谭晓生:谢谢。今天每位嘉宾的演讲时间比较短,大家都是业内人士,能省的我比较快的过,未来的战争形态打网络战的可能比较大,投入产出比比较高,结果也比较可控。对比2011年,国外的数据,第一的攻击对象是政府,第二是激进分子,再往下会是重型器械和航空、财经、航天等等。2012年Bit9的一份报告里显示政府依然排在第一位,但是往下排序有一些变化,零售与消费业务企业,律师事务所、医疗机构和工业部门,政治因素偏多会越来越多的向商业因素偏多,企业或者有敏感信息的这些部门逐渐的会变成攻击的对象,往企业方面偏移会是一个趋势,这是个好事儿,诸多的企业会有信息保密的需求。
今天防护的终端也多了,我们今天的网络边界也扩展的非常之大,对网络安全的挑战也跟着来了,这些攻击方式及ATM上取不出钱,电视台节目停播都发生过,今年3月份韩国的事件等等,所有这些都可以是一个网络战打起来由于网络攻击造成的结果。
互联网安全现状从我们来说Windows下面的漏洞丛出不穷,今年3月份报的漏洞现在还没补,洞很多,补的也很慢,明年微软对XP会停止更新,安卓的系统更加糟糕。蒋西炎(音)教授挖了一堆的安卓的漏洞,他们评价感觉安卓系统的安全相当于十年前的Windows,意味着未来会挖出更多洞,前面有若干被黑的事儿,嵌入系统逐渐变成被攻击的对象。投入越多挖的洞越多,现在比较尴尬,要不要投入更多的钱挖出更多的洞。
结构天然的缺陷会造成计算机的漏洞很难被彻底解决,新的计算机结构出来并且被验证为更加可靠之外,这个洞会丛出不穷的。网站的漏洞也特别多,360库带计划今年收了2000多个洞,经过验证已经支付了800多洞的钱,实际检测下来70%的网站是有洞的。
数据防泄漏现在企业非常重视,看解决方案国内比较有名的易塞通等几家,第一难用,在DLP解决方案还是挺欠缺的,这个有待在产品上或者产品的理念上有一些大的革命性的东西,到现在这些东西还都不行。
面对这种挑,过去IDS有效性存疑,这些我测过也买过,测国国内不只一家,当时我们手里有的是木马,远程木马扔十个进去,一开始检测出五个,我们告诉他有五个检测不出来,三天以后说这五个能检测出来了,再拿十个扔进去差不多又能检测出来一半,后来圈里的人说这已经不错了,我们十个只能检测出三个,如果IDS是这样防御效果,尤其APT的场景下,你逮住样本的概率就会比较少。
APT的特征相对来说,一个是用的方法多种多样,另外是长期持久的。怎么解决它呢?我本身负责360自身的安全防卫,我们觉得这件事儿要干好有四个假设,第一个假设就是系统有漏洞还没被发现的,既然有这个洞,问题就转换到如果要防洞这个洞的利用过程我要能发现。今天我还不知道的洞,未来别人攻击的时候,被利用的时候我要能知道有人在利用这个洞,这是第一个假设。第二个是管理怎么都解决不了安全问题,总是有人不打补丁或者他出差了今天是补丁日,各种各样的机器没有打补丁,补丁没打完或者别人忙别的把打补丁停了,就有补丁没有打的,还有系统已经被渗透,你不能假设今天的系统是干净的,在我们做企业应用的时候,和产品人员吵了很久,他认为可以按照今天有个安全期限,你不能认为今天的系统就是干净的。第四是员工不可靠,不能相信员工。员工有可能本身是个间谍,有可能被人收买,有可能网上认识一个女孩,这个女孩对他发起了攻击,这些都是可能的,不是不相信这个人的人品,而是他本身在企业安全里你不能相信他是一个安全的。
攻击的防御思路云+端+边界,边界和端这两个大家讨论了很久,在云里360最早的引入了云端防护的东西,从早期对个人的云查杀,其实就是利用了木马非常爆发流行的时候,最高峰我们逮了一千万只不同的木马,不拿云处理基本上是不行的。后来我们在云端的处理上做了很多事情,大家可能不知道,比如你一天逮了一千只木马,怎么分析,怎么检测,今天说的技术或者虚拟执行,从2009年到今天360内部已经用了很久,现在一天还要逮30—50万只,这些分析怎么做的?今天把这东西怎么让其他企业用起来。
云端过去相对来说比较差的,将来端的防护依然不可少,边界上会加一些比如所谓的假设设备,但这个设备更多的是信息收集和最终产生阻断的设备,这里面大量的验算要在云上完成,不管私有云或者共有云,一定要有足够的存储能力和计算能力。将来的防护这三点不同设备,不同长嘎的解决方案,软件、硬件联合起来使用,不见得是一家的设备,有哪一家能出全套的解决方案是不可能的,安全的防卫只可能细分,细分之后每个链条都要做深。
最后我们在大数据之前,我们认为网络攻击的,人对数据不足够敏感,但是对图形非常敏感,我们今年和研究机构做了一些合作,在APT的过程中数据展现你真正转化成合适的图形专线的时候人一眼看过去就不对,但是看数据流费劲多了,这是要下大工夫做的。
在技术之外做产品的体验方面,我们觉得这也是要大力的改进,过去的企业级产品尤其是难用的。
大数据我们是怎么做的,这是360的一些数字,每天100G带宽定包,360内网有3.2G的,外网对日常,100来G为用户提供Web服务的,其他的下载不管,因为我下载客户端,客户端要重新校验,发现文件不对就扔掉,不会真正产生太大的恶心果,Web服务一个是攻击的对象,渗透之后对外产生的连接更多的会在这里产生,每天我们存储50TB的数据,对于攻击的响应时间10秒,一天结构化的数据是四千亿条,这是360自己的基础架构针对攻击的防范上实际的数据,数据全是真实数据。
对于Web的攻击一些防卫的东西,第一我们要区分连接型攻击,比如扫描、CC攻击,爬虫怎么识别,Web攻击怎么识别。首先把Web访问数字化,首先是IP域名,UII,每15分钟的访问合并到一个Session,计算Session里的访问特征,访问次数,访问深度,访问宽度,Agent个数,Get文件访问比例,静态文件访问比例,非200请求比,分7个度量数值看。
这是正常的网络访问情况下同一个Session对相同域名的请求数字,已经把头部上面很高的数字砍掉了,就是一条直线上来的,砍完以后,大量的访问就是一两次,非常集中,15分钟之内对一个IP的访问是非常集中的。
URIPATH里斜线的访问。静态文件的访问有一定的比例,因为你通过浏览器打开这个,它会下载一个Jpg,下载一个css,这个静态文件有一定的量。
非200访问请求比例不会很高,人们正常访问一个网站的时候。
网络扫描行为,深度不是很深,宽度也不是太宽,静态文件基本上不抓,带有尝试的探测性质,这种概率分布判定它就是扫描。
爬虫深度深一点儿,宽度也比较宽,抓那东西只要不做图片搜索它也没有什么意义,它抓取的静态文件比例是很少的,爬虫是按图索骥,只有在一些新的尝试的时候会有失败的比例,但这里面其实比例不高,这就是爬虫行为。
攻击行为是在不同的域名下出现同一URI次数,因为它是用攻击的一个URI,相通的域名下不同的URI出现相同value次数,相同域名下相同URI不同参数下出现相同值次数。我们从分布上可以看到这样的状况。
用这种算法我们识别出来的攻击,拿眼睛一看就知道大部分真的是攻击,这是攻击的模式,识别出来的东西。针对一个网站,它里面各个页面,用机器识别异常的网络访问,用户对一个网站访问,其实是会有概率上分布的特点的,它会分布在高概率的大家都经常去的地方,如果有的访问是散还,除了高概率的地方还大量散到其他地方,这个就比较异常。
用机器识别的网络异常行为,左边是端口,这个访问涉及到多少个端口,第一个235个端口肯定有问题,还有一千多个端口,一般人的访问怎么会访问那么多端口?dip深度多少,宽度多少,最后结束RN那么多,都是异常,通过这一系列的东西去找异常,这是机器识别的异常的网络行为。
这里面第一是有海量数据处理的东西,分布式并行计算,半监督学习,SVM、决策树,神经网络,决策树在里面贡献最大,这是以前的万兆Web中心监测系统,其实是从交换机端口到镜下,镜下不够用了我们就用分装设备,装完包进行清洗,再把数据存下来做Session的规划,有一个阻断机制。
能够做这件事儿的主要是依赖360过去做业务的过程中已经建立起一个比较好的大数据平台,Map Reduce的平台,同时建立欧拉的平台,一些算法、分类、聚类,各种各样的决策树都在里面,实时计算系统,Storm等等这些东西。
存储规模超过1.5万台,Storm计算超过1.4万台,有这些东西看起来像个土豪,可以干基于大数据分析的事情,在办公室存三个月过去网络访问的数据,对它反复的挖,找出中间的攻击。谢谢。