從歷史數(shù)據(jù)中挖掘出失陷主機(jī)并還原出攻擊鏈，從而實(shí)現(xiàn)攻擊“找得著”；二是由于“APT化”攻擊的“持續(xù)性”特點(diǎn)，攻擊者會(huì)長期潛伏在受害者內(nèi)網(wǎng)中，從DMZ區(qū)到辦公區(qū)再到核心區(qū)可能都會(huì)遍布攻擊者的足跡，這就需要在網(wǎng)絡(luò)邊界、內(nèi)網(wǎng)、終端等任何需要監(jiān)控的環(huán)節(jié)都部署有相應(yīng)的安全產(chǎn)品，同時(shí)通過產(chǎn)品之間的協(xié)同聯(lián)動(dòng)完成對(duì)全攻擊過程的監(jiān)控和防御。三是由于不同類型攻擊特點(diǎn)的不同，表現(xiàn)為在終端或網(wǎng)絡(luò)側(cè)檢測(cè)的難易度也不盡相同。類似“永恒之藍(lán)”之類的RPC漏洞更適合在網(wǎng)絡(luò)側(cè)檢測(cè)，而橫向移動(dòng)等攻擊場(chǎng)景由于協(xié)議的加密問題更適合在終端側(cè)檢測(cè)。這就需要不同類別的安全產(chǎn)品互相配合，彌補(bǔ)自身在某一個(gè)檢測(cè)方向上的短板?；谏鲜霈F(xiàn)狀，近年來，以“威脅狩獵、XDR”為代表的”主動(dòng)防御、協(xié)同防御”技術(shù)或方法應(yīng)運(yùn)而生。威脅狩獵是指采用人工分析和機(jī)器輔助的方法，針對(duì)網(wǎng)絡(luò)、終端等的日志或告警數(shù)據(jù)進(jìn)行主動(dòng)搜索、關(guān)聯(lián)和分析，從而檢測(cè)出以往被動(dòng)檢測(cè)無法察覺的威脅。威脅狩獵一般分為四個(gè)過程：首先，安全專家需要結(jié)合資產(chǎn)信息、威脅情報(bào)對(duì)網(wǎng)絡(luò)中可能存在的高風(fēng)險(xiǎn)點(diǎn)進(jìn)行預(yù)判；其次，利用已收集的數(shù)據(jù)，使用可視化、數(shù)據(jù)統(tǒng)計(jì)分析等方法對(duì)數(shù)據(jù)集進(jìn)行挖掘與分析，查找已知或未知的攻擊線索；之后，結(jié)合威脅模型對(duì)已發(fā)現(xiàn)攻擊者的攻擊工具和攻擊技術(shù)進(jìn)一步挖掘，發(fā)現(xiàn)攻擊者的TTP；最后嘗試對(duì)上述威脅發(fā)現(xiàn)過程進(jìn)行標(biāo)準(zhǔn)化或自動(dòng)化。要實(shí)現(xiàn)威脅狩獵的落地，必須依托于足夠強(qiáng)大的協(xié)同防御體系，XDR就是包括威脅狩獵以及各種其他檢測(cè)防御技術(shù)的重要承載者之一。XDR（Extendeddetectionandresponse）即擴(kuò)展檢測(cè)和響應(yīng)系統(tǒng)，是Gartner2020年《TopSecurityandRiskManagementTrends》報(bào)告中提到的第一項(xiàng)技術(shù)和解決方案。通俗的講，XDR中的“X”有無限可能無限擴(kuò)展的含義，即可以疊加NDR、EDR以及其它未來可能的“X”DR檢測(cè)能力，同時(shí)結(jié)合自動(dòng)化編排和響應(yīng)（SOAR），威脅狩獵，跨安全產(chǎn)品的威脅情報(bào)等方法和技術(shù)，全面有效增強(qiáng)檢測(cè)和響應(yīng)能力，形成完整的協(xié)同防御體系。面對(duì)越來越多的“APT化”攻擊，只有融合加密流量檢測(cè)、被動(dòng)檢測(cè)、主動(dòng)狩獵等各種技術(shù)的協(xié)同防御體系，才能有效監(jiān)控攻擊的各個(gè)階段，真正讓攻擊“看得見，防得住，找得著”成為現(xiàn)實(shí)。定位與價(jià)值產(chǎn)品定位通過上述背景分析調(diào)查結(jié)果，我們發(fā)現(xiàn)攻防不對(duì)等的原因較多，包括傳統(tǒng)防御繞過、高級(jí)威脅技術(shù)的使用、攻擊工具化自動(dòng)化等，而這些安全現(xiàn)狀會(huì)讓大部分的運(yùn)維人員越來越擔(dān)憂：“部署很多安全設(shè)備，但還是不知道到底是否安全？如果不安全，哪里不安全？每天上報(bào)的攻擊有很多，到底哪些攻擊成功了？越來越多的APT化攻擊，威脅從哪里來，到哪里去？是什么類型的攻擊？造成了哪些損失？我該怎么處理？”結(jié)合多年的網(wǎng)絡(luò)安全運(yùn)維經(jīng)驗(yàn)，認(rèn)為上述現(xiàn)狀為當(dāng)前業(yè)界對(duì)內(nèi)部網(wǎng)絡(luò)安全均存在的共性問題。傳統(tǒng)的網(wǎng)絡(luò)安全建設(shè)方案，容易導(dǎo)致割裂的安全防御，無法協(xié)同作戰(zhàn)，提供有效的整體安全防護(hù)，甚至導(dǎo)致安全運(yùn)維復(fù)雜化?；诟盍训陌踩烙a(chǎn)生的安全現(xiàn)狀數(shù)據(jù)也將成為一座座安全孤島，難以協(xié)同共享，導(dǎo)致碎片化的安全認(rèn)知，只能看見碎片化的局部安全，無法形成統(tǒng)一的整體可視。因此，安全需要如同一個(gè)統(tǒng)帥，協(xié)同指揮各個(gè)部隊(duì)，形成一套完整的協(xié)同指揮作戰(zhàn)中心。結(jié)合理念，天闐威脅分析一體機(jī)（ThreatAnalysisandResponse-AllInOne）的產(chǎn)品定位為：以攻防研究為核心，配合場(chǎng)景分析、資產(chǎn)構(gòu)建、自動(dòng)響應(yīng)、協(xié)同防御能力，構(gòu)建下一代一體化高級(jí)威脅檢測(cè)與響應(yīng)體系，意在為客戶提供一套集檢測(cè)、分析、可視、閉環(huán)響應(yīng)為一體的本地網(wǎng)絡(luò)安全分析中心，讓安全可感知、易運(yùn)營。產(chǎn)品價(jià)值建立多源數(shù)據(jù)關(guān)聯(lián)模型，有效識(shí)別更深層次威脅網(wǎng)絡(luò)安全檢測(cè)方法采用特征檢測(cè)、惡意代碼檢測(cè)、隱蔽信道檢測(cè)、威脅情報(bào)檢測(cè)等多種檢測(cè)技術(shù)結(jié)合，通過時(shí)間戳、IP關(guān)系和文件HASH等因素，發(fā)現(xiàn)APT高級(jí)威脅。針對(duì)APT攻擊組織進(jìn)行畫像，網(wǎng)絡(luò)威脅深度分析中心提煉整理攻擊樣本、手法，通過API接口與威脅情報(bào)進(jìn)行關(guān)聯(lián)，直接獲取關(guān)聯(lián)的的APT高級(jí)威脅攻擊組織。網(wǎng)絡(luò)威脅深度分析中心接收從終端引擎、網(wǎng)絡(luò)檢測(cè)引擎發(fā)過來的安全事件。在分析中心上定義二次統(tǒng)計(jì)分析模型，用來發(fā)現(xiàn)新的安全威脅。包括隱蔽隧道識(shí)別、惡意加密應(yīng)用檢測(cè)、加密通道攻擊行為檢測(cè)、網(wǎng)絡(luò)資產(chǎn)主動(dòng)外連、DGA域名發(fā)現(xiàn)等安全事件。智能分析能力，應(yīng)對(duì)未知攻擊威脅隨著黑客的技術(shù)發(fā)展以及變種、逃逸技術(shù)的不斷改進(jìn)，傳統(tǒng)安全設(shè)備的靜態(tài)規(guī)則防御手段已經(jīng)捉襟見肘，依靠規(guī)則僅能防御小部分已知威脅，已無法檢測(cè)最新攻擊、未知威脅。TAR-AIO對(duì)于未知攻擊威脅的解決思路是通過基于沙箱的惡意代碼檢測(cè)技術(shù)，與具體的安全攻擊場(chǎng)景結(jié)合，發(fā)現(xiàn)隱藏的威脅?；谏诚涞膼阂獯a檢測(cè)技術(shù)構(gòu)造一個(gè)模擬的執(zhí)行環(huán)境，讓可疑文件在這個(gè)模擬環(huán)境中運(yùn)行，通過可疑文件觸發(fā)的外在行為來判定是否是惡意代碼。具備對(duì)各類設(shè)備網(wǎng)絡(luò)文件傳輸異常行為、漏洞利用行為、未知木馬、隱蔽信道傳輸?shù)榷鄻有浴⒔M合性和持續(xù)性攻擊的檢測(cè)能力，其中漏洞利用行為可以通過惡意代碼的靜態(tài)檢測(cè)與動(dòng)態(tài)檢測(cè)相結(jié)合的方式來監(jiān)測(cè)；設(shè)備網(wǎng)絡(luò)文件傳輸異常行為、未知木馬檢測(cè)等可通過間歇性連接分析以及可以加密傳輸?shù)确绞絹磉M(jìn)行監(jiān)測(cè)；隱蔽信道傳輸則有專門的隱蔽信道分析技術(shù)來進(jìn)行監(jiān)測(cè)。采用ATT&CK知識(shí)體系構(gòu)建全局安全可視ATT&CK知識(shí)體系構(gòu)建了一套更細(xì)粒度、更易共享的知識(shí)模型和框架，可以認(rèn)為是KillChain的擴(kuò)展，網(wǎng)絡(luò)安全檢測(cè)能力可以根據(jù)ATT&CK體系進(jìn)行覆蓋和演進(jìn)。天闐威脅分析一體機(jī)（TAR-AIO）是一整套網(wǎng)絡(luò)安全檢測(cè)和處置的產(chǎn)品，采用分析中心和檢測(cè)引擎結(jié)合的架構(gòu)。分析中心類似安全大腦，完成安全告警事件的集中收集、存儲(chǔ)、分析以及聯(lián)動(dòng)處置等能力，檢測(cè)引擎負(fù)責(zé)網(wǎng)絡(luò)流量和文件的處理，完成安全檢測(cè)的工作。通過全流量分析、多維度的有效數(shù)據(jù)采集和智能分析能力，實(shí)時(shí)監(jiān)控全網(wǎng)的安全態(tài)勢(shì)、內(nèi)部橫向威脅態(tài)勢(shì)、業(yè)務(wù)外連風(fēng)險(xiǎn)和服務(wù)器風(fēng)險(xiǎn)漏洞等，讓管理員可以看清全網(wǎng)威脅，從而輔助決策。大數(shù)據(jù)分析、檢索能力TAR-AIO基于流行的大數(shù)據(jù)架構(gòu)，具備PB級(jí)別的海量數(shù)據(jù)存儲(chǔ)、高性能搜索與關(guān)聯(lián)分析能力，并可通過集群等方式進(jìn)行擴(kuò)充。網(wǎng)絡(luò)里面的網(wǎng)絡(luò)檢測(cè)產(chǎn)品和網(wǎng)絡(luò)邊界防護(hù)產(chǎn)品的告警日志、系統(tǒng)日志、流信息等數(shù)據(jù)，都可以送到網(wǎng)絡(luò)威脅分析處理系統(tǒng)里面進(jìn)行存儲(chǔ)、關(guān)聯(lián)分析和展示。威脅舉證關(guān)聯(lián)，識(shí)別準(zhǔn)確攻擊TAR-AIO網(wǎng)絡(luò)流檢測(cè)引擎基于報(bào)文的頭或載荷特征，匹配到攻擊特征后產(chǎn)生安全告警事件上報(bào)攻擊日志。從兩方面進(jìn)行增強(qiáng)，一是關(guān)聯(lián)響應(yīng)報(bào)文檢測(cè)，通過確認(rèn)響應(yīng)報(bào)文內(nèi)容，進(jìn)而確定攻擊是否成功，這樣實(shí)現(xiàn)了攻擊的雙向檢測(cè)；另一個(gè)是增加流量行為特征檢測(cè)功能，基于源和目的之間的報(bào)文交互行為特征進(jìn)行安全檢測(cè)，既可以檢測(cè)確定的攻擊，又能夠?qū)用軅鬏數(shù)墓暨M(jìn)行檢測(cè)。TAR-AIO網(wǎng)絡(luò)流檢測(cè)引擎產(chǎn)生的安全事件在很多業(yè)務(wù)場(chǎng)景中，與業(yè)務(wù)存在沖突而產(chǎn)生誤報(bào)。引入威脅情報(bào)關(guān)聯(lián)分析，通過離線情報(bào)或在線的API接口，安全事件的關(guān)鍵屬性IP、URL域名或文件HASH與威脅情報(bào)進(jìn)行比對(duì)確認(rèn)，給出明確的安全檢測(cè)結(jié)果，這樣可以去掉大量的誤報(bào)。產(chǎn)品架構(gòu)分層設(shè)計(jì)天闐威脅分析一體機(jī)體系架構(gòu)如下圖所示，主要包括TAR-AIO網(wǎng)絡(luò)流檢測(cè)引擎、TAR-AIO文件檢測(cè)引擎和TAR-AIO威脅分析系統(tǒng)。圖SEQ圖\*ARABIC8_天闐威脅分析一體機(jī)體系架構(gòu)TAR-AIO網(wǎng)絡(luò)流檢測(cè)引擎TAR-AIO網(wǎng)絡(luò)流檢測(cè)引擎是一個(gè)實(shí)時(shí)網(wǎng)絡(luò)報(bào)文分析引擎，采用旁路流量鏡像的方式，根據(jù)預(yù)定義的規(guī)則進(jìn)行實(shí)時(shí)檢測(cè)；同時(shí)內(nèi)置算法模型，基于多流量模型的威脅分析技術(shù)和基于機(jī)器學(xué)習(xí)結(jié)合的威脅分析技術(shù)路線，可有效檢測(cè)隱蔽隧道等加密流量威脅。在TAR-AIO網(wǎng)絡(luò)流檢測(cè)引擎中設(shè)計(jì)了一套適合網(wǎng)絡(luò)報(bào)文檢測(cè)系統(tǒng)的規(guī)則描述語言，采用開放化的檢測(cè)規(guī)則模型，且設(shè)計(jì)成了具有良好擴(kuò)展性的實(shí)時(shí)網(wǎng)絡(luò)報(bào)文分析模塊。流檢測(cè)流量全字段檢測(cè)TAR-AIO網(wǎng)絡(luò)流檢測(cè)引擎，基于會(huì)話進(jìn)行網(wǎng)絡(luò)報(bào)文全字段提取檢測(cè)，支持多分析場(chǎng)景的流檢測(cè)：可結(jié)合威脅情報(bào)，對(duì)可疑C&C回連、惡意域名請(qǐng)求等進(jìn)行檢測(cè)；結(jié)合機(jī)器學(xué)習(xí)算法對(duì)可疑HTTPS通信、加密通道攻擊行為、DGA域名進(jìn)行檢測(cè)；通過對(duì)相應(yīng)字段信息提取判斷，對(duì)可疑下載、可疑隧道進(jìn)行檢測(cè)等。協(xié)議解析TAR-AIO可識(shí)別主流的HTTP、FTP、POP3、SMTP、SSH、MySQL、Oracle、IMAP、Webmail等網(wǎng)絡(luò)協(xié)議，從而確保識(shí)別并還原網(wǎng)絡(luò)傳輸文件；同時(shí)支持解析識(shí)別RPC、SMB等協(xié)議，適配橫向移動(dòng)場(chǎng)景；設(shè)備支持工控協(xié)議檢測(cè)，支持檢測(cè)的協(xié)議包括：MODBUS、S7COMM、BACNET、DNP3、ENIP、IEC104、GOOSE、MMS等。TAR-AIO支持對(duì)協(xié)議元數(shù)據(jù)進(jìn)行提取檢測(cè)，支持提取元數(shù)據(jù)的協(xié)議類型包括但不限于：TCP、HTTP、DNS、ICMP、SMTP、POP3、FTP、SMB、IP、TLS、UDP、PPTP、L2TP、MySQL、Telnet、ARP、WebMail、MSSQL、Oracle、IPSecVPN、IMAP、IPV6、RADIUS?？煽啃詳?shù)據(jù)可靠性傳輸保證是實(shí)時(shí)網(wǎng)絡(luò)報(bào)文分析引擎最為重要的方面，也是TCP協(xié)議區(qū)別于其它協(xié)議的最重要特性。所謂提供數(shù)據(jù)可靠性傳輸不僅僅指將數(shù)據(jù)成功的由本地主機(jī)傳送到遠(yuǎn)端主機(jī)，數(shù)據(jù)可靠性傳輸包括如下內(nèi)容：能夠處理數(shù)據(jù)傳輸過程中被破壞問題；能夠處理重復(fù)數(shù)據(jù)接收問題；能夠發(fā)現(xiàn)數(shù)據(jù)丟失以及對(duì)此進(jìn)行有效解決；能夠處理接收端數(shù)據(jù)亂序到達(dá)問題；使用用戶態(tài)協(xié)議棧省去了用戶態(tài)與內(nèi)核態(tài)的通訊過程，這樣會(huì)明顯地提高發(fā)包和發(fā)流的處理性能。TAR-AIO網(wǎng)絡(luò)流檢測(cè)引擎自主設(shè)計(jì)的用戶態(tài)協(xié)議棧高效且易于擴(kuò)展。特征檢測(cè)TAR-AIO基于流量全字段檢測(cè)技術(shù)，采用雙向特征判定，通過返回信息直接檢測(cè)攻擊是否成功；支持對(duì)惡意軟件利用、可疑行為、攻擊利用、攻擊探測(cè)、挖礦事件、APT攻擊事件等常見攻擊類型進(jìn)行檢測(cè)。在特征關(guān)鍵字匹配方面，采用了一套全新的匹配方法，設(shè)計(jì)了一套全新的編譯器，將規(guī)則文件編譯成可執(zhí)行的二進(jìn)制機(jī)器代碼，就像GCC編譯器一樣，由CPU直接運(yùn)行，所有的匹配比較操作均在程序代碼段中實(shí)現(xiàn)，則避免出現(xiàn)CPU內(nèi)存尋址等操作，避免CPUCachemissing，降低了CPU的開銷，從而提高了系統(tǒng)的整體處理性能。原始數(shù)據(jù)記錄無論基于報(bào)文特征的檢測(cè)，還是流量輪廓的檢測(cè)，支持對(duì)目標(biāo)流量進(jìn)行留存，并對(duì)留存目標(biāo)流量進(jìn)行分析取證。從檢測(cè)技術(shù)實(shí)現(xiàn)來看，檢測(cè)通常針對(duì)部分報(bào)文特征或輪廓，但留存的目標(biāo)流量應(yīng)當(dāng)基于三個(gè)時(shí)間段：1）當(dāng)前預(yù)警，當(dāng)前受檢測(cè)的報(bào)文，命中規(guī)則后，產(chǎn)生預(yù)警，此段目標(biāo)流量需要留存。2）預(yù)警后，對(duì)相應(yīng)源或目的IP地址的后續(xù)一段時(shí)間的目標(biāo)流量進(jìn)行采集留存。3）預(yù)警前，源或目的IP地址的相關(guān)會(huì)話流量進(jìn)行留存。在報(bào)文檢測(cè)系統(tǒng)中，對(duì)當(dāng)前預(yù)警和預(yù)警后的目標(biāo)流量留存，實(shí)現(xiàn)難度不大。但是對(duì)預(yù)警前的目標(biāo)流量留存，具有相當(dāng)大的難度。而預(yù)警前的樣本留存，對(duì)跟蹤攻擊起源、了解攻擊手法等具有非常大的意義。且尤其對(duì)流量輪廓的檢測(cè)，目標(biāo)流量留存基本是唯一的取證方法。文件還原樣本文件還原是報(bào)文深度檢測(cè)的延續(xù)，對(duì)TAR-AIO文件檢測(cè)引擎進(jìn)行源數(shù)據(jù)支撐，發(fā)現(xiàn)藏匿于網(wǎng)絡(luò)流量之中以文件的形式（例如腳本，宏代碼等）的惡意攻擊代碼。TAR-AIO網(wǎng)絡(luò)流檢測(cè)引擎除還原樣本文件外，還會(huì)上報(bào)攻擊摘要信息，同時(shí)也可附帶上報(bào)樣本流量，以助于上層分析。另外一方面，隨著攻擊手法的復(fù)雜，以及壓縮、加密等技術(shù)的使用，惡意文件已經(jīng)很難通過特征進(jìn)行描述定義，此時(shí)我們可能需要使用“流量輪廓”的方法來描述，最簡單的例子，網(wǎng)絡(luò)中出現(xiàn)一次大字節(jié)的HTTPPOST上傳行為，為可疑違規(guī)行為，可以進(jìn)行樣本文件還原，以供TAR-AIO文件檢測(cè)引擎進(jìn)行深度的分析。TAR-AIO文件檢測(cè)引擎TAR-AIO文件檢測(cè)引擎針對(duì)惡意代碼等未知威脅具有細(xì)粒度檢測(cè)效果，可實(shí)現(xiàn)包括對(duì)：未知惡意代碼檢查、嵌套式攻擊檢測(cè)、木馬蠕蟲病毒識(shí)別、隱秘通道檢測(cè)等多類型未知漏洞（0-day）利用行為的檢測(cè)。采用國內(nèi)領(lǐng)先的雙重檢測(cè)方法（靜態(tài)檢測(cè)和動(dòng)態(tài)檢測(cè)），多種核心檢測(cè)技術(shù)手段：二進(jìn)制檢查、堆噴檢測(cè)、ROP利用檢測(cè)、敏感API檢測(cè)、堆棧檢測(cè)、Shellcode檢查、沙箱檢查等，可以檢測(cè)出APT攻擊的核心步驟。內(nèi)置沙箱具備100種以上文件格式檢測(cè)能力，對(duì)壓縮文件解壓深度至少支持10層解壓，支持對(duì)反沙箱惡意樣本檢測(cè)。同時(shí)，通過TAR-AIO威脅分析系統(tǒng)進(jìn)行威脅分析，有效發(fā)現(xiàn)APT攻擊。圖SEQ圖\*ARABIC9_TAR-AIO文件檢測(cè)引擎TAR-AIO威脅分析系統(tǒng)TAR-AIO威脅分析系統(tǒng)按照ATT&CK（可看作KillChain的擴(kuò)展?！皻湣钡母拍钤醋攒娛骂I(lǐng)域，它是一個(gè)描述攻擊環(huán)節(jié)的六階段模型，洛克希德·馬丁公司開發(fā)的“網(wǎng)絡(luò)殺傷鏈”模型描述了網(wǎng)絡(luò)攻擊從最早的階段——偵察到最終的階段——數(shù)據(jù)提?。┑睦砟钸M(jìn)行構(gòu)建，結(jié)合在網(wǎng)絡(luò)信息安全領(lǐng)域二十多年的技術(shù)和產(chǎn)品積累，構(gòu)建一套終端檢測(cè)、網(wǎng)絡(luò)流檢測(cè)，安全威脅分析到聯(lián)動(dòng)處置的閉環(huán)軟件系統(tǒng)，主要的構(gòu)建思路參考圖示：圖SEQ圖\*ARABIC10_TAR-AIO閉環(huán)構(gòu)建思路網(wǎng)絡(luò)安全事件檢測(cè)和處置是一個(gè)持續(xù)的過程，新的攻擊事件發(fā)生要及時(shí)的檢測(cè)出來，上報(bào)到TAR-AIO威脅分析系統(tǒng)，TAR-AIO威脅分析系統(tǒng)通過綜合分析，結(jié)合威脅情報(bào)，識(shí)別攻擊事件的ATT&CK技術(shù)和相關(guān)信息，根據(jù)發(fā)生的時(shí)間因素、事件的源目的IP因素、攻擊手段等形成相關(guān)的攻擊階段信息，可以根據(jù)提前預(yù)制的腳本，或管理員參與，對(duì)事件進(jìn)行完整的處理。天闐威脅分析一體機(jī)通過TAR-AIO威脅分析系統(tǒng)與TAR-AIO網(wǎng)絡(luò)流檢測(cè)引擎和TAR-AIO文件檢測(cè)引擎相結(jié)合，配合本司全流檢測(cè)產(chǎn)品（NFT）形成相應(yīng)閉環(huán)分析，如圖所示：圖SEQ圖\*ARABIC11_TAR-AIO事件完整處理閉環(huán)流程ELK大數(shù)據(jù)架構(gòu)網(wǎng)絡(luò)檢測(cè)產(chǎn)品、網(wǎng)絡(luò)邊界防護(hù)產(chǎn)品、終端檢測(cè)產(chǎn)品產(chǎn)生的安全告警事件都是以日志形式出現(xiàn)的，單個(gè)點(diǎn)的安全告警日志量很大，匯總到統(tǒng)一的分析處理系統(tǒng)會(huì)更加龐大。天闐威脅分析一體機(jī)采用的ELK技術(shù)架構(gòu)在機(jī)器數(shù)據(jù)分析和日志處理領(lǐng)域的第一選擇，能夠支撐PB級(jí)數(shù)據(jù)的存儲(chǔ)和搜索。ELK支持集群部署方式，擴(kuò)展性和可靠性有很好的保障。圖SEQ圖\*ARABIC12_ELK架構(gòu)大數(shù)據(jù)集群存儲(chǔ)層主要是網(wǎng)絡(luò)威脅深度分析中心用來處理存儲(chǔ)數(shù)據(jù)，ElasticSearch大數(shù)據(jù)集群主要用來存儲(chǔ)告警日志，實(shí)現(xiàn)海量存儲(chǔ)；同時(shí)使用ES結(jié)構(gòu)引擎（大數(shù)據(jù)分析通用引擎）為基礎(chǔ)元數(shù)據(jù)、分析數(shù)據(jù)、分析結(jié)果提供了快速檢索能力。大數(shù)據(jù)消息隊(duì)列系統(tǒng)Kafka是一種高吞吐量的分布式發(fā)布訂閱消息系統(tǒng)，它可以處理消費(fèi)者在網(wǎng)站中的所有動(dòng)作流數(shù)據(jù)，有如下特性：通過O(1)的磁盤數(shù)據(jù)結(jié)構(gòu)提供消息的持久化，這種結(jié)構(gòu)對(duì)于即使數(shù)以TB的消息存儲(chǔ)也能夠保持長時(shí)間的穩(wěn)定性能。高吞吐量：即使是非常普通的硬件Kafka也可以支持每秒數(shù)百萬的消息。支持通過Kafka服務(wù)器和消費(fèi)機(jī)集群來分區(qū)消息。支持Hadoop并行數(shù)據(jù)加載。Kafka主要用途是數(shù)據(jù)集成，或者說是流數(shù)據(jù)集成，以Pub/Sub形式的消息總線形式提供。但是，Kafka不僅僅是一套傳統(tǒng)的消息總線，本質(zhì)上Kafka是分布式的流數(shù)據(jù)平臺(tái)，可提供Pub/Sub方式的海量消息處理；以高容錯(cuò)的方式存儲(chǔ)海量數(shù)據(jù)流；保證數(shù)據(jù)流的順序。關(guān)鍵技術(shù)應(yīng)用支持雙向特征匹配特征檢測(cè)天闐威脅分析一體機(jī)在特征檢測(cè)方面，憑借著多年基于特征的威脅檢測(cè)領(lǐng)域的技術(shù)積累，在原有豐富、全面的特征檢測(cè)規(guī)則庫的基礎(chǔ)上，利用雙向特征匹配能力，對(duì)規(guī)則庫進(jìn)一步優(yōu)化，增加攻擊有效性判定，確保事件準(zhǔn)確性，產(chǎn)品有效性檢測(cè)能力顯著提升。在保持原有對(duì)病毒、木馬、蠕蟲、僵尸網(wǎng)絡(luò)、緩沖區(qū)溢出攻擊、拒絕服務(wù)攻擊、掃描探測(cè)、欺騙劫持、SQL注入、XSS攻擊、網(wǎng)站掛馬、隱蔽信道、AET逃逸、C&C行為等各種威脅的全面有效檢測(cè)外，針對(duì)僵木蠕類攻擊、Web攻擊等熱點(diǎn)攻擊手段的攻擊特征進(jìn)行進(jìn)一步優(yōu)化，確保產(chǎn)品的有效檢測(cè)能力。TAR-AIO支持自定義規(guī)則進(jìn)行特征檢測(cè)，自定義規(guī)則支持工控協(xié)議，支持自定義檢測(cè)規(guī)則的協(xié)議類型包括：TCP、UDP、ICMP、HTTP、SMTP、IMAP、POP3、MySQL、MSSQL、Oracle、MODBUS等。自定義維度、可自定義的影響設(shè)備、可自定義攻擊階段（ATT&CK）均可多維度擴(kuò)展選擇匹配，可從容應(yīng)對(duì)各種應(yīng)急事件與場(chǎng)景。動(dòng)靜態(tài)相結(jié)合的未知威脅檢測(cè)天闐威脅分析一體機(jī)采用國內(nèi)領(lǐng)先的雙重檢測(cè)方法（靜態(tài)檢測(cè)和動(dòng)態(tài)檢測(cè)），多種核心檢測(cè)技術(shù)手段：二進(jìn)制檢查、堆噴檢測(cè)、ROP利用檢測(cè)、敏感API檢測(cè)、堆棧檢測(cè)、Shellcode檢查、沙箱檢查等，可以檢測(cè)出APT攻擊的核心步驟?？蓪?shí)現(xiàn)包括對(duì)：未知惡意代碼檢查、嵌套式攻擊檢測(cè)、木馬蠕蟲病毒識(shí)別、隱秘通道檢測(cè)等多類型未知漏洞（0-day）利用行為的檢測(cè)。同時(shí)，通過TAR-AIO威脅分析系統(tǒng)進(jìn)行威脅分析，有效發(fā)現(xiàn)APT攻擊。文件調(diào)度TAR-AIO文件檢測(cè)引擎設(shè)計(jì)了一套全新的高效智能虛擬機(jī)調(diào)度引擎，該引擎能根據(jù)當(dāng)前的系統(tǒng)資源占用和自動(dòng)啟動(dòng)或關(guān)閉相應(yīng)的虛擬環(huán)境，保證樣本的實(shí)時(shí)檢測(cè)性。另外當(dāng)樣本數(shù)量突發(fā)時(shí)虛擬機(jī)調(diào)度引擎亦能智能調(diào)節(jié)虛擬機(jī)任務(wù)的分發(fā)。文件檢測(cè)引擎內(nèi)置windows系列、Linux、安卓、中標(biāo)麒麟等6種主流類型、共近50個(gè)虛擬系統(tǒng)，可并發(fā)至少20個(gè)OS同時(shí)運(yùn)行。圖SEQ圖\*ARABIC13_智能虛擬機(jī)調(diào)度引擎靜態(tài)檢測(cè)靜態(tài)檢測(cè)引擎方面，主要充分利用公司原有的在軟件功能與安全事件檢測(cè)能力的技術(shù)積累，進(jìn)行有效的擴(kuò)充，以保障該檢測(cè)的高效與準(zhǔn)確，大體包含如下幾部分：已知惡意木馬病毒檢測(cè)：集成國內(nèi)外流行的病毒檢測(cè)引擎，對(duì)提交的文件進(jìn)行檢測(cè)，如發(fā)現(xiàn)為已知木馬病毒，則匯報(bào)已知木馬病毒攻擊事件。已知漏洞攻擊樣本檢測(cè)：使用已知漏洞攻擊樣本簽名技術(shù)檢測(cè)常見已知的基于漏洞攻擊樣本，對(duì)提交的數(shù)據(jù)文件和URL對(duì)應(yīng)的HTML內(nèi)容進(jìn)行檢測(cè)，如發(fā)現(xiàn)為已知漏洞攻擊，則匯報(bào)已知漏洞攻擊事件。惡意代碼行為特征檢測(cè)：通過對(duì)各種惡意代碼的行為進(jìn)行研究，提取出相應(yīng)的網(wǎng)絡(luò)及系統(tǒng)行為特征，具體來說，就是把惡意代碼通常的網(wǎng)絡(luò)連接、注冊(cè)表操作、文件操作以及進(jìn)程操作等行為特征提取出來做為一個(gè)惡意代碼行為特征庫。該檢測(cè)不再依賴于具體的已知漏洞和病毒木馬樣本，而是分析文件中是否包含具有威脅的行為特征來進(jìn)行檢測(cè)，該算法可以檢測(cè)針對(duì)數(shù)據(jù)文件應(yīng)用的未知漏洞（0day漏洞）的攻擊而無須知道漏洞信息。靜態(tài)仿真檢測(cè)技術(shù)（SSE）：通過模擬真實(shí)CPU環(huán)境對(duì)文件中可能存在的可疑代碼進(jìn)虛擬執(zhí)行，使用一定的算法，當(dāng)發(fā)現(xiàn)可疑的shellcode時(shí)便可判定為惡意文件。例如：微軟的文檔(RTF,DOC)的shellcode代碼一般直接存在于文件中，因此可以先對(duì)其進(jìn)行格式解析，對(duì)各段數(shù)據(jù)進(jìn)行解密。然后將合適的數(shù)據(jù)送入到模擬執(zhí)行函數(shù)嘗試進(jìn)行執(zhí)行，看其是否為可執(zhí)行代碼。如果為可執(zhí)行代碼則判定該文檔存在問題。對(duì)于不易直接檢測(cè)出shellcode的PDF，SWF等文件，我們也會(huì)使用相應(yīng)的算法提取出可疑的shellcode特征，并送入對(duì)應(yīng)的靜態(tài)模擬器中進(jìn)行代碼識(shí)別，以識(shí)別出其是否為真正的二進(jìn)制代碼。策略匹配檢測(cè)技術(shù)：使用一定的策略算法，發(fā)現(xiàn)文件中異常的情況。例如：在文檔文件中，通過一定的算法，檢測(cè)是否內(nèi)嵌有PE文件，如有PE文件，則可判定為惡意文件。自定義YARA(一個(gè)知名的惡意軟件識(shí)別和分類工具)規(guī)則：支持自定義YARA規(guī)則，對(duì)檢測(cè)算法進(jìn)行擴(kuò)充。值得一提的是，項(xiàng)目實(shí)施單位研發(fā)的靜態(tài)惡意代碼檢測(cè)技術(shù)，通過惡意代碼行為特征檢測(cè)、靜態(tài)仿真檢測(cè)技術(shù)（SSE）以及策略匹配檢測(cè)技術(shù)同樣能夠識(shí)別未知漏洞。動(dòng)態(tài)檢測(cè)惡意代碼的動(dòng)態(tài)檢測(cè)，主要用于發(fā)現(xiàn)0day攻擊，并對(duì)惡意代碼進(jìn)行行為分析，自動(dòng)提取樣本與檢測(cè)規(guī)則，并進(jìn)一步完善靜態(tài)檢測(cè)引擎。在虛擬環(huán)境下執(zhí)行可疑樣本，分析其行為，對(duì)應(yīng)用軟件以及系統(tǒng)的影響，來判定是否有漏洞觸發(fā)。若明確觸發(fā)了漏洞，則提取相應(yīng)的惡意樣本，并根據(jù)行為分析自動(dòng)生成靜態(tài)檢測(cè)規(guī)則。本部分涉及到的關(guān)鍵技術(shù)有：虛擬環(huán)境調(diào)度技術(shù)：通過指紋識(shí)別，確定可疑樣本涉及的虛擬環(huán)境，并行調(diào)度，提高檢測(cè)的準(zhǔn)確度與性能。虛擬環(huán)境下的動(dòng)態(tài)檢測(cè)技術(shù)：采用調(diào)試方式啟動(dòng)應(yīng)用程序，能夠發(fā)現(xiàn)程序執(zhí)行過程中的所有異常，并基于此發(fā)現(xiàn)攻擊行為的發(fā)生。動(dòng)態(tài)檢測(cè)規(guī)則：判定真實(shí)0day攻擊產(chǎn)生的依據(jù)，包括但不限于以下幾種：數(shù)據(jù)代碼的執(zhí)行可疑文件的創(chuàng)建系統(tǒng)資源的異常占用應(yīng)用進(jìn)程的崩潰外部資源的異常訪問下載外部文件動(dòng)態(tài)虛擬檢測(cè)技術(shù)，是在真實(shí)的虛擬機(jī)環(huán)境中，啟動(dòng)對(duì)應(yīng)的文件應(yīng)用打開可疑的樣本，并分析其產(chǎn)生的行為。這里的行為主要有兩個(gè)方面：一是漏洞利用行為，包括但不限于程序崩潰，可疑的堆噴行為，非代碼執(zhí)行區(qū)試圖執(zhí)行代碼的行為，運(yùn)行時(shí)內(nèi)存中是否有可疑shellcode特征等等。二是檢測(cè)文檔文件執(zhí)行過程中是否有異常行為，包括但不限于是否有生成或下載新的可疑文件，是否啟動(dòng)異常進(jìn)程，是否注冊(cè)系統(tǒng)服務(wù)或啟動(dòng)項(xiàng)，是否有外連行為等等。以上述行為來判定是否有漏洞觸發(fā)?；贜TA的加密流量檢測(cè)能力互聯(lián)網(wǎng)技術(shù)快速發(fā)展，使得互聯(lián)的規(guī)模與流量越來越大。在網(wǎng)絡(luò)通信中，加密流量已經(jīng)成為通信的主流。雖然加密流量保護(hù)了用戶的隱私，但也為安全檢測(cè)帶來了新的挑戰(zhàn)。TAR-AIO采用以多流量模型+機(jī)器學(xué)習(xí)的流量綜合檢測(cè)技術(shù)（NTA），能更好的實(shí)現(xiàn)對(duì)加密流量中異常行為的檢測(cè)效果。異常行為分析技術(shù)路線，采用基于多流量模型的威脅分析技術(shù)和基于機(jī)器學(xué)習(xí)結(jié)合的威脅分析技術(shù)路線，是相對(duì)于特征檢測(cè)技術(shù)領(lǐng)先一代的技術(shù)方案，也是業(yè)界重點(diǎn)投入研究的技術(shù)方向和趨勢(shì)，基于多流量的威脅檢測(cè)技術(shù)，和基于機(jī)器學(xué)習(xí)的技術(shù)技術(shù)，在應(yīng)對(duì)加密流量檢測(cè)，攻擊手法繞過，攻擊數(shù)據(jù)特征變形方面都具備獨(dú)特的優(yōu)勢(shì)。通過長期大量的攻擊手法、攻擊工具、惡意軟件家族特征、惡意流量積累和分析的基礎(chǔ)上，通過安全研究人員的持續(xù)投入、軟件關(guān)鍵算法的設(shè)計(jì)，能較好的構(gòu)建基于多流模型和基于機(jī)器學(xué)習(xí)模型的檢測(cè)技術(shù)落地。TAR加密流量檢測(cè)相關(guān)功能詳見5.3章節(jié)。攻擊鏈還原自動(dòng)化擴(kuò)線分析目前市面上的相關(guān)產(chǎn)品，基本無法全面的從海量告警中發(fā)現(xiàn)有效供給和有價(jià)值的線索；均不具備完整攻擊鏈還原能力；未充分、有效利用專業(yè)分析模型進(jìn)行分析，ATT&CK分析框架應(yīng)用普遍被作為產(chǎn)品宣傳賣點(diǎn)，但未達(dá)到應(yīng)有應(yīng)用效果，只是噱頭。TAR-AIO并非只是利用規(guī)則告警，結(jié)合威脅情報(bào)產(chǎn)生線索；也不是以UEBA概念進(jìn)行包裝，進(jìn)行單點(diǎn)前后串聯(lián)分析。TAR-AIO并非只是利用規(guī)則告警，單點(diǎn)對(duì)應(yīng)ATT&CK技戰(zhàn)術(shù)，結(jié)合威脅情報(bào)產(chǎn)生線索；也不是以知識(shí)圖譜的展現(xiàn)形式，進(jìn)行單點(diǎn)技戰(zhàn)術(shù)分析，突出APT組織威脅情報(bào)能力。TAR-AIO并非只是以威脅情報(bào)為主，結(jié)合規(guī)則告警，對(duì)應(yīng)KillChain；也不是以KillChain作為攻擊鏈還原模型，對(duì)應(yīng)有限攻擊屬性。圖SEQ圖\*ARABIC14_TAR-AIO攻擊鏈還原分析流程天闐威脅分析一體機(jī)，利用當(dāng)前確定性線索為中心，以事件名稱、事件標(biāo)簽、攻擊者、被攻擊者、攻擊結(jié)果等作為基礎(chǔ)信息原點(diǎn)，向前、向后進(jìn)行檢索，利用歷史流量數(shù)據(jù)發(fā)現(xiàn)確定性線索關(guān)聯(lián)可疑行為線索，從而對(duì)整個(gè)攻擊鏈進(jìn)行擴(kuò)線分析,并與ATT&CK模型映射生成攻擊行為畫像，形成支持自定義的web可視化拓?fù)?。還可聯(lián)動(dòng)全流量分析取證系統(tǒng)（NFT）對(duì)未知威脅進(jìn)行威脅狩獵，進(jìn)而無遺漏、更完整的還原所有攻擊鏈。圖SEQ圖\*ARABIC15_自動(dòng)化擴(kuò)線分析原理產(chǎn)品新版本進(jìn)一步完善攻擊鏈分析功能，支持選擇特征、樣本、惡意域名、弱口令等多日志類型作為線索來源，以及手動(dòng)擴(kuò)展攻擊鏈節(jié)點(diǎn)，可清晰展示攻擊路徑、攻擊過程觸發(fā)告警，對(duì)多種威脅攻擊類型進(jìn)行攻擊鏈還原。同時(shí)支持基于時(shí)間序列刷新待分析攻擊鏈?zhǔn)录?，可?duì)已分析攻擊鏈?zhǔn)录煺毡４?。圖SEQ圖\*ARABIC16_攻擊鏈分析頁面圖SEQ圖\*ARABIC17_攻擊鏈還原基于算法模型的檢測(cè)能力郵件算法檢測(cè)產(chǎn)品具備獨(dú)立郵件分析場(chǎng)景，支持郵件二維碼檢測(cè)與釣魚郵件算法檢測(cè)，同時(shí)針對(duì)釣魚郵件攻擊支持自動(dòng)提取郵件正文密碼，增加郵件檢測(cè)維度與精準(zhǔn)度。圖SEQ圖\*ARABIC18_郵件算法檢測(cè)DGA域名檢測(cè)基于APT組織惡意域名算法，自動(dòng)生成DGA域名列表，檢測(cè)網(wǎng)絡(luò)中試圖繞過黑名單檢測(cè)機(jī)制的行為。檢測(cè)流程如下：預(yù)處理：提取域名中的主域名名稱部分。特征提取：提取出元音所占比例、數(shù)字和字母轉(zhuǎn)換所占比例、主域名熵、N-gram等特征。多模型打分：根據(jù)每個(gè)模型得到的總分進(jìn)行DGA域名分類。圖SEQ圖\*ARABIC19_DGA域名檢測(cè)精準(zhǔn)失陷主機(jī)檢測(cè)失陷主機(jī)，指因遭受APT攻擊、僵木蠕毒等風(fēng)險(xiǎn)而被攻擊者控制的主機(jī)。天闐威脅分析一體機(jī)結(jié)合智能分析技術(shù)、威脅情報(bào)關(guān)聯(lián)等，發(fā)現(xiàn)內(nèi)部已經(jīng)失陷的主機(jī)。結(jié)合攻擊鏈，發(fā)現(xiàn)主機(jī)在每個(gè)攻擊階段發(fā)生的所有事件。結(jié)合事件情況為主機(jī)評(píng)定狀態(tài)。檢測(cè)流程如下：情報(bào)匹配：高價(jià)值域名情報(bào)匹配。域名請(qǐng)求行為分析：請(qǐng)求次數(shù)大小，周期性規(guī)律，響應(yīng)情況。后續(xù)流量行為分析：上下行流量關(guān)系，周期性規(guī)律，是否包含敏感文件，是否長連接等。圖SEQ圖\*ARABIC20_失陷主機(jī)分析全面的Web算法檢測(cè)庫TAR具備全面的Web算法檢測(cè)庫，包括SQL注入/XSS攻擊算法檢測(cè)能力、JAVA代碼注入檢測(cè)能力、命令注入檢測(cè)能力、PHP反序列化檢測(cè)能力、XML外部實(shí)體注入檢測(cè)能力等。圖SEQ圖\*ARABIC21_Web算法檢測(cè)配置結(jié)合威脅狩獵的主動(dòng)防御威脅狩獵是指采用人工分析和機(jī)器輔助的方法，針對(duì)網(wǎng)絡(luò)、終端等的日志或告警數(shù)據(jù)進(jìn)行主動(dòng)搜索、關(guān)聯(lián)和分析，從而檢測(cè)出以往被動(dòng)檢測(cè)無法察覺的威脅。威脅狩獵一般分為四個(gè)過程：首先，安全專家需要結(jié)合資產(chǎn)信息、威脅情報(bào)對(duì)網(wǎng)絡(luò)中可能存在的高風(fēng)險(xiǎn)點(diǎn)進(jìn)行預(yù)判；其次，利用已收集的數(shù)據(jù)，使用可視化、數(shù)據(jù)統(tǒng)計(jì)分析等方法對(duì)數(shù)據(jù)集進(jìn)行挖掘與分析，查找已知或未知的攻擊線索；之后，結(jié)合威脅模型對(duì)已發(fā)現(xiàn)攻擊者的攻擊工具和攻擊技術(shù)進(jìn)一步挖掘，發(fā)現(xiàn)攻擊者的TTP；最后嘗試對(duì)上述威脅發(fā)現(xiàn)過程進(jìn)行標(biāo)準(zhǔn)化或自動(dòng)化。圖SEQ圖\*ARABIC22_威脅狩獵情報(bào)應(yīng)用TAR-AIO從以下幾點(diǎn)，可完整匹配威脅狩獵流程，挖掘更多未知威脅：威脅情報(bào)云查（詳見4.7章節(jié)）圖SEQ圖\*ARABIC23_情報(bào)云查可視化數(shù)據(jù)分析挖掘（詳見5.4章節(jié)）圖SEQ圖\*ARABIC24_威脅感知分析大屏情報(bào)狩獵歷史數(shù)據(jù)匹配時(shí)通過自定義報(bào)表中的ip、dns域名、MD5值系統(tǒng)歷史數(shù)據(jù)中的ip、dns域名、MD5進(jìn)行對(duì)比。匹配到對(duì)應(yīng)的值以后展示相對(duì)應(yīng)的自定義情報(bào)信息，對(duì)可疑威脅進(jìn)一步挖掘。圖SEQ圖\*ARABIC25_情報(bào)狩獵攻擊鏈分析（詳見4.4章節(jié)）圖SEQ圖\*ARABIC26_攻擊鏈還原分析VenusEye情報(bào)云查輔助降低甄別難度天闐威脅分析一體機(jī)內(nèi)置可機(jī)讀的VenusEye威脅情報(bào)，結(jié)合本地智能分析引擎，對(duì)本地網(wǎng)絡(luò)中采集的流量元數(shù)據(jù)進(jìn)行實(shí)時(shí)分析比對(duì)，發(fā)現(xiàn)已知威脅及可疑連接行為，增加智能分析技術(shù)的準(zhǔn)確性和檢出率。如通過行為分析發(fā)現(xiàn)的隱蔽隧道通信行為（如DNS隧道）僅為可疑行為，但若其連接的地址信息與威脅情報(bào)的僵木蠕毒情報(bào)相關(guān)聯(lián)，通過分析模型可檢測(cè)為遠(yuǎn)控行為。同時(shí)，下發(fā)的威脅情報(bào)結(jié)合本地流量數(shù)據(jù)，可形成本地化的威脅情報(bào)，安全專家可利用威脅情報(bào)及時(shí)洞悉資產(chǎn)面臨的安全威脅進(jìn)行準(zhǔn)確預(yù)警，了解最新的威脅動(dòng)態(tài)，實(shí)施積極主動(dòng)的威脅防御和快速響應(yīng)策略，準(zhǔn)確地進(jìn)行威脅追蹤和攻擊溯源。VenusEye威脅情報(bào)保持Day級(jí)更新頻率，設(shè)備可實(shí)時(shí)自動(dòng)升級(jí)下發(fā)，保證時(shí)效性。圖SEQ圖\*ARABIC27_VenusEye威脅情報(bào)中心VenusEye威脅情報(bào)，已經(jīng)積累了過億級(jí)的IOC情報(bào)數(shù)量，涵蓋基礎(chǔ)信息、攻擊威脅、可疑行為、惡意站點(diǎn)、惡意軟件、攻擊組織、失陷主機(jī)等情報(bào)類型。與全量信息采集進(jìn)行有效配合，對(duì)所有采集信息進(jìn)行威脅碰撞，實(shí)時(shí)檢測(cè)終端每一個(gè)運(yùn)行過程的安全性。多年網(wǎng)絡(luò)安全研究經(jīng)驗(yàn)積累的集中體現(xiàn)，參與了多項(xiàng)國家級(jí)、行業(yè)級(jí)的威脅情報(bào)標(biāo)準(zhǔn)制定。VenusEye威脅情報(bào)中心擁有龐大的數(shù)據(jù)基礎(chǔ)，數(shù)據(jù)采集方式以自動(dòng)化數(shù)據(jù)采集為主，同時(shí)輔以威脅情報(bào)專家的人工分析。威脅情報(bào)的主要來源包括自有的樣本分析系統(tǒng)的循環(huán)挖掘、第三方商業(yè)情報(bào)交換、開源情報(bào)（開源沙箱、技術(shù)論壇、開源樣本網(wǎng)站、安全從業(yè)人員社交媒體、開源情報(bào)網(wǎng)站等）、用戶和產(chǎn)品上報(bào)等，總體的威脅情報(bào)來源數(shù)量已達(dá)到200多個(gè)。通過大量的樣本分析和跟蹤研究，一方面提取各種攻擊行為事件；另一方面總結(jié)和提煉出各種攻擊組織的來源、目標(biāo)、工具、手段等攻擊組織相關(guān)特性。功能價(jià)值呈現(xiàn)基于完整流的取證與研判分析為了應(yīng)對(duì)網(wǎng)絡(luò)安全事件處置過程中的分析研判訴求，本著適度采集記錄的原則，天闐威脅分析一體機(jī)采用攻擊事件完整流量存儲(chǔ)能力。用戶可通過上報(bào)事件進(jìn)行分析研判，不僅具備原始流量文件下載的能力，還能夠?qū)υ剂髁窟M(jìn)行解析，支持研判分析可視化呈現(xiàn)、流跟蹤以及wireshark解碼，幫助客戶收集盡可能多的信息或證據(jù)。圖SEQ圖\*ARABIC28_分析研判圖SEQ圖\*ARABIC29_取證溯源全面實(shí)時(shí)的監(jiān)測(cè)與威脅分析要做到全網(wǎng)威脅分析，必須需要具備多維度的監(jiān)測(cè)、分析體系。天闐威脅分析一體機(jī)從威脅視角、風(fēng)險(xiǎn)感知、場(chǎng)景分析進(jìn)行三大維度的安全實(shí)時(shí)監(jiān)測(cè)能力構(gòu)建，同時(shí)輔以離線包/文件回溯檢測(cè)來達(dá)成全面的檢測(cè)體系。這三大實(shí)時(shí)檢測(cè)維度均有其對(duì)應(yīng)的最終目標(biāo)，包括：威脅視角：基于ATT&CK攻擊模型的思路，提供各階段攻擊展示，包括威脅情報(bào)視角、攻擊者視角、被攻擊者視角、特征事件視角、樣本視角、可疑線索視角等。風(fēng)險(xiǎn)感知：以業(yè)務(wù)資產(chǎn)為核心，尋找暴露面，包括失陷主機(jī)分析、脆弱口令感知、敏感數(shù)據(jù)感知、漏洞攻擊感知等。場(chǎng)景分析：從分析場(chǎng)景的角度展開，進(jìn)行專題分析，包括DNS行為分析、郵件行為分析、勒索行為分析、橫向滲透分析、隱蔽隧道分析、VPN通信分析、挖礦行為分析、暴力破解檢測(cè)、掃描探測(cè)檢測(cè)、DDOS檢測(cè)、Web攻擊檢測(cè)、僵木蠕攻擊分析等。威脅視角ATT&CK視角通過我司安全專家在業(yè)內(nèi)多年的經(jīng)驗(yàn)積累，結(jié)合ATT&CK知識(shí)體系構(gòu)建了一套更細(xì)粒度、更易共享的知識(shí)模型和框架。在這套體系中，結(jié)合當(dāng)前常用攻擊手段及熱點(diǎn)事件，總結(jié)并整理出一系列的專題性的價(jià)值分析模型，并在天闐威脅分析一體機(jī)中進(jìn)行應(yīng)用，利用產(chǎn)品自身的威脅檢測(cè)能力提供基礎(chǔ)事件，通過有效的威脅分析，將分析結(jié)果進(jìn)行可視化呈現(xiàn)，形成一系列價(jià)值分析場(chǎng)景。圖SEQ圖\*ARABIC30_ATT&CK視角特征事件視角、攻擊者視角、受害者視角天闐威脅分析一體機(jī)通過攻擊者視角、被攻擊者視角、特征視角等多維線索聚合，深度挖掘可疑關(guān)聯(lián)，提供攻擊者、被攻擊者雙向的威脅分析起點(diǎn)，在攻擊面與被攻擊面之間尋找深度隱藏的線索關(guān)聯(lián)。圖SEQ圖\*ARABIC31_特征事件視角樣本視角樣本視角，TAR從流量中實(shí)時(shí)還原文件，并結(jié)合動(dòng)靜態(tài)文件檢測(cè)引擎檢測(cè)，識(shí)別樣本中的惡意代碼威脅，可實(shí)現(xiàn)包括：未知惡意代碼檢查、嵌套式攻擊檢測(cè)、木馬蠕蟲病毒識(shí)別、隱秘通道檢測(cè)等多類型未知漏洞利用行為的檢測(cè)。圖SEQ圖\*ARABIC32_樣本視角情報(bào)視角情報(bào)視角，基于內(nèi)置100w+本地情報(bào)庫（定期更新）與采集在線流量與特征日志進(jìn)行實(shí)時(shí)碰撞，命中生成對(duì)應(yīng)情報(bào)日志，覆蓋IP、樣本、域名等情報(bào)IOC。圖SEQ圖\*ARABIC33_情報(bào)視角風(fēng)險(xiǎn)感知資產(chǎn)是全網(wǎng)安全最重要的防護(hù)點(diǎn)，尤其是承載業(yè)務(wù)的服務(wù)器資產(chǎn)。所有的威脅都必須利用服務(wù)器的某個(gè)脆弱性才能造成傷害，因此，服務(wù)器脆弱性的識(shí)別和加固便顯得十分重要，能夠有效預(yù)防威脅的發(fā)生。漏洞攻擊感知基于探針組件的被動(dòng)流量信息和漏洞指紋特征，識(shí)別疑似存在具體漏洞的主機(jī)/URL、疑似漏洞的舉證信息及修復(fù)建議，為安服人員快速定位。脆弱口令感知可針對(duì)HTTP、FTP、SMTP等登陸協(xié)議。弱密碼指密碼強(qiáng)度低，如簡單的數(shù)字組合、與帳號(hào)相同、密碼長度過短等。弱密碼很容易被黑客破譯利用，從而使用合法的帳號(hào)密碼進(jìn)行登錄控制，隱蔽性較強(qiáng)。圖SEQ圖\*ARABIC34_脆弱口令風(fēng)險(xiǎn)端口識(shí)別服務(wù)器資產(chǎn)開放的風(fēng)險(xiǎn)端口及端口被使用情況（如標(biāo)準(zhǔn)端口跑非標(biāo)準(zhǔn)協(xié)議），同時(shí)結(jié)合十幾年的應(yīng)用識(shí)別積累能力，識(shí)別因暴露風(fēng)險(xiǎn)應(yīng)用訪問方式（如RDP、SSH、數(shù)據(jù)庫）被非法連入的情況，即使非標(biāo)準(zhǔn)端口亦能識(shí)別具體應(yīng)用。敏感數(shù)據(jù)感知產(chǎn)品支持敏感數(shù)據(jù)分析場(chǎng)景功能，可針對(duì)流量中傳輸?shù)纳矸葑C、手機(jī)號(hào)、銀行卡號(hào)、QQ號(hào)、微信號(hào)等敏感數(shù)據(jù)進(jìn)行監(jiān)測(cè)分析，助力減少敏感數(shù)據(jù)信息泄露風(fēng)險(xiǎn)。圖SEQ圖\*ARABIC35_敏感數(shù)據(jù)分析其余風(fēng)險(xiǎn)感知場(chǎng)景還包括異常流量感知、違規(guī)互聯(lián)感知等，失陷主機(jī)分析詳見4.5章節(jié)。場(chǎng)景分析DNS行為分析DNS隧道：從專題場(chǎng)景角度分析，可以發(fā)現(xiàn)網(wǎng)絡(luò)中試圖通過DNS協(xié)議進(jìn)行網(wǎng)絡(luò)通信的行為，可檢測(cè)隱匿木馬后門的通信流量。DGA域名：基于APT組織惡意域名算法，自動(dòng)生成DGA域名列表，檢測(cè)網(wǎng)絡(luò)中試圖繞過黑名單檢測(cè)機(jī)制的行為。惡意域名：基于VenusEye提供的威脅情報(bào)，對(duì)流量中的域名進(jìn)行匹配，可快速檢測(cè)出APT組織、僵木蠕家族。圖SEQ圖\*ARABIC36_惡意域名檢測(cè)郵件行為分析該場(chǎng)景可對(duì)郵件進(jìn)行釣魚郵件檢測(cè)、發(fā)件人檢測(cè)、惡意鏈接檢測(cè)、附件檢測(cè)、垃圾郵件檢測(cè)等專題分析。圖SEQ圖\*ARABIC37_郵件行為分析挖礦行為分析針對(duì)挖礦場(chǎng)景行為進(jìn)行分析，統(tǒng)計(jì)展示維度包括幣種統(tǒng)計(jì)、階段分析、礦機(jī)統(tǒng)計(jì)、趨勢(shì)分析等。圖SEQ圖\*ARABIC38_挖礦行為分析勒索專項(xiàng)分析產(chǎn)品支持勒索專項(xiàng)頁面展示，提供勒索風(fēng)險(xiǎn)感知與勒索攻擊發(fā)現(xiàn)告警展示。圖SEQ圖\*ARABIC39_勒索專項(xiàng)分析橫向滲透分析橫向滲透分析視角，基于對(duì)東西向流量的抓取，結(jié)合規(guī)則檢測(cè)、基線分析，挖掘內(nèi)網(wǎng)主機(jī)之間存在的異常威脅行為，定位異常的內(nèi)鬼主機(jī)，識(shí)別內(nèi)網(wǎng)主機(jī)對(duì)其他內(nèi)網(wǎng)主機(jī)發(fā)起攻擊的情況，如漏洞利用攻擊、向SMB服務(wù)器傳毒等。可發(fā)現(xiàn)可疑的跳板源或內(nèi)鬼。圖SEQ圖\*ARABIC40_橫向移動(dòng)分析視角暴力破解分析可選擇對(duì)應(yīng)協(xié)議自定義配置暴力破解檢測(cè)頻率閾值。TAR新版本已重構(gòu)爆破檢測(cè)功能，增加可識(shí)別的爆破場(chǎng)景類型，如一對(duì)一、一對(duì)多、多對(duì)一等場(chǎng)景；同時(shí)增加告警原因說明，易用感更強(qiáng)。圖SEQ圖\*ARABIC41_暴力破解分析場(chǎng)景其他威脅分析包括掃描探測(cè)檢測(cè)、DDOS檢測(cè)、Web攻擊檢測(cè)、僵木蠕檢測(cè)、隱蔽隧道檢測(cè)、VPN通信檢測(cè)。其中Webshell檢測(cè)、加密隱蔽隧道檢測(cè)、加密VPN流量檢測(cè)內(nèi)容，詳見5.3章節(jié)。離線數(shù)據(jù)與樣本檢測(cè)產(chǎn)品支持離線數(shù)據(jù)包上傳檢測(cè)與樣本文件手動(dòng)上傳檢測(cè)，離線數(shù)據(jù)支持特征、情報(bào)、沙箱檢測(cè)，最高可達(dá)16倍速回放。同時(shí)支持樣本隱蔽信道檢測(cè)、進(jìn)程樹展示惡意樣本行為、人工沙箱干預(yù)等功能。圖SEQ圖\*ARABIC42_樣本報(bào)告進(jìn)程樹流程圖圖SEQ圖\*ARABIC43_人工沙箱干預(yù)強(qiáng)大的加密流量檢測(cè)互聯(lián)網(wǎng)技術(shù)快速發(fā)展，使得互聯(lián)的規(guī)模與流量越來越大。在網(wǎng)絡(luò)通信中，加密流量已經(jīng)成為通信的主流。雖然加密流量保護(hù)了用戶的隱私，但也為安全檢測(cè)帶來了新的挑戰(zhàn)?？v觀近年網(wǎng)絡(luò)攻擊事件，以高級(jí)持續(xù)威脅攻擊和定向滲透攻擊為代表的高級(jí)網(wǎng)絡(luò)攻擊盛行，而這些攻擊組織，為了更隱蔽的獲取用戶數(shù)據(jù)，控制目標(biāo)系統(tǒng)，往往采用隱蔽的、加密的通信方式。通常情況下，這些隱蔽的通信傳輸會(huì)隱藏到常見的網(wǎng)絡(luò)協(xié)議中，或使用加密通信，混雜在正常業(yè)務(wù)數(shù)據(jù)中，具有特征不確定，途徑多樣化，低流量，低頻率等特點(diǎn)，以達(dá)到長期控制，竊取數(shù)據(jù)的目的。目前在應(yīng)對(duì)加密流量檢測(cè)方面，APT檢測(cè)產(chǎn)品目前主要采用解密檢測(cè)或不解密檢測(cè)的方式，兩種方式各有利弊。如果在SSL/TLS應(yīng)用上解密流量，首先會(huì)打破原有加密機(jī)制，使合法數(shù)據(jù)傳輸?shù)陌踩越档停浯卧谧C書替代和網(wǎng)絡(luò)應(yīng)用支持上可能存在覆蓋不全的情況（提供導(dǎo)入單獨(dú)的解密證書，只能針對(duì)該證書對(duì)應(yīng)的加密流量進(jìn)行解碼，從而導(dǎo)致遺漏其余非對(duì)應(yīng)加密流量）。另外，大流量的卸載非常耗費(fèi)計(jì)算資源，對(duì)產(chǎn)品整體的性能影響較大，但解密的好處是可以還原數(shù)據(jù)原始內(nèi)容，這有利于檢測(cè)分析工作。不解密檢測(cè)采用“加密前特征檢測(cè)”+“加密后機(jī)器學(xué)習(xí)對(duì)比檢測(cè)”兩者結(jié)合的方式，這種方式的檢測(cè)結(jié)果準(zhǔn)確與否依賴于樣本規(guī)模和訓(xùn)練周期。如果沒有一定積累，可能會(huì)存在較多誤報(bào)/漏報(bào)等情況。天闐威脅分析一體機(jī)，面對(duì)加密流量，采用“解密”+“不解密”檢測(cè)相結(jié)合的方式。導(dǎo)入SSL證書對(duì)特定常用加密流量（對(duì)應(yīng)需重點(diǎn)保護(hù)的設(shè)備地址）進(jìn)行解密，然后正常解析檢測(cè)，發(fā)現(xiàn)攻擊威脅；無證書場(chǎng)景，以多流量模型+機(jī)器學(xué)習(xí)的流量綜合檢測(cè)技術(shù)（NTA），能更好的實(shí)現(xiàn)對(duì)加密流量中異常行為的檢測(cè)效果，覆蓋非特定或自定義加密流量盲點(diǎn)，識(shí)別惡意攻擊。圖SEQ圖\*ARABIC44_導(dǎo)入SSL證書方式TAR-AIO通過長期大量的攻擊手法、攻擊工具、惡意軟件家族特征、惡意流量積累和分析的基礎(chǔ)上，通過安全研究人員的持續(xù)投入、軟件關(guān)鍵算法的設(shè)計(jì)，能較好的構(gòu)建基于多流模型和基于機(jī)器學(xué)習(xí)模型的檢測(cè)技術(shù)落地。基于NTA技術(shù)的“不解密”檢測(cè)范疇，TAR-AIO可支持檢測(cè)的加密流量模型包括cobaltstrike等工具的流量，總體功能結(jié)構(gòu)圖大致如下圖所示：圖SEQ圖\*ARABIC45_加密流量檢測(cè)整體流程其中流方向判定是通過判斷流量的內(nèi)網(wǎng)、外網(wǎng)訪問方向確定可以針對(duì)該類流量做檢測(cè)的模型。這些模型包括了https隧道、webshell檢測(cè)等。流量過濾包括了內(nèi)置的以及自定義的白名單庫，以及稀有度算法計(jì)算出來的正常流量過濾，同時(shí)也對(duì)已經(jīng)確認(rèn)為攻擊行為的黑流量進(jìn)行過濾，即對(duì)已經(jīng)確定行為的流量進(jìn)行過濾。通過行為基線、消息分組、算法調(diào)用、特征計(jì)算等模塊來確定該流量是否具有威脅，這一系列檢測(cè)的方法針對(duì)不同的檢測(cè)模型有不同的實(shí)現(xiàn)方法，主要涵蓋了心跳的分析、大批量樣本訓(xùn)練后的多維度的AI模型匹配、通過特征過濾掉不符合該檢測(cè)模型的流量等。加密通道中的攻擊行為檢測(cè)Webshell檢測(cè)對(duì)于在webshell的攻擊行為中，變形的webshell會(huì)讓普通的特征檢測(cè)手段失效，但是從流量行為維度來分析，webshell的這類流量對(duì)應(yīng)整個(gè)web應(yīng)用來說是一個(gè)孤立的應(yīng)用訪問點(diǎn)，所以通過一些常用的機(jī)器學(xué)習(xí)算法，來尋找孤立點(diǎn)的方式進(jìn)行webshell的檢測(cè)成為了業(yè)界常用的檢測(cè)方式。機(jī)器學(xué)習(xí)模型在檢測(cè)webshell方面有長期的積累和實(shí)踐效果，并在檢測(cè)效率方面也有獨(dú)到的優(yōu)勢(shì)，整體檢測(cè)框架如下：圖SEQ圖\*ARABIC46_webshell檢測(cè)框架圖SEQ圖\*ARABIC47_產(chǎn)品webshell檢測(cè)頁面惡意或非法加密應(yīng)用檢測(cè)Tor流量檢測(cè)Tor（Theonionrouting）“洋蔥路由”被廣泛用于匿名網(wǎng)絡(luò)流量，經(jīng)常和違法活動(dòng)相關(guān)，例如毒品和武器交易等，這些非法網(wǎng)站被統(tǒng)稱為“暗網(wǎng)”，只能通過使用Tor訪問。洋蔥路由網(wǎng)絡(luò)中，消息一層一層的加密包裝成像洋蔥一樣的數(shù)據(jù)包，并經(jīng)由一系列被稱作洋蔥路由器的網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)送，每經(jīng)過一個(gè)洋蔥路由器會(huì)將數(shù)據(jù)包的最外層解密，直至目的地時(shí)將最后一層解密，目的地因而能獲得原始消息。因此，在網(wǎng)絡(luò)空間中如何對(duì)Tor網(wǎng)絡(luò)流量進(jìn)行快速發(fā)現(xiàn)，對(duì)打擊違法犯罪具有重要意義。圖SEQ圖\*ARABIC48_Tor結(jié)構(gòu)示意傳統(tǒng)Tor網(wǎng)絡(luò)節(jié)點(diǎn)的檢測(cè)，通常是基于黑名單的機(jī)制，因?yàn)樵赥or官網(wǎng)發(fā)布了一個(gè)官方的外部Tor節(jié)點(diǎn)的IP地址列表，可以此為黑名單。但是，對(duì)于一些非官方的外部Tor節(jié)點(diǎn)，該方法是失效的。因此，TAR-AIO從網(wǎng)絡(luò)流量分析的角度，建立特征工程，利用機(jī)器學(xué)習(xí)的技術(shù)建立Tor流量分類模型。機(jī)器學(xué)習(xí)整體流程包括安全問題抽象、安全數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理、模型構(gòu)建、模型驗(yàn)證、實(shí)際應(yīng)用效果評(píng)估。路線圖如下：圖SEQ圖\*ARABIC49_機(jī)器學(xué)習(xí)路線圖加密VPN流量檢測(cè)一方面，近年來隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，VPN(virtualprivatenetwork)技術(shù)被廣泛應(yīng)用于網(wǎng)絡(luò)通信中，以滿足不同的安全需求，例如翻墻和遠(yuǎn)程連接。另一方面，高吞吐量業(yè)務(wù)的快速增長，對(duì)服務(wù)質(zhì)量(QoS)和網(wǎng)絡(luò)資源的管理提出了更高的要求，而網(wǎng)絡(luò)流量識(shí)別在提高網(wǎng)絡(luò)流量管理水平方面起著重要的作用。因此，在流量識(shí)別中，如何精準(zhǔn)地對(duì)VPN流量（加密或非加密）進(jìn)行檢測(cè)是一個(gè)重要且具有挑戰(zhàn)的問題。圖SEQ圖\*ARABIC50_VPN示意圖在傳統(tǒng)的VPN檢測(cè)技術(shù)中，主要有兩種種方法：基于端口的過濾，基于DPI深度包檢測(cè)技術(shù)?；诙丝谶^濾的方式，通常存在較多的誤報(bào)，因?yàn)槎丝诓⒉灰欢ㄊ且灰粚?duì)應(yīng)的，例如80端口不一定是http流量?；贒PI深度包檢測(cè)的技術(shù)，通常需要將關(guān)鍵payload特征，例如交互過程中產(chǎn)生的時(shí)域特征與握手協(xié)議字段進(jìn)行規(guī)則匹配或者描述，但當(dāng)該VPN流量是加密的時(shí)候，此方法的有效性將降低，產(chǎn)生漏報(bào)。TAR-AIO基于機(jī)器學(xué)習(xí)方法通過加工流量的時(shí)域特征、指紋特征、主機(jī)行為特征，能夠一定程度解決加密VPN流量的檢測(cè)。加密隱蔽隧道檢測(cè)HTTP/HTTPS隱蔽隧道檢測(cè)失陷主機(jī)是內(nèi)網(wǎng)中已被攻擊者成功入侵，并被遠(yuǎn)程控制有惡意行為的主機(jī)。由于失陷主機(jī)受控或發(fā)起惡意行為往往難尋規(guī)律、隱蔽性強(qiáng)，絕大部分已存在失陷主機(jī)的組織通過常規(guī)的方法難以感知，需要尋找一類新的方案來識(shí)別和分析實(shí)現(xiàn)主機(jī)。對(duì)于失陷主機(jī)的來說，惡意程序需要定期和外部的C&C服務(wù)器進(jìn)行通信的，以便實(shí)現(xiàn)黑客對(duì)內(nèi)部主機(jī)的控制和進(jìn)一步的內(nèi)網(wǎng)滲透。為了隱藏鏈接C&C服務(wù)器的行為，通常失陷主機(jī)上的惡意程序通過隧道的方式來應(yīng)該其真實(shí)行為，而使用HTTP/HTTPS承載的隧道就令和C&C服務(wù)器的通信行為更加難以檢測(cè)。圖SEQ圖\*ARABIC51_C2攻擊示意圖TAR-AIO基于自身精準(zhǔn)協(xié)議解碼、多種行為建模、AI智能學(xué)習(xí)，可對(duì)HTTPS協(xié)議中傳輸?shù)募用茉剂髁亢驮獢?shù)據(jù)字段（JA3指紋、證書信息、加密套件、擴(kuò)展長度、協(xié)議版本、證書組織、證書頒發(fā)者等）進(jìn)行充分學(xué)習(xí)，建立黑白模型，使用黑白模型進(jìn)行判定黑白，然后結(jié)合內(nèi)置大量的加密流量檢測(cè)規(guī)則以及應(yīng)用行為模型進(jìn)行交叉判斷分析，可對(duì)常見黑客工具通訊、隱蔽隧道通訊、可疑或非法加密通訊行為進(jìn)行實(shí)時(shí)檢測(cè)。圖SEQ圖\*ARABIC52_產(chǎn)品HTTP隧道檢測(cè)頁面DNS隱蔽隧道檢測(cè)DNS隧道，即利用DNS請(qǐng)求和響應(yīng)來承載經(jīng)過編碼或加密的數(shù)據(jù)內(nèi)容，攻擊者需要接管某個(gè)域名的NS服務(wù)器，使得對(duì)該域名的所有子域解析請(qǐng)求最終到達(dá)該臺(tái)NS服務(wù)器上，最終，一條通信信道將在受控機(jī)器和攻擊者的NS服務(wù)器之間建立（中間可能經(jīng)過更多的NS節(jié)點(diǎn)），信道的建立、維持和通信基于DNS查詢的請(qǐng)求和響應(yīng)。圖SEQ圖\*ARABIC53_DNS隧道建立TAR-AIO對(duì)DNS隱蔽隧道檢測(cè)模型訓(xùn)練整體流程為：流量解析、特征提取、特征泛化、分類、決策。具體流程如下圖：圖SEQ圖\*ARABIC54_DNS隧道檢測(cè)模型訓(xùn)練整體流程TAR-AIO結(jié)合行為模型、隧道模型以及機(jī)器學(xué)習(xí)算法，充分學(xué)習(xí)歷史數(shù)據(jù)特征，可以精確地識(shí)別位置的隱蔽隧道，同時(shí)兼具誤報(bào)低、不易被繞過的特點(diǎn)。圖SEQ圖\*ARABIC55_產(chǎn)品DNS隧道檢測(cè)頁面ICMP隱蔽隧道檢測(cè)使用ICMP回顯請(qǐng)求消息（request）和回復(fù)消息（reply）在兩臺(tái)遠(yuǎn)程計(jì)算機(jī)之間建立隱蔽連接。因?yàn)镮CMP回顯消息常用于Ping或tracert命令以檢查網(wǎng)絡(luò)暢通性，為了更好理解，后文將ICMP回顯消息簡稱為Ping消息。ICMP隧道的工作原理是客戶端將數(shù)據(jù)注入Ping請(qǐng)求數(shù)據(jù)包（request）中，而后遠(yuǎn)程服務(wù)器以相同的方式回復(fù)，將答復(fù)注入到Ping回復(fù)數(shù)據(jù)包（reply）中并將其發(fā)回。ICMP隧道檢測(cè)模型訓(xùn)練整體流程為流量解析、特征提取、分類、形狀/內(nèi)容檢查。整體流程如下圖：圖SEQ圖\*ARABIC56_ICMP隧道檢測(cè)模型訓(xùn)練流程圖SEQ圖\*ARABIC57_產(chǎn)