當(dāng)前大部分網(wǎng)絡(luò)攻擊是針對(duì)Web應(yīng)用的,僅依靠傳統(tǒng)的防火墻與終端安全軟件已無法保護(hù)用戶免遭應(yīng)用層的威脅,加之現(xiàn)在企業(yè)的IT環(huán)境已逐步遷至云和Web端,更使得Web應(yīng)用脆弱不堪。
態(tài)勢(shì)感知之所以被喚起正是基于此原因,而態(tài)勢(shì)感知下的數(shù)據(jù)感知引擎能夠?qū)eb應(yīng)用數(shù)據(jù)進(jìn)行安全監(jiān)測(cè)、通報(bào)預(yù)警和追蹤溯源。
盛邦安全CEO權(quán)小文表示,這需要將人的網(wǎng)絡(luò)空間和現(xiàn)實(shí)空間的行為做一一對(duì)應(yīng),目的是便于追溯網(wǎng)絡(luò)空間中的違法行為。如果能將網(wǎng)絡(luò)中的行為基于IP地址轉(zhuǎn)化為基于人的行為畫像,便可對(duì)網(wǎng)絡(luò)中的違法行為進(jìn)行快速處置和調(diào)查。因此數(shù)據(jù)感知引擎就顯示出傳統(tǒng)安全設(shè)備無法比擬的優(yōu)勢(shì)。
感知引擎每天收集大量的數(shù)據(jù),數(shù)據(jù)來源于日志收集、分光數(shù)據(jù)、僵木蠕數(shù)據(jù)、安全情報(bào)、SOC和漏洞監(jiān)測(cè)。如何將這些數(shù)據(jù)有效利用起來,數(shù)據(jù)感知引擎就是將這些數(shù)據(jù)基于IP地址轉(zhuǎn)化為人員的畫像,從而做到快速響應(yīng)和追蹤溯源。
數(shù)據(jù)感知引擎包括了數(shù)據(jù)分光引擎和主動(dòng)監(jiān)控引擎。其中數(shù)據(jù)分光引擎整合了僵木蠕引擎與DDoS檢測(cè)引擎(僵木蠕引擎中即已包含了對(duì)Web的深度檢測(cè)),數(shù)據(jù)分光引擎將僵木蠕引擎與DDoS檢測(cè)引擎規(guī)整起來,按照1:1的比例抽樣逐包檢測(cè),保證了高精度;主動(dòng)監(jiān)控引擎即為現(xiàn)在盛邦安全建立的監(jiān)測(cè)預(yù)警平臺(tái),就是將Web漏洞、系統(tǒng)數(shù)據(jù)庫及木馬、暗鏈、釣魚等整合在一起建立的引擎。數(shù)據(jù)感知引擎將原來離散的檢測(cè)方式規(guī)整化,降低了成本和資源消耗的同時(shí),做到了對(duì)數(shù)據(jù)的精細(xì)化管理。
在DDoS檢測(cè)時(shí)最令人頭疼的莫過于噪音問題,而這些問題直接影響了檢測(cè)的精確度。傳統(tǒng)的DDoS檢測(cè)是針對(duì)IP在總體上設(shè)定某個(gè)固定閾值,當(dāng)超過該閾值時(shí)系統(tǒng)將會(huì)認(rèn)定為DDoS攻擊并報(bào)警。但很多時(shí)候有些正常訪問往往超過了該閾值,而該策略無法區(qū)分并報(bào)警,從而導(dǎo)致誤報(bào)。因此如何解決DDoS檢測(cè)過程中的誤報(bào)率是傳統(tǒng)DDoS檢測(cè)的難題。
盛邦安全采用的策略是對(duì)檢測(cè)流量中所有的IP地址,進(jìn)行自動(dòng)發(fā)現(xiàn)和跟蹤,并形成動(dòng)態(tài)畫像。由于形成的是針對(duì)每個(gè)IP地址的動(dòng)態(tài)基線而非傳統(tǒng)上的靜態(tài)整體閾值,當(dāng)超過該動(dòng)態(tài)基線時(shí)則將被判斷為DDoS攻擊行為,誤報(bào)問題能夠得到大幅改善。