cloud-ids：智能web 入侵检测与威胁感知.pdf

智能web入侵检测与威胁感知 自我介绍 • 10年大型互联网公司甲方安全建设经验 • 百度安全大数据产品线+数据增值业务产品线负 责人 • 拥有多项信息安全专利 • 国内外学术期刊会议发表多篇文章 甲方安全困惑 • 我们购买、自建了大量安全产品 ，但是安全事件 还是不期而至 • 每次安全事件总结时，总是可以在海量日志中找 到蛛丝马迹,但是我们就是没法从中挖掘出攻击， 主动发现 Why ？ 二维的视角-传统的盒子 二维的视角-传统的盒子 我们企图用二维视角理解三维的世界 需要立体的看问题 路由器 资产 防火墙 交换机 服务器 身份 中间件 客户端 扫描 1:00 2:00 3:00 4:00 5:00 6:00 7:00 入侵 时间 后门 挂马 行为 功能图谱 平台架构 Webshell检测 • 黑客整个攻击过程中通常会通过植入webshell来 长期控制机器，进一步渗透 • 黑客入侵的路径和方法很多，但是最终控制服务 器的方法（callback ）相对有限 • 整个检测的核心是对webshell的检测，通过 webshell的检测回溯整个沦陷过程 • 类比APT检测的核心就是恶意文件的检测 Webshell检测思路-上传环节 • 通过流量还原出上传的可疑文件，通常包括 php、jsp 、asp脚本、jpg 等图片文件以及后缀 异常的文件(比如cao.asp ；1.jpg）等 威胁情报–黑客常用webshell工具 可疑文件 精准的文本特征 sandbox Webshell-威胁情报 • 百度系百万级服务器 • 百度云加速+安全宝服务五十万站点+企业 客户 • Fireeye、vt 、微步等主流情报安全厂商信息 交换 • 恶意文件md5数百万，去重有效样本数万 Webshell-精准文本特征 Webshell-精准文本特征 • 典型的检测规则（举例，不是线上规则） Webshell-sandbox • Sandbox的本质是在虚拟环境中真实的运行 ，以php为例，在虚拟的php环境中运行php 文件，根据行为判断是否为webshell • 需要重点关注的行为： 1.文件系统操作，w/r/d/c 2. 网络操作,域名请求、网络连接 3. 系统调用，system，exec等 4. 代码调用，eval等 5.对环境变量的使用，$_POST,$_GET Webshell-sandbox 特征举例:执行的php代码$_POST变量可控