2023國家網(wǎng)絡(luò)安全宣傳周丨新疆電信:基于數(shù)據(jù)分析提升
高危源IP識別能力
9月11日-17日是2023年國家網(wǎng)絡(luò)安全宣傳周,今年的主題為"網(wǎng)絡(luò)安全為人民��,網(wǎng)絡(luò)安全靠人民"����。國家網(wǎng)絡(luò)安全宣傳周期間��,新疆互聯(lián)網(wǎng)協(xié)會在全區(qū)開展網(wǎng)絡(luò)安全成果案例征集展示活動�。全面宣傳企業(yè)網(wǎng)絡(luò)安全領(lǐng)域成果和先進經(jīng)驗���,普及網(wǎng)絡(luò)安全知識����,提升網(wǎng)絡(luò)安全意識,探索社會關(guān)切的網(wǎng)絡(luò)安全焦點問題解決途徑�����,科普防范知識�����,提高全民網(wǎng)絡(luò)安全意識和防護技能����。
中國電信股份有限公司新疆分公司
基于數(shù)據(jù)分析提升高危源IP識別能力
近年來��,網(wǎng)絡(luò)安全攻擊手段日新月異,部分安全攻擊行為未能在現(xiàn)有安全防護設(shè)備/系統(tǒng)上產(chǎn)生告警,導(dǎo)致未能及時阻斷此類安全威脅�。常規(guī)安全防護系統(tǒng)大多采用誤用檢測��,即基于特征的檢測,其缺點是攻擊信息的收集和更新存在一定滯后,難以發(fā)現(xiàn)新型的攻擊行為����,維護特征庫的工作量較大����。若攻擊方利用的是業(yè)務(wù)邏輯漏洞���,則防護系統(tǒng)的技術(shù)策略無法全面有效防御這種類型的威脅。傳統(tǒng)識別邏輯漏洞方式是對業(yè)務(wù)系統(tǒng)進行人工滲透���,對一個系統(tǒng)實施一次人工滲透需5-7天,人力成本較高這種方式����,且對滲透人員技術(shù)水平要求高�。為應(yīng)對此類安全威脅�����,需從攻擊方攻擊行為進行分析識別����,攻擊方在發(fā)起實際攻擊前�����,通常會先在其掌握的系統(tǒng)(資產(chǎn))清單中挑選一些進行訪問或者全部訪問(這種訪問行為與正常訪問行為一樣���,其目的僅為偵察),然后選擇其認(rèn)為技術(shù)薄弱���、安全性不佳的系統(tǒng)再進行進一步執(zhí)行漏洞掃描或直接發(fā)起攻擊。攻擊方訪問的這些業(yè)務(wù)系統(tǒng)在業(yè)務(wù)上關(guān)聯(lián)性不大甚至并沒有關(guān)聯(lián)性。
基于此邏輯新疆電信制作了高危IP識別模型�����,若同一個源IP在一段時間內(nèi)訪問非關(guān)聯(lián)性業(yè)務(wù)或業(yè)務(wù)關(guān)聯(lián)性不強的系統(tǒng)�,那么其很有可能是一個具有惡意的IP。新疆電信根據(jù)業(yè)務(wù)系統(tǒng)用途或業(yè)務(wù)屬性對我方的全量業(yè)務(wù)系統(tǒng)進行數(shù)字標(biāo)記,采集每個訪問IP階段時間內(nèi)訪問的業(yè)務(wù)系統(tǒng)的數(shù)字標(biāo)記形成集合�,其標(biāo)記數(shù)字所呈現(xiàn)的離散性與所訪問系統(tǒng)的非關(guān)聯(lián)性成正比�。可在攻擊方進行偵察階段就能完成識別�����,及早發(fā)現(xiàn)攻擊源IP�����。
