2016-《林明峰-大数据视角下的Web威胁分析》

安恒信息北方区技术总监大数据视角下的Web威胁分析林明峰安恒信息北方区技术总监 WEB在线威胁领域外网会话开始登录交易退出 Web 威胁领域 •钓鱼网站 •网站盗取 •漏洞探测 •第七层DDoS 攻击信息安全身份验证前的威胁 •密码猜测、盗用 •参数注入 •新账号注册欺诈 •高级恶意软件 (木马) •促销滥用 •中间人、浏览器中间人 •账号接管 •未授权账号交易 •非法资金转移欺诈身份验证后的威胁我们今天怎么保护网站应用？用户 •用户名、密码 •双因子认证 •设备认证网络 •防火墙 •IPS/IDS 应用 •WAF •渗透测试 •动态扫描 •日志分析、SIEM •源代码分析对用户行为没有可视性! 用户在网站上做什么？我有这么多账号，一个一个试一下手机、平板上都能买卖了，都不用登录正常交易? 破坏性的? 非法的? Web威胁检测服务系统的概念用户总是有各种类型 Corporate User High Net Worth Retired 以用户为核心的身份认证和欺诈检测 Student Road Warrior Business Owner … 黑客的位置飘忽不定 –对大多数用户是不可见的 –非侵入式 (不需要安装任何软件在客户端) –了解每一个用户独特性 –学习用户的行为习惯智能和异常检测 –学习和适应每一个用户独特行为 –强制性策略阻止攻击人和欺诈者 –第一时间阻止新型攻击 –针对在线攻击独特的视角 5 什么是Web威胁检测系统 • 它是一个利用革命性的网络安全 Web 会话情报进行实时威胁检测的系统；透过先进的可视化数据分解，提供有意义的结论，并且根据这些结论去采取行动 • 采取威胁指数分析引擎技术 – 针对用户的整个访问周期内（登入前、中、后）所有的行为进行威胁评估 – 根据威胁指数、策略、或群体或个人行为模式生成时间与警报实时连接用户行为与技术分析基于异常行为分析 Web 会话可视性为群体和个人建立动态行为模型让 “噪音” 成为可执行的结论流动式分析利用Spark强壮大数据框架可以实时提供可视化的智能分析和基于风险的行为威胁检测 ‘ 能够将整理出的会话数据及分析以流线方式传输到外部数据湖跨渠道在不同设备和渠道里对用户执行连续性的监控威胁评估引擎速度、中间人、浏览器中间人、行为、时间顺序等指数在线防欺诈系统如何进行工作基于风险威胁检测引擎电子交易系统规则引擎行为引擎登入数据评分 Low/High 风险评价工单管理 Allo Challenge w 认证挑战检验介入检测通过/失败介入检测的手段 8 它是如何工作的？规则引擎登入前行为警报和事件管理登入中行为行动服务器 EDS Web 威胁分析引擎分析引擎(0-100) 登入后行为中间人 20 整个会话数据点击流分析浏览器中间人 60 速度 100 参数 0 行为 90 邮件案件管理日志 SIEM 负载均衡器 WAF API 操作匿名 10 管理界面仪表盘历史行为的时间表搜索及报告数据流（外置数据平台）客户端设备指纹与业务数据结合设备指纹交易数据 a 网络信息用户信息 IP Address ISP Connection Type Is Mobile Gateway 地理位置 a User ID (HASH) User Category a a Country 交易信息 City Transaction Type Server Time a 在线交易 Amount 设备信息时间信息 OS & OS Version Language Cookie Browser info Device ID a Month, Week Day, Hour Frequency 任何参数的组合都可以使用 1 0 设备指纹在防欺诈中应用用户身份鉴别设备唯一性环境有效性用户行为建模识别用户场景区别例外情况实时规则过滤已知异常场景业务规则实时风险分析场景异常新场景生成设备指纹的信息分类硬件信息软件信息网络信息硬件ID（HardwareID）语言（Languages）无线MAC地址（WiFiMacAddress）手机号码（PhoneNumber）时间戳（TIMESTAMP）屏幕尺寸（ScreenSize） SIM_ID 多任务支持（MultitaskingSupported）操作系统ID（OS_ID）设备模式（DeviceModel）应用程序Key（ApplicationKey）设备名称（DeviceName） SDK版本（SDK Version）设备系统名称（DeviceSystemName）设备系统版本（DeviceSystemVersion）设备唯一性位置信息地理位置: 海拔高度（GeoLocation: Altitude）地理位置: 海拔高度准确度 CellTowerId （GeoLocation: Altitude Accuracy）本地区域代码（LocationAreaCode）地理位置: 前进方向（GeoLocation: Heading）移动国家代码（MCC）地理位置: 水平精确度（GeoLocation: HorizontalAccuracy）移动网码（MNC）地理位置: 纬度（GeoLocation: Latitude）无线网络数据：基本服务标识地理位置: 经度（GeoLocation: （WiFiNetworksData: BBSID） Longitude）无线网络数据：通道地理位置: 速度（GeoLocation: （WiFiNetworksData: Channel） Speed）无线网络数据: 信号强度地理位置: 状态（GeoLocation: （WiFiNetworksData: Status） SignalStrength）无线网络数据: 服务标识地理位置: 时间戳（GeoLocation: （WiFiNetworksData: SSID） Timestamp）无线网络数据: 站点名称（WiFiNetworksData: StationName）交易环境有效性设备指纹的唯一性分析 • 基本不发生变化 • 考虑哈希处理用户敏感信息 • 协助确认唯一用户身份 • 形成唯一化的用户标识硬件信息软件信息硬件ID（HardwareID）语言（Languages）手机号码（PhoneNumber）时间戳（TIMESTAMP）屏幕尺寸（ScreenSize） SIM_ID 多任务支持（MultitaskingSupported）操作系统ID（OS_ID）设备模式（DeviceModel）应用程序Key（ApplicationKey）设备名称（DeviceName） SDK版本（SDK Version）设备系统名称（DeviceSystemName）设备系统版本（DeviceSystemVersion） UID（用户唯一标识） • 可能发生变化 • 无需哈希处理 • 设备指纹辅助信息设备指纹在防欺诈中应用用户身份鉴别设备唯一性环境有效性用户行为建模识别用户场景区别例外情况实时规则过滤已知异常场景业务规则实时风险分析场景异常新场景生成用户行为建模方式输入数据源 • 用户唯一标识（UID） • 软件信息 • 网络和位置信息 • 交易信息建模算法 • 聚类算法 • Rock 算法简化版本输出方式 • 形成用户行为模型 • 对例外情况需要进行修正聚类分析（Cluster Analysis）聚类分析（Cluster Analysis）又称群分析 • 根据“物以类聚”的道理，对样品或指标进行分类的一种多元统计分析方法，它们讨论的对象是大量的样品，要求能合理地按各自的特性来进行合理的分类，没有任何模式可供参考或依循，即是在没有先验知识的情况下进行的。 • 随着人类科学技术的发展，对分类的要求越来越高，以致有时仅凭经验和专业知识难以确切地进行分类，于是人们逐渐地把数学工具引用到了分类学中，形成了数值分类学，之后又将多元分析的技术引入到数值分类学形成了聚类分析。聚类是将数据分类到不同的类或者簇这样的一个过程 • 同一个簇中的对象有很大的相似性，而不同簇间的对象有很大的相异性。聚类分析的目标就是在相似的基础上收集数据来分类。 • 聚类源于很多领域，包括数学，计算机科学，统计学，生物学和经济学。在不同的应用领域，很多聚类技术都得到了发展，这些技术方法被用作描述数据，衡量不同数据源间的相似性，以及把数据源分类到不同的簇中。用户行为分析图聚类算法产生的用户行为模式 1 7 设备指纹在防欺诈中应用用户身份鉴别设备唯一性环境有效性用户行为建模识别用户场景区别例外情况实时规则过滤已知异常场景业务规则实时风险分析场景异常新场景生成针对已经异常场景分析规则引擎网络信息位置信息无线MAC地址（WiFiMacAddress）地理位置: 海拔高度（GeoLocation: Altitude）地理位置: 海拔高度准确度 CellTowerId （GeoLocation: Altitude Accuracy）本地区域代码地理位置: 前进方向（LocationAreaCode）（GeoLocation: Heading）移动国家代码（MCC）地理位置: 水平精确度（GeoLocation: HorizontalAccuracy）移动网码（MNC）地理位置: 纬度（GeoLocation: Latitude）无线网络数据：基本服务标识地理位置: 经度（GeoLocation: （WiFiNetworksData: BBSID） Longitude）无线网络数据：通道地理位置: 速度（GeoLocation: （WiFiNetworksData: Channel） Speed）无线网络数据: 信号强度地理位置: 状态（GeoLocation: （WiFiNetworksData: Stat