云端威胁的智能化监测与防护 孙震 Ixia China 应用和安全业务发展总监 AGENDA  全网络流量可视化和分析  基于云端的恶意IP拦截技术  LAB环境里再现真实世界流量 全网络流量可视化和分析 企业网全环境可视化系统 Cloud Lens MGR. Network Operations Application Operations Security Admin Forensics Vision：一个平台完成物理／虚拟／云 全环境的流量可视化和智能监测 全环境可视化的统一实时流量分析系统－ATIP 精细化追踪 IP地址归宿分类／记录 特定信息的详细深入分析 各层次数据统计 问题1:分析加密数据 Encrypted Traffic ATIP Decrypt Clear Traffic 搜索／查找 归类／存储 ATIP Analysis 问题2:用户隐私保护 Source Data SSN: 123-45-6789 Credit Card: 1234 567890 12345 Name: John Smith Birthday: 03/19/1963 ATIP Data SSN: XXX-XX-XXXX Credit Card: XXXX XXXXXX XXXXX Name: XXXX XXXXX Birthday: XX/XX/XXXX DATA Masking 基于云端的恶意IP拦截技术 “企业每年 21,000 小时被用于处理误报的安全报警” Ponemon Institute，2015 年 如何让昂贵的网络防御架构，忽略各种 网络“噪音”，最大限度的提高利用率去发 现关键的安全问题！？ 互联网流量的细分 互联网 每个网络上都有两类流量 值得分析的流量 无关地区 值得分析： 可能有价值的流量 未登记的 IPs 不值得分析： 已知恶意软件网站 被劫持IP 您的网络 被劫持 未登记的 IPs 无关的地区 恶意 在现有安全架构上部署ThreatArmor减少受攻击面 5分钟一次恶意IP库更新 可以消除 30% 的误报，让 企业每年节约 6,300 小时; 节约30万美金运营费用 企业内网 Internet 安全防御架构 未注册的IP 被劫持的IP 已知Malicious IP 无关地区的IP 基于云的恶意IP监控系统 恶意IP识别不处理流程 1. 2. 3. 4. 5. 6. Source Feeds Internet Scanning Honeypots SPAM Binaries Sandboxes …... Analysis Whitelist DB Check BAD BAD RapSheet Database Re-check Daily AV Detection Sandbox Execution Phishing Engine Ixia Signatures 数据来源和处理 • • Source Feeds 开源，付费，合作 Internet Scanning 7×24小时识别病毒和漏洞 • Honeypots SSH, FTP, RDP, VoIP, HTTP等服务 • • • 进入系统前会逐个进行再验证和确认 7×24小时扫描，病毒网站直接入库，有漏洞 网站进入特殊序列以做再扫描 全球部署，ixia定制蜜罐，记录试图连接者， 以做近一步检查 SPAM 钓鱼网站探测，自学习引擎，人工确认 Binaries Analysis 确认一个Site是否有恶意行为的最后关键一 步； AV引擎，静态对比, 机器学习, 沙箱 … 内部收集，付费信息… 已知malware，第三方APP Stores… Sandboxes Malware意图连接目的地址检查… 带有ixia特征库的沙箱 恶意IP确认机制 1. 100% 确认 2. 完整清晰的证据 3. 以行为为依据，丌做道德等其它判断 4. 周期性复查 5. 被修复IP从库移除，但被永久保存监控 …... 白名单机制 • Alexa/Quantcast 排名前10,000的网站 如: Facebook, Google, YouTube, etc. • 云服务提供商: 如：Amazon AWS, Microsoft Azure, Salesforce, etc. • 关键的互联网基础设施： 如：Root DNS servers, NTP servers, etc. • 企业的IT应用 (来自于客户)： 如：Office 365, AV/OS update, CDN, 恶意IP类型 一个例子：0day变种病毒的发现 1. 一个Office宏文件 2. 宏文件下载了一个Locky病毒的变种 3. 这个变种病毒试图链接服务器： 79.170.44.88 4. 这个IP因为有恶意行为记录，已经被监视了…... 5. 根据恶意IP阻断这个链接，而丌是根据病毒特征 Detail： https://www.ixiacom.com/company/blog/ixia’sati-research-center-protects-customers-another-zeroday-ransomware LAB环境里再现真实世界流量 过去 • 网络数据抓包存储＋高速网卡发送 • 昂贵，无状态，丌可测量，丌可控