从数据视角探索安全威胁.PDF

从数据视角探索安全威胁 阿里云安全工程师 / cdxy 0 whoami cdxy 数据分析 / 威胁感知 1 异常数据清洗 t n e t n 2 信息穿透模型 o C | 3 Nday感知 录 目 4 落地思考 Chapter 1 1 异常数据清洗 异常数据清洗的价值 云环境威胁感知现状 挑战 异常数据清洗价值 大量的弱点与日志 有限的存储 、计算资源 以不损失告警为前提 复杂模型 压缩数据量 异常基线B 业务场景复杂 通用性 、准确率要求高 理解业务特征 运营资源有限 提升告警置信度 异常基线A 威胁感知模型基础 代码类日志清洗——词法分析 参数类日志清洗——字符序列 /index.php?name=cdxy AAAA /index.php?name=ring04h AAAADDA /index.php?name=scriptalert(1)/script CAAAAAACAAAAACDCCCAAAAAAC Site: URI Path异常 URI Path: Key异常 Key: Value异常 Chapter 2 2 信息穿透模型 威胁检测产品能力对比 检测类产品待解问题 信息穿透模型 高误报 准确率99% 依赖规则 ，安全能力依赖长期规则运营 无规则模型 ，低运营成本 对无危害的PoC探针行为检测能力弱 探针行为预警 对未知漏洞检测能力弱 自动覆盖Nday 仅做入侵发现 发现+回溯 信息穿透模型 案例 ：RCE – DRUPAL /? q=user/password URI name[#type]=markup