信誉之路沙箱分析技术-Huawei.PDF

面向大数据分析的安全信誉体系 演讲人: 钱晓斌/alan.qian@ 职位: 华为企业网络产品线安全架构师 目录 1 APT挑战安全的极限 2 为什么大数据 3 信誉为体，安全为用 4 大数据信誉计算的展望 APT挑战安全的极限 其他 传统 情报机构 脚本小子 电子 间谍 常规 已知 恶意 手段 手段 威胁 漏洞 网站 民间组织 传统黑客 网络团体 潜在 威胁 攻击 入侵 职业黑客 攻击者 攻击者 APT 入口 点 点 ΞThe Cruise Missile of APT Anonymous 有组织犯罪 其他 定制化 新型 未知 竞争对手 犯罪软件 手段 攻击工具 攻击手段 漏洞 如ZeuS或Spyeye 道高一尺，魔高一丈。 APT （Advanced Persistent Threat ）正在挑战安全的极限。 APT挑战安全的极限 玩法为什么变了？ 传统防御体系中的脆弱点 防御系统 弱点 风险 FW 大量攻击都是通过合法的访问控制策略进出，mail与web是两大入口 对APT攻击无能为力 IPS - 特征库只能覆盖当前已知漏洞或弱点列表的子集，大量黑市0day漏洞无法覆 给APT攻击留出非常多的机 盖 会。 - 180种以上逃避检测手法，从URL变形到大量的编码相关变形，全面覆盖的成 针对bypass ，只要攻击持续 本非常高 发生，就有机会渗入 - 安全产品在某些特殊场景下，会启用bypass策略，特定时间窗内会透传流量 主机AV - 功能使用不当； 未知病毒无法检测，容易被 - 特征库更新不及时； 绕过 - 检测最新3天的病毒样本检测率在30-40% 主机IPS 并不比IPS与主机AV高明 未知攻击无法检测，容易被 绕过 审计系统 依赖于安全系统的输出，自身无增强功能；对于伪装进程检测能力弱 容易被欺骗 DLP 功能很不完善，各家产品有自己