思考困扰实践态度.PDF

全息安全 －互联网空间中的导弹防御系统 百度 云安全部 郝轶 思考 困扰 实践 态度 防护者的视角－塔防式的纵深防御 伊拉克战争－防护者视角 伊拉克战争－旁观者视角 • 单击此处添加文本 伊拉克战争－攻击者视角 战争五环 斩首行动 反导弹系统 思考 困扰 实践 态度 我们需要全息的安全感知 互联网空间中的全息安全 内网 ：APT攻击场景 互联网：非持续性攻击场景 入侵 全息安全 设备故障应急 基于静态规则的安全 思考 困扰 实践 态度 我们是如何规避困扰的 • 集群环境下，硬件故障影响小 • 自行开发，集中维护，维护容易 • 不涉及众多第三方系统 • 我们容易获得系统中的数据，不存 在用户不同意上传问题 数据分析 • 三岔路口？ • 机器学习？ • 攻击情报？ • 规则？ 数据分析 • 通过机器学习，发现异 常 • 人工标定，分析。产出 规则情报 • 规则情报反馈给分析系 统，产出更多信息 分析实践 • 发现绕过Web防火墙的攻击行为 • 提取攻击情报，提取扫描payload供扫描器 完善，提取恶意攻击IP供阻断 分析实践 • 分析维度 HTTP请求的各个角度 PATH, QUERY, UA, SESSION等 • 分析方法 基于统计，机器学习，对PATH ，QUERY ， SESSION等建立模型。包括参数分布，请求频 率，SESSION请求宽度，404比例等 Query模型 Path模型 • 图模型 通过referer ，构建页面访问图 找到图中的孤立点 对孤立点进行进一步判断 Session模型 实践效果 运行时间14年10月至今 日输入数据3T左右 产出异常十几兆 发现众多绕过WAF的webshell 增加waf规则10+条 完善waf规则10+条 发现很多有趣的payload ( ˇˍˇ ) 如何识别风险