2016-《无中生有-基于骨干网全量应用识别的威胁情报基础数据采集-孙朝晖》

无中生有基于骨干网全量应用识别的威胁情报基础数据采集北京派网软件有限公司 Copyright © 2014 Panabit and/or its affiliates. All rights reserved. RSA总裁Amit Yoran 人们身处黑暗之中都会产生恐惧，因为当看不清周围的环境，却能听到声响或人影晃动时，人们将无法判断其中是否潜在着一些危险，这就像今天信息安全产业所面临的一个状态。我们需要一张新的“地图”。这张“地图”一方面不依赖于预先保护机制；一方面强调普遍的可视性；一方面可以很好地进行身份认证和识别，掌握来自外部的威胁情报；一方面又能基于业务的重要级别，进行安全资源的优化部署。 Copyright © 2014 Panabit and/or its affiliates. All rights reserved. Page 2 威胁情报获取的难题？ Copyright © 2014 Panabit and/or its affiliates. All rights reserved. Page 3 威胁情报关键能力建设  在互联网应用的推动下，从IP为实体的三层感知进化为应用为实体的七层感知，威胁情报理念发展的必然趋势。稳定的存储检索、准确的清洗、标签和关联知识库则是分析能力的基础，它们的表现直接决定了结果的有效性。感知能力分析能力应用感知关联知识库攻击感知标签知识库 Session感知清洗知识库 IP感知存储检索 Copyright © 2014 Panabit and/or its affiliates. All rights reserved. Page 4 感知有多难 Copyright © 2014 Panabit and/or its affiliates. All rights reserved. Page 5 技术链条  没有互联网的飞速发展，就没有威胁情报，数据量猛增是互联网发展所带来的必然结果，准确及时的大数据分析是掌握网络运行状况和控制网络用户行为的有效手段。分析数据获取日志清洗关联分析客户响应完整准确及时有效  速度：超高处理性能适应互联网带宽发展趋势  内容无关：规整合并、垃圾过滤 态势分析：运行状况、应用预警  身份定位：实体客户与网络身份映射  内容相关：数据标签化、摘要常态化 经营分析：成本利润、资源引入、聚类客户评价、潜在客户挖掘  到达手段：上门服务、电话、短信、 Web信息、微信、 QQ等  广度：通达第七层，关键信息一个都不能少  存储优化 Copyright © 2014 Panabit and/or its affiliates. All rights reserved. Page 6 鸟揽威胁情报系统  分流子系统 - 协议转换，同源同宿  探针子系统 - 用户、事件和流量日志生成 - 内容无关清洗 - 数据初加工  知识库子系统 - 内容相关清洗知识库 - 标签知识库 - 关联知识库  数据存储分析子系统 - 海量存储、标签化、关联分析  响应子系统 - 响应信息生成、过滤与送达 Copyright © 2014 Panabit and/or its affiliates. All rights reserved. Page 7 威胁情报源仅仅是URL和DNS？ No！流量 • 所属应用 • 所属类别 • 流量大小 • 起止时间 • 应用流向分布 • 地址转换用户 • QQ帐号、图片 • 微博、飞信、淘宝ID • 微信ID、图片、视频 • 百度贴吧ID • 电子邮箱 • 地理位置事件 • 网页浏览URL • 搜索引擎查询 • 应用登入登出 • DNS查询 • 用户认证 • 共享用户威胁情报基础数据 Copyright © 2014 Panabit and/or its affiliates. All rights reserved. Page 8 理想照进现实  记录全世界？ - 能力对等  数据究竟有多大？ - 用户、流量、事件 - 10GE到300G字节  数据收敛从哪里开始？ - 分流子系统的局限性 - 没有数据是多余的 - 应用探针的全流量需求  需要多少专家才能走完整个链条？ - 让专业的人做专业的事 - 通信专家、应用识别专家、大数据专家、行业知识专家 Copyright © 2014 Panabit and/or its affiliates. All rights reserved. Page 9 探针技术演进加密分析、节点跟踪、主动探测级旋风、优酷、爱奇 Applications MSN、POP3、IMAP 、Oracle等 IP Link Layer 静态端口 202.104.21.57 001CC4CF0747 硬匹配 IP探针 ASIC/NP/X86/多核 TCP/UDP 状态检测与ALG 动态端口 Session探针 Copyright © 2014 Panabit and/or its affiliates. All rights reserved. X86/多核/协处理器明文模式匹配 HTTP、SMTP、QQ、安全探针 X86/多核/协处理器艺、Skype等 ASIC/NP 探针设备数据面的变化 BT、电驴、迅雷、超应用探针 Page 10 你是谁？就像斯诺登所描述的一样，它游走在政府和民间的博弈中间，没人会承认，但是没人能否认它的存在。 + 防火墙日志 + 虚拟身份信息库 + IP位置信息库 = （张三在某酒店某房间登录了某种应用）  为什么是Panabit？ - 部署位置位于通信主干，无需改变连接拓扑 - 有足够性能处理关键要素审计，不需要增加设备 - 对应用协议分析透彻，分析协议可以涵盖邮件、即时通信、社交应用和游戏等 - 附加移动属性：微博、微信、贴吧等 Copyright © 2014 Panabit and/or its affiliates. All rights reserved. Page 11 从哪里来？  实时精确锁定固网IP地址地理位置 - 精确度达到街道楼宇级别不依赖手机移动网提供数据可定位内网IP地理位置噪声来源：异地访问，设备切换 - 依赖大数据统计规律  核心用途 Copyright © 2014 Panabit and/or its affiliates. All rights reserved. 用户地理热力分析应用地理热力分析虚拟身份定位无线环境定位带宽资产核查 Page 12 无线环境信息  无线环境 - Copyright © 2014 Panabit and/or its affiliates. All rights reserved. IP和时间为索引无线AP的SSID 无线AP的MAC地址客户机MAC地址无线环境探查 Page 13 移动设备信息  移动设备信息 - Copyright © 2014 Panabit and/or its affiliates. All rights reserved. IP和时间为索引 IMEI：唯一标识UE硬件 IMSI：唯一标识用户ID 手机MAC 大数据分析主要索引，例如他网手机定位 Page 14 到哪里去？  应用去往何处？ - 所属应用：根据应用协议判定流量所属于的具体应用种类，比如：迅雷、微信、爱奇艺、魔兽世界等。 - 所属类别：归类具体应用所属的应用类别，比如：视频、即时通信、P2P下载等，目的是为了批量处理。 - 流量大小：流量所属session总数据量 - 起止时间：流量所属session开始和结束时间 - 应用流向分布：根据源地址和目的地址判别 session在运营商之间或者地理版图上分布。  与其他业务系统的配合 - 应用镜像：根据应用复制到探针其他物理接口 - 应用路由：根据应用选择下一条路由 Copyright © 2014 Panabit and/or its affiliates. All rights reserved. Page 15 域名分布异常 Copyright © 2014 Panabit and/or its affiliates. All rights reserved. Page 16 微软威胁情报中心总经理 John Lambert What is the most important network security spend: Sensor appliances? SIEM? Threat intelligence feeds? It's your analyst team. 最重要的网络安全开支是什么？传感器设备？安全信息和事件管理？威胁情报来源？都不是，最重要的是你的分析师团队。 Copyright © 2014 Panabit and/or its affiliates. All rights reserved. Page 17 全业务分析  全业务流量 - 14大类 - 近1000种应用 - 如实反映协议完整性，从三层覆盖到七层  可视化分析 - 分布极值趋势相似性  流量与事件的事件序列分析是主要未知威胁情报来源 Copyright © 2014 Panabit and/or its affiliates. All rights reserved. Page 18 时间序列分析  HTTP浏览认证 - HOST排名：发现异常，例如：病毒 - URL分类库：判定行为，分布 - 按IP段的URL排名：区域互联网活跃度，数据中心发展情况共享用户  DNS解析 DNS解析 HTTP浏览 - DNS解析排名：发现异常，例如：DNS Flooding，C&C - 时间段解析情况：应用热度  认证 - 针对AAA系统的攻击与滥用  共享用户事件 - 实际用户数监测：NAT后面有乾坤 Copyright © 2014 Panabit and/or its affiliates. All rights reserved. Page 19 应用画像 Copyright © 2014 Panabit and/or its affiliates. All