科來APT解決方案

APT攻擊的網(wǎng)絡解決方案檢測、追蹤、取證與防護大綱背景與需求分析

產(chǎn)品與關鍵技術(shù)案例分析關于我們12341、APT背景與需求分析高級持續(xù)性威脅（APT）：有組織、有明確目的、采用先進技術(shù)的復雜網(wǎng)絡攻擊Flame(2012)，NightDragon(2011)，Stuxnet(2010)，OperationAurora(2009)2011年3月17日，EMC公司宣布遭受APT攻擊，攻擊者已獲得其RSASecurID的一次性密碼（OTP）認證產(chǎn)品的有關信息APT攻擊逐漸盛行2013年3月20日，新韓銀行、農(nóng)協(xié)銀行等韓國金融機構(gòu)的信息系統(tǒng)遭到APT攻擊，信息系統(tǒng)癱瘓，服務幾近中斷攻擊策劃時間長達8個月，成功潛入韓國金融機構(gòu)1500次，共使用了76個定制的惡意軟件，受害計算機總數(shù)達48000臺，攻擊路徑涉及韓國25個地點、海外24個地點。對金融業(yè)的安全威脅1、APT背景與需求分析夾雜著各種目的的APT攻擊，2013年是最不平凡的一年斯諾登爆料稱美國政府入侵中國網(wǎng)絡多年棱鏡門牽出“上游”監(jiān)控項目利用WPS2012/20130day針對中國政府部門的定向攻擊3684個中國政府站點遭黑客入侵.cn根域名服務器遭遇有史最大的DDOS攻擊利用熱點的新型APT攻擊針對AdobeFlash漏洞的APT攻擊如家、錦江之星等酒店的用戶信息泄露梭子魚多個產(chǎn)品驚現(xiàn)SSH后門賬戶HPD2D/StorOnce備份服務器被爆發(fā)現(xiàn)后門DLink路由器固件后門騰達Tenda路由器后門黑客向NSA出售0day漏洞ApacheStruts2框架漏洞人民銀行慘遭國外礦工DDOS攻擊持續(xù)性同發(fā)性個人終端突破多攻擊向量社工0DAY社工跳板可信通道加密緩慢長期長期竊取戰(zhàn)略控制深度滲透1、APT背景與需求分析1、APT背景與需求分析APT攻擊的特點Advanced（復雜性）：采用高級攻擊技術(shù)，突破現(xiàn)有防御體系利用0Day漏洞、結(jié)合社交工程，向目標系統(tǒng)發(fā)起組合多種技術(shù)的攻擊Persistent（持久性）：躲過現(xiàn)有檢測技術(shù)，可長時間潛伏定制惡意軟件，通過變形、加密等技術(shù)逃避檢測，在目標系統(tǒng)內(nèi)部不斷擴散Threat（目的性）：具有明確的攻擊目的，造成巨大危害有針對性地收集和竊取高價值的數(shù)據(jù)，控制和破壞重要信息系統(tǒng)防火墻殺毒軟件IDSIPS安全網(wǎng)關AntiSpamWeb攻擊釣魚郵件惡意文件0Day流量加密1、APT背景與需求分析現(xiàn)有網(wǎng)絡安全防御體系面臨的挑戰(zhàn)安全網(wǎng)關基于IP、URL等黑白名單進行控制，無法檢測未知內(nèi)容入侵檢測基于攻擊特征檢測，誤報率高，容易被繞過殺毒軟件基于代碼指紋進行檢測，缺乏動態(tài)行為深度分析，無法識別未知惡意代碼反垃圾郵件基于IP、域名、內(nèi)容特征檢測，難以對抗結(jié)合社交工程的定向攻擊防火墻基于IP、端口進行攔截，缺乏對內(nèi)容的深度分析缺乏對未知攻擊的檢測能力缺乏對流量的深度分析能力1、APT背景與需求分析APT攻擊監(jiān)測的主要思路及挑戰(zhàn)原理：將分析樣本引入可控虛擬環(huán)境，動態(tài)解析或運行樣本，通過分析樣本的

動態(tài)處理過程，判斷樣本中是否包含惡意代碼。目的：解決APT攻擊中的0Day漏洞利用檢測等問題挑戰(zhàn)：1、惡意代碼的反制；2、全面的用戶環(huán)境模擬。

動態(tài)行為分析技術(shù)原理：對網(wǎng)絡中的正常行為模式建模，通過分析流量對于正常行為模式的偏離而識別網(wǎng)絡攻擊。目的：解決APT攻擊中的隱蔽傳輸與內(nèi)網(wǎng)探測檢測等問題挑戰(zhàn)：簡單準確的定義正常行為模式。

異常流量的檢測技術(shù)原理：在全流量存儲的條件下，回溯分析相關流量，對流量進行深層次的協(xié)議解析和應用還原，識別其中是否包含攻擊行為。目的：解決APT攻擊長期潛伏的發(fā)現(xiàn)與追溯問題挑戰(zhàn)：1、高性能的數(shù)據(jù)捕獲；2、快速回溯分析能力。

全流量回溯分析技術(shù)123大綱背景與需求分析產(chǎn)品與關鍵技術(shù)案例分析關于我們1234實時檢測威脅阻斷數(shù)據(jù)還原策略管理警報收集數(shù)據(jù)展現(xiàn)數(shù)據(jù)保存追蹤取證可疑文件動態(tài)分析行為分析2.1、APT檢測平臺簡介2.1、APT檢測平臺簡介分布式平臺面向APT攻擊的多維網(wǎng)絡監(jiān)測產(chǎn)品惡意文件分析系統(tǒng)多環(huán)境虛擬化分析引擎樣本文件動態(tài)行為實時分析反分析、反虛擬化對抗支持集群化部署C/S架構(gòu)高速流量數(shù)據(jù)采集引擎海量協(xié)議模糊識別快速流量會話重建實時數(shù)據(jù)分析上報支持分布式部署C/S架構(gòu)前端服務系統(tǒng)數(shù)據(jù)深度關聯(lián)分析引擎可疑流量識別安全事件智能分析產(chǎn)品集中管理配置前端服務器管理B/S架構(gòu)分析中心2.2、產(chǎn)品部署產(chǎn)品部署示意圖2.3、產(chǎn)品關鍵技術(shù)關鍵技術(shù)1：基于硬件模擬的虛擬化動態(tài)分析技術(shù)宿主操作系統(tǒng):LinuxV-CPUV-Mem其他V-Devices操作系統(tǒng)樣本文件虛擬化分析環(huán)境分析引擎分析結(jié)果硬件模擬器指令行為關聯(lián)樣本文件分析中心2.3、產(chǎn)品關鍵技術(shù)關鍵技術(shù)1：基于硬件模擬的虛擬化動態(tài)分析技術(shù)多協(xié)議流量監(jiān)測基于硬件模擬的虛擬執(zhí)行環(huán)境Email檢測電子郵件還原郵件附件檢測動態(tài)行為實時分析文件釋放檢測Shellcode檢測密碼保護檢測系統(tǒng)修改檢測網(wǎng)絡連接檢測數(shù)據(jù)傳輸檢測重啟分析檢測分析環(huán)境智能選取Web檢測HTTP文件還原Webmail檢測

文件檢測網(wǎng)絡文件共享FTP文件傳輸2.3、產(chǎn)品關鍵技術(shù)Sandboxie、影子系統(tǒng)等系統(tǒng)沙箱FireEye本項目產(chǎn)品VMWare、VirtualBox等虛擬軟件第一代第二代系統(tǒng)沙箱技術(shù)虛擬軟件技術(shù)硬件模擬技術(shù)動態(tài)分析的發(fā)展和方法對比第三代技術(shù)缺陷：需要其他分析工具輔助和具有可檢測的軟件特征技術(shù)缺陷：需要運行分析進程和驅(qū)動需要掛載SSDT等系統(tǒng)鉤子防檢測虛擬機系統(tǒng)完全純凈，不做修改防篡改從模擬硬件直接提取原始數(shù)據(jù)防穿透所有代碼經(jīng)過模擬器翻譯執(zhí)行防干擾數(shù)據(jù)提取與數(shù)據(jù)分析相互隔離XX關鍵技術(shù)2：基于行為異常的流量檢測技術(shù)2.3、產(chǎn)品關鍵技術(shù)協(xié)議模式根據(jù)通訊協(xié)議的規(guī)范，檢測發(fā)現(xiàn)非規(guī)范協(xié)議的通信流量檢測的異常行為：木馬私有控制協(xié)議；隱蔽信道；網(wǎng)絡狀態(tài)根據(jù)網(wǎng)絡運行狀態(tài)的歷史數(shù)據(jù)統(tǒng)計，形成正常行為輪廓，以此為基礎檢測異常檢測的異常行為：內(nèi)網(wǎng)探測；應用數(shù)據(jù)異常網(wǎng)絡行為根據(jù)業(yè)務應用特點定義正常行為輪廓，以此為基礎檢測異常檢測的異常行為：跳板攻擊；應用訪問異常關鍵技術(shù)3：全流量回溯分析技術(shù)2.3、產(chǎn)品關鍵技術(shù)基于索引的海量數(shù)據(jù)快速檢索自主設計的海量數(shù)據(jù)存儲結(jié)構(gòu)和預處理算法1TB數(shù)據(jù)的檢索時間低于3秒鐘多維度的網(wǎng)絡流量線索分析支持從時間、會話、協(xié)議、事件等不同維度進行網(wǎng)絡流量追蹤分析可根據(jù)發(fā)現(xiàn)的異常事件進行深度追蹤、溯源，快速確定潛在的威脅，全面評估事件的危害大綱背景與需求分析產(chǎn)品與關鍵技術(shù)案例分析關于我們1234背景：某社會科學研究院負責國家社會學科研究和政策研究的院所，國外情報機關對該機構(gòu)進行了長期的滲透攻擊。該研究院對此十分重視，部署了大量了防護設備。影響：發(fā)現(xiàn)臺灣、美國對該研究院已經(jīng)長期竊密，發(fā)現(xiàn)36臺重要的服務器和該機構(gòu)核心研究員個人主機被滲透，重要的國家社會情報信息和外交政策信息被竊取，造成重大的影響3.1、案例：某研究院被APT攻擊發(fā)現(xiàn)異常回溯取證業(yè)務庫可疑郵件警報；黑域名攔截記錄；賬號信息警報；可疑HTTP警報；分析攔截查看郵件內(nèi)容；查看附件分析；提取添加黑域名；查看攔截記錄；搜尋問題IP；下載原始數(shù)據(jù)包；分析木馬活動情況；提取數(shù)據(jù)流特征；樣本庫；特征庫；黑域名/黑IP庫；攻擊、竊密行為模型庫；3.2、案例：檢測、追蹤、取證與防護利用社會工程學偽裝的郵件3.2、APT案例分析：偽裝郵件將高危附件提取的黑域名添加到黑名單檢測到收件人點擊了附件而且被植入木馬

3.2、APT案例分析：追蹤攔截防護找到中馬機器，調(diào)取其發(fā)生竊密行為的時間的原始數(shù)據(jù)包，還原整個竊密過程，并審計整個竊密行為

3.2、APT案例分析：回溯取證利用賬號記錄和分析功能，發(fā)現(xiàn)境外IP獲得了該研究院的所有郵箱賬號信息

3.2、APT案例分析：帳號攻擊APT（高級持續(xù)性威脅）攻擊軟件漏洞+社會工程學+行為隱蔽以信息竊密為主攻擊十分普遍，產(chǎn)品部署點都幾乎都有發(fā)現(xiàn)傳統(tǒng)的安全設備無法防范，如入無人之境。

3.3、APT攻擊總結(jié)美國同樣也面臨APT攻擊美國已經(jīng)有非常成熟的防范手段同類產(chǎn)品fireeye（火眼），Macfee同類產(chǎn)品Mandiant利用“火眼”發(fā)現(xiàn)來自中國的APT攻擊，最終指向總參三部二局美國超過1000家政府單位和大型企業(yè)部署“火眼”我國目前大多依靠傳統(tǒng)的安全防護手段來發(fā)現(xiàn)APT攻擊，能力較弱我國在意識和現(xiàn)狀非?？皯n，大量的重要數(shù)據(jù)受到威脅

3.4、總結(jié)：中、美如何應對APT攻擊大綱背景與需求分析產(chǎn)品與關鍵技術(shù)案例分析關于我們12344.1、關于科來國家認定的高新技術(shù)企業(yè)和雙軟企業(yè)，在網(wǎng)絡協(xié)議分析等方面擁有多項核心技術(shù)和完全的自主知識產(chǎn)權(quán)產(chǎn)品。科來軟件的全球商用客戶超過5000家，遍布全球97個國家，85個世界500強企業(yè)客戶。2010年獲得網(wǎng)絡分析領軍企業(yè)獎；

2011年獲得“中國網(wǎng)絡分析行業(yè)最佳產(chǎn)品獎”；

2012年科來網(wǎng)絡分析系統(tǒng)獲“全球最佳科技產(chǎn)品獎”（PCMagazine）。成立于2003年4月，是一家專注于網(wǎng)絡安全和網(wǎng)絡分析技術(shù)和產(chǎn)品研發(fā)的高新技術(shù)企業(yè)。在網(wǎng)絡協(xié)議分析、特種木馬檢測與分析等技術(shù)方面有10多年的技術(shù)積累。4.2、生產(chǎn)基礎研發(fā)中心公司目前擁有2000平方米的研發(fā)中心，研發(fā)用設備100多臺。測試實驗室現(xiàn)有測試實驗室占地60平方米，配備了各類測試設備62臺。產(chǎn)品組裝線擁有專業(yè)產(chǎn)品組裝測試設備數(shù)十套，具備年產(chǎn)1000臺的設備組裝能力。4.3、客戶基礎科來在全球全球5000多商業(yè)客戶，87個世界500強用戶