安全预警

News information

新型攻击预警在工控网络中的应用——六方云科技

<<返回

2019年05月30日 00:54

 

一、 工控安全现状及发展方向

· 网络攻击的目的由过去的黑客炫技(病毒、网页篡改、DDoS)转变为现在的以营利为目的的有组织、有预谋的跨国网络战(乌克兰电厂、伊朗核设施、VPNFilter事件)。

· 早期针对部署在关键基础设施的工业控制系统进行攻击,需要较强的攻击能力;但随着工业控制系统信息安全问题公众化后,许多黑客开始利用互联网上轻易得到的攻击工具,瞄准很多基本不具备信息安全防护能力的行业或企业进行攻击

· 工控产品漏洞屡见不鲜,新的攻击手段层出不穷。基于预先制作特征库的下一代防火墙、入侵防御等安全设备,由于其原理是必须在了解攻击特征的前提下才能进行有效防御,所以这类设备对新型攻击、未曾出现的攻击,无法做到防御。

· 面对新型的网络攻击,设备的堆砌已经无法与之抗衡,需要更智能的手段去应对黑客纷繁复杂的攻击方式。

 

二、 新型网络攻击的判断和预警

所谓安全,是既能够防范已知的威胁,还要同时对新型威胁做出判断和预警,在其发生破坏之前阻断或者控制它。

Gartner在2017提出的就是关于一种新的网络流量分析的解决方案。

网络流量分析解决方案,通过监控网络流量、连接和对象,找出恶意的行为迹象。那些正在寻求基于网络的方法,来识别绕过周边安全性的高级攻击的企业应该考虑使用流量分析技术来帮助识别、管理和分类这些事件。

—— 2017 信息安全的顶级技术, Gartner

这种分析的方法是通过网络流量连接和对象找出恶意的行为。虽然也是通过流量,但是跟以前我们通过流量抓取、规则匹配的方式是完全不一样的。这种方式来识别绕过周边安全,以及我们所谓的不管是防火墙还是IDS周边防护的一些检测的高级的行为。

CVE漏洞库中,缺陷、POC浩如烟海,在大规模业务环境的工控产品设备中,有多少存在漏洞,又有多少已经处于危险中?相比起茫然,未知才是最为可怕的。我们一次次为未知感到恐惧,又一次次面对着新的未知。

我们希望能在不断探索的过程中,尝试摸索清楚一些科学的数据方法,用有别于经典安全产品的思路来尝试解决一些新问题,以及对老问题的解法。

 

三、 正常总是相似,异常却各有各的异常

基于机器学习的自适应异常行为分析,是一种检测未知威胁的一种新型技术,它是一种通过不断收集历史流量数据,建立流量和行为模型的一种“动态检测”技术,有别于基于特征检测的防火墙只能检测到库文件中已有威胁的“静态检测”。 

blob.png 

 

如果我们能够搜集大量参数id的正常的参数值,建立起一个能表达所有正常值的正常模型,那么一切不满足于该正常模型的参数值,即为异常。

机器学习技术可以通过对流经设备的流量进行连续、实时监控来分析流量信息,利用统计分析、关联分析和机器学习等多种技术手段来建立流量和用户或应用行为中的行为正常模型并以此模型来发现异常行为。

 

四、 机器学习行为基线的建立

六方云智能工控防火墙可以基于机器学习对流经某类业务报文进行自动建模,而无需特征库的更新,因为其建模根本不依赖已知的恶意攻击。六方云智能工控防火墙建模的对象为正常报文的Payload及行为特征。建模过程充分考虑不同业务报文的差异性,和同类业务报文的相似性。对经过特征提取后的报文,根据相似性进行迭代聚类,并分别学习不同聚类的统计特征。聚类特征模型用作下一阶段检测。





blob.png

对网络环境中的业务流量充分学习后(如24小时),根据一定时间内没有新报文分类来确定学习收敛。学习过程收敛后,最终学习结果为训练阶段学习到的各分类的特征及参数,作为异常检测的依据。


 

五、 机器学习在发现新型网络攻击中的应用

检测阶段,依据前一阶段学习到的特征及参数进行检测,并预测其异常可能。对于超出预先配置的阈值的报文,标识为异常,并连同该报文的时间戳、网段信息等记录到异常报文表中,管理员可以通过命令行和WEB进行调查。

管理员也可以根据检测为异常的数据报文及时间戳,网段等信息,并进行标注。标注有四种类型:高危,中危,低危,及安全。如果报文被标注为安全,则该报文将被学习到模型中。如果报文被标注为高危、中危或低危,则将其保存到标注报文表中,后续同类报文直接用标注报文表中的标注标识该报文,无需进行机器学习检测。

在异常中,99%的异常都不是攻击,而在攻击中,99%的攻击又都是无害的攻击。而我们的精力总是有限的,我们希望能关注那些危害程度更高的攻击,这就迫使我们需要从攻击中识别出哪些是成功的攻击。

因此需要利用Kill Chain的方法,在攻击者的攻击链路上的几个关键节点进行二次判定,如果能串联起来,说明这是一次成功的攻击。

blob.png 

六、 展望

最终,数据驱动安全的顶层设计,一定是充分发挥机器智能与人的智能,机器做机器擅长的计算而人完成人擅长的分析。有机的结合二者,才能成为对抗威胁不对称的强力武器。