科來(lái)APT解決方案

APT攻擊的網(wǎng)絡(luò)解決方案檢測(cè)、追蹤、取證與防護(hù)大綱背景與需求分析

產(chǎn)品與關(guān)鍵技術(shù)案例分析關(guān)于我們12341、APT背景與需求分析高級(jí)持續(xù)性威脅（APT）：有組織、有明確目的、采用先進(jìn)技術(shù)的復(fù)雜網(wǎng)絡(luò)攻擊Flame(2012)，NightDragon(2011)，Stuxnet(2010)，OperationAurora(2009)2011年3月17日，EMC公司宣布遭受APT攻擊，攻擊者已獲得其RSASecurID的一次性密碼（OTP）認(rèn)證產(chǎn)品的有關(guān)信息APT攻擊逐漸盛行2013年3月20日，新韓銀行、農(nóng)協(xié)銀行等韓國(guó)金融機(jī)構(gòu)的信息系統(tǒng)遭到APT攻擊，信息系統(tǒng)癱瘓，服務(wù)幾近中斷攻擊策劃時(shí)間長(zhǎng)達(dá)8個(gè)月，成功潛入韓國(guó)金融機(jī)構(gòu)1500次，共使用了76個(gè)定制的惡意軟件，受害計(jì)算機(jī)總數(shù)達(dá)48000臺(tái)，攻擊路徑涉及韓國(guó)25個(gè)地點(diǎn)、海外24個(gè)地點(diǎn)。對(duì)金融業(yè)的安全威脅1、APT背景與需求分析夾雜著各種目的的APT攻擊，2013年是最不平凡的一年斯諾登爆料稱美國(guó)政府入侵中國(guó)網(wǎng)絡(luò)多年棱鏡門牽出“上游”監(jiān)控項(xiàng)目利用WPS2012/20130day針對(duì)中國(guó)政府部門的定向攻擊3684個(gè)中國(guó)政府站點(diǎn)遭黑客入侵.cn根域名服務(wù)器遭遇有史最大的DDOS攻擊利用熱點(diǎn)的新型APT攻擊針對(duì)AdobeFlash漏洞的APT攻擊如家、錦江之星等酒店的用戶信息泄露梭子魚多個(gè)產(chǎn)品驚現(xiàn)SSH后門賬戶HPD2D/StorOnce備份服務(wù)器被爆發(fā)現(xiàn)后門DLink路由器固件后門騰達(dá)Tenda路由器后門黑客向NSA出售0day漏洞ApacheStruts2框架漏洞人民銀行慘遭國(guó)外礦工DDOS攻擊持續(xù)性同發(fā)性個(gè)人終端突破多攻擊向量社工0DAY社工跳板可信通道加密緩慢長(zhǎng)期長(zhǎng)期竊取戰(zhàn)略控制深度滲透1、APT背景與需求分析1、APT背景與需求分析APT攻擊的特點(diǎn)Advanced（復(fù)雜性）：采用高級(jí)攻擊技術(shù)，突破現(xiàn)有防御體系利用0Day漏洞、結(jié)合社交工程，向目標(biāo)系統(tǒng)發(fā)起組合多種技術(shù)的攻擊Persistent（持久性）：躲過(guò)現(xiàn)有檢測(cè)技術(shù)，可長(zhǎng)時(shí)間潛伏定制惡意軟件，通過(guò)變形、加密等技術(shù)逃避檢測(cè)，在目標(biāo)系統(tǒng)內(nèi)部不斷擴(kuò)散Threat（目的性）：具有明確的攻擊目的，造成巨大危害有針對(duì)性地收集和竊取高價(jià)值的數(shù)據(jù)，控制和破壞重要信息系統(tǒng)防火墻殺毒軟件IDSIPS安全網(wǎng)關(guān)AntiSpamWeb攻擊釣魚郵件惡意文件0Day流量加密1、APT背景與需求分析現(xiàn)有網(wǎng)絡(luò)安全防御體系面臨的挑戰(zhàn)安全網(wǎng)關(guān)基于IP、URL等黑白名單進(jìn)行控制，無(wú)法檢測(cè)未知內(nèi)容入侵檢測(cè)基于攻擊特征檢測(cè)，誤報(bào)率高，容易被繞過(guò)殺毒軟件基于代碼指紋進(jìn)行檢測(cè)，缺乏動(dòng)態(tài)行為深度分析，無(wú)法識(shí)別未知惡意代碼反垃圾郵件基于IP、域名、內(nèi)容特征檢測(cè)，難以對(duì)抗結(jié)合社交工程的定向攻擊防火墻基于IP、端口進(jìn)行攔截，缺乏對(duì)內(nèi)容的深度分析缺乏對(duì)未知攻擊的檢測(cè)能力缺乏對(duì)流量的深度分析能力1、APT背景與需求分析APT攻擊監(jiān)測(cè)的主要思路及挑戰(zhàn)原理：將分析樣本引入可控虛擬環(huán)境，動(dòng)態(tài)解析或運(yùn)行樣本，通過(guò)分析樣本的

動(dòng)態(tài)處理過(guò)程，判斷樣本中是否包含惡意代碼。目的：解決APT攻擊中的0Day漏洞利用檢測(cè)等問(wèn)題挑戰(zhàn)：1、惡意代碼的反制；2、全面的用戶環(huán)境模擬。

動(dòng)態(tài)行為分析技術(shù)原理：對(duì)網(wǎng)絡(luò)中的正常行為模式建模，通過(guò)分析流量對(duì)于正常行為模式的偏離而識(shí)別網(wǎng)絡(luò)攻擊。目的：解決APT攻擊中的隱蔽傳輸與內(nèi)網(wǎng)探測(cè)檢測(cè)等問(wèn)題挑戰(zhàn)：簡(jiǎn)單準(zhǔn)確的定義正常行為模式。

異常流量的檢測(cè)技術(shù)原理：在全流量存儲(chǔ)的條件下，回溯分析相關(guān)流量，對(duì)流量進(jìn)行深層次的協(xié)議解析和應(yīng)用還原，識(shí)別其中是否包含攻擊行為。目的：解決APT攻擊長(zhǎng)期潛伏的發(fā)現(xiàn)與追溯問(wèn)題挑戰(zhàn)：1、高性能的數(shù)據(jù)捕獲；2、快速回溯分析能力。

全流量回溯分析技術(shù)123大綱背景與需求分析產(chǎn)品與關(guān)鍵技術(shù)案例分析關(guān)于我們1234實(shí)時(shí)檢測(cè)威脅阻斷數(shù)據(jù)還原策略管理警報(bào)收集數(shù)據(jù)展現(xiàn)數(shù)據(jù)保存追蹤取證可疑文件動(dòng)態(tài)分析行為分析2.1、APT檢測(cè)平臺(tái)簡(jiǎn)介2.1、APT檢測(cè)平臺(tái)簡(jiǎn)介分布式平臺(tái)面向APT攻擊的多維網(wǎng)絡(luò)監(jiān)測(cè)產(chǎn)品惡意文件分析系統(tǒng)多環(huán)境虛擬化分析引擎樣本文件動(dòng)態(tài)行為實(shí)時(shí)分析反分析、反虛擬化對(duì)抗支持集群化部署C/S架構(gòu)高速流量數(shù)據(jù)采集引擎海量協(xié)議模糊識(shí)別快速流量會(huì)話重建實(shí)時(shí)數(shù)據(jù)分析上報(bào)支持分布式部署C/S架構(gòu)前端服務(wù)系統(tǒng)數(shù)據(jù)深度關(guān)聯(lián)分析引擎可疑流量識(shí)別安全事件智能分析產(chǎn)品集中管理配置前端服務(wù)器管理B/S架構(gòu)分析中心2.2、產(chǎn)品部署產(chǎn)品部署示意圖2.3、產(chǎn)品關(guān)鍵技術(shù)關(guān)鍵技術(shù)1：基于硬件模擬的虛擬化動(dòng)態(tài)分析技術(shù)宿主操作系統(tǒng):LinuxV-CPUV-Mem其他V-Devices操作系統(tǒng)樣本文件虛擬化分析環(huán)境分析引擎分析結(jié)果硬件模擬器指令行為關(guān)聯(lián)樣本文件分析中心2.3、產(chǎn)品關(guān)鍵技術(shù)關(guān)鍵技術(shù)1：基于硬件模擬的虛擬化動(dòng)態(tài)分析技術(shù)多協(xié)議流量監(jiān)測(cè)基于硬件模擬的虛擬執(zhí)行環(huán)境Email檢測(cè)電子郵件還原郵件附件檢測(cè)動(dòng)態(tài)行為實(shí)時(shí)分析文件釋放檢測(cè)Shellcode檢測(cè)密碼保護(hù)檢測(cè)系統(tǒng)修改檢測(cè)網(wǎng)絡(luò)連接檢測(cè)數(shù)據(jù)傳輸檢測(cè)重啟分析檢測(cè)分析環(huán)境智能選取Web檢測(cè)HTTP文件還原Webmail檢測(cè)

文件檢測(cè)網(wǎng)絡(luò)文件共享FTP文件傳輸2.3、產(chǎn)品關(guān)鍵技術(shù)Sandboxie、影子系統(tǒng)等系統(tǒng)沙箱FireEye本項(xiàng)目產(chǎn)品VMWare、VirtualBox等虛擬軟件第一代第二代系統(tǒng)沙箱技術(shù)虛擬軟件技術(shù)硬件模擬技術(shù)動(dòng)態(tài)分析的發(fā)展和方法對(duì)比第三代技術(shù)缺陷：需要其他分析工具輔助和具有可檢測(cè)的軟件特征技術(shù)缺陷：需要運(yùn)行分析進(jìn)程和驅(qū)動(dòng)需要掛載SSDT等系統(tǒng)鉤子防檢測(cè)虛擬機(jī)系統(tǒng)完全純凈，不做修改防篡改從模擬硬件直接提取原始數(shù)據(jù)防穿透所有代碼經(jīng)過(guò)模擬器翻譯執(zhí)行防干擾數(shù)據(jù)提取與數(shù)據(jù)分析相互隔離XX關(guān)鍵技術(shù)2：基于行為異常的流量檢測(cè)技術(shù)2.3、產(chǎn)品關(guān)鍵技術(shù)協(xié)議模式根據(jù)通訊協(xié)議的規(guī)范，檢測(cè)發(fā)現(xiàn)非規(guī)范協(xié)議的通信流量檢測(cè)的異常行為：木馬私有控制協(xié)議；隱蔽信道；網(wǎng)絡(luò)狀態(tài)根據(jù)網(wǎng)絡(luò)運(yùn)行狀態(tài)的歷史數(shù)據(jù)統(tǒng)計(jì)，形成正常行為輪廓，以此為基礎(chǔ)檢測(cè)異常檢測(cè)的異常行為：內(nèi)網(wǎng)探測(cè)；應(yīng)用數(shù)據(jù)異常網(wǎng)絡(luò)行為根據(jù)業(yè)務(wù)應(yīng)用特點(diǎn)定義正常行為輪廓，以此為基礎(chǔ)檢測(cè)異常檢測(cè)的異常行為：跳板攻擊；應(yīng)用訪問(wèn)異常關(guān)鍵技術(shù)3：全流量回溯分析技術(shù)2.3、產(chǎn)品關(guān)鍵技術(shù)基于索引的海量數(shù)據(jù)快速檢索自主設(shè)計(jì)的海量數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)和預(yù)處理算法1TB數(shù)據(jù)的檢索時(shí)間低于3秒鐘多維度的網(wǎng)絡(luò)流量線索分析支持從時(shí)間、會(huì)話、協(xié)議、事件等不同維度進(jìn)行網(wǎng)絡(luò)流量追蹤分析可根據(jù)發(fā)現(xiàn)的異常事件進(jìn)行深度追蹤、溯源，快速確定潛在的威脅，全面評(píng)估事件的危害大綱背景與需求分析產(chǎn)品與關(guān)鍵技術(shù)案例分析關(guān)于我們1234背景：某社會(huì)科學(xué)研究院負(fù)責(zé)國(guó)家社會(huì)學(xué)科研究和政策研究的院所，國(guó)外情報(bào)機(jī)關(guān)對(duì)該機(jī)構(gòu)進(jìn)行了長(zhǎng)期的滲透攻擊。該研究院對(duì)此十分重視，部署了大量了防護(hù)設(shè)備。影響：發(fā)現(xiàn)臺(tái)灣、美國(guó)對(duì)該研究院已經(jīng)長(zhǎng)期竊密，發(fā)現(xiàn)36臺(tái)重要的服務(wù)器和該機(jī)構(gòu)核心研究員個(gè)人主機(jī)被滲透，重要的國(guó)家社會(huì)情報(bào)信息和外交政策信息被竊取，造成重大的影響3.1、案例：某研究院被APT攻擊發(fā)現(xiàn)異?；厮萑∽C業(yè)務(wù)庫(kù)可疑郵件警報(bào)；黑域名攔截記錄；賬號(hào)信息警報(bào)；可疑HTTP警報(bào)；分析攔截查看郵件內(nèi)容；查看附件分析；提取添加黑域名；查看攔截記錄；搜尋問(wèn)題IP；下載原始數(shù)據(jù)包；分析木馬活動(dòng)情況；提取數(shù)據(jù)流特征；樣本庫(kù)；特征庫(kù)；黑域名/黑IP庫(kù)；攻擊、竊密行為模型庫(kù)；3.2、案例：檢測(cè)、追蹤、取證與防護(hù)利用社會(huì)工程學(xué)偽裝的郵件3.2、APT案例分析：偽裝郵件將高危附件提取的黑域名添加到黑名單檢測(cè)到收件人點(diǎn)擊了附件而且被植入木馬

3.2、APT案例分析：追蹤攔截防護(hù)找到中馬機(jī)器，調(diào)取其發(fā)生竊密行為的時(shí)間的原始數(shù)據(jù)包，還原整個(gè)竊密過(guò)程，并審計(jì)整個(gè)竊密行為

3.2、APT案例分析：回溯取證利用賬號(hào)記錄和分析功能，發(fā)現(xiàn)境外IP獲得了該研究院的所有郵箱賬號(hào)信息

3.2、APT案例分析：帳號(hào)攻擊APT（高級(jí)持續(xù)性威脅）攻擊軟件漏洞+社會(huì)工程學(xué)+行為隱蔽以信息竊密為主攻擊十分普遍，產(chǎn)品部署點(diǎn)都幾乎都有發(fā)現(xiàn)傳統(tǒng)的安全設(shè)備無(wú)法防范，如入無(wú)人之境。

3.3、APT攻擊總結(jié)美國(guó)同樣也面臨APT攻擊美國(guó)已經(jīng)有非常成熟的防范手段同類產(chǎn)品fireeye（火眼），Macfee同類產(chǎn)品Mandiant利用“火眼”發(fā)現(xiàn)來(lái)自中國(guó)的APT攻擊，最終指向總參三部二局美國(guó)超過(guò)1000家政府單位和大型企業(yè)部署“火眼”我國(guó)目前大多依靠傳統(tǒng)的安全防護(hù)手段來(lái)發(fā)現(xiàn)APT攻擊，能力較弱我國(guó)在意識(shí)和現(xiàn)狀非?？皯n，大量的重要數(shù)據(jù)受到威脅

3.4、總結(jié)：中、美如何應(yīng)對(duì)APT攻擊大綱背景與需求分析產(chǎn)品與關(guān)鍵技術(shù)案例分析關(guān)于我們12344.1、關(guān)于科來(lái)國(guó)家認(rèn)定的高新技術(shù)企業(yè)和雙軟企業(yè)，在網(wǎng)絡(luò)協(xié)議分析等方面擁有多項(xiàng)核心技術(shù)和完全的自主知識(shí)產(chǎn)權(quán)產(chǎn)品?？苼?lái)軟件的全球商用客戶超過(guò)5000家，遍布全球97個(gè)國(guó)家，85個(gè)世界500強(qiáng)企業(yè)客戶。2010年獲得網(wǎng)絡(luò)分析領(lǐng)軍企業(yè)獎(jiǎng)；

2011年獲得“中國(guó)網(wǎng)絡(luò)分析行業(yè)最佳產(chǎn)品獎(jiǎng)”；

2012年科來(lái)網(wǎng)絡(luò)分析系統(tǒng)獲“全球最佳科技產(chǎn)品獎(jiǎng)”（PCMagazine）。成立于2003年4月，是一家專注于網(wǎng)絡(luò)安全和網(wǎng)絡(luò)分析技術(shù)和產(chǎn)品研發(fā)的高新技術(shù)企業(yè)。在網(wǎng)絡(luò)協(xié)議分析、特種木馬檢測(cè)與分析等技術(shù)方面有10多年的技術(shù)積累。4.2、生產(chǎn)基礎(chǔ)研發(fā)中心公司目前擁有2000平方米的研發(fā)中心，研發(fā)用設(shè)備100多臺(tái)。測(cè)試實(shí)驗(yàn)室現(xiàn)有測(cè)試實(shí)驗(yàn)室占地60平方米，配備了各類測(cè)試設(shè)備62臺(tái)。產(chǎn)品組裝線擁有專業(yè)產(chǎn)品組裝測(cè)試設(shè)備數(shù)十套，具備年產(chǎn)1000臺(tái)的設(shè)備組裝能力。4.3、客戶基礎(chǔ)科來(lái)在全球全球5000多商業(yè)客戶，87個(gè)世界500強(qiáng)用戶