智能检测与响应系统实践.pptxVIP

智能检测与响应系统实践兜哥@百度个人简介团队简介：为百度系以及企业客户提供BAT级防护?我们的挑战：业务复杂作为中国最大的互联网公司之一，百度是体量庞大、业务线最为复杂的互联网公司。安全运维的复杂度相当大。业务体量庞大服务器数是传统量级的200+倍业务规模是传统行业量级的百倍百度日搜索量50亿次+全球TOP100的APP中，百度系占6个，百度系用户数上亿的APP 14个业务线纷繁复杂业务线复杂，覆盖搜索、无人车、金融、地图、APP分发、O2O、社区等众多业务?我们的挑战：树大招风作为全球最大的中文搜索引擎，百度一直是黑产紧盯的目标，因此安全形势也非常严峻。1）百度每年的安全漏洞在千级别，高危漏洞占20%；2）每天受到上亿次黑客攻击；3）平均每个产品线有4-5个黑产组织紧盯；4）有组织的APT攻击，平均每周拦截钓鱼邮件约1.76万封；?百度的安全建设之路：不得不做大力投入安全建设，不仅是合规驱动，更是保护自己大力投入安全研究，不是无痛呻吟，是面对的黑产几乎具备代差的攻击能力?百度WEB防护的发展历程单点防护：各自为战 形式上统一纵深防御：多点设防 协同联动 智能防护：数据驱动 检测响应智能防护:低调中的演进 润物细无声数据源：纵向全IT协议栈数据数据源：横向关联云端大数据检测方式检测方式：语义沙箱文本层面用正则表达式检测SQL注入、XSS犹如用人的语言理解鸟语，误报漏报难以避免检测方式：语义沙箱单向语义沙箱本质上是识别符合SQL/PHP/JAVA/JS语法的代码片段检测方式：语义沙箱双向语义沙箱检测的本质是同时观测请求内容是否包含语法片段以及应答内容是否匹配检测方式：语义沙箱四叶草i春秋 CTF攻防赛开放合作，近期将以SaaS形式逐步对外开放能力检测方式：关联分析单一数据源分析 容易盲人摸象 过于片面多数据源关联分析 可以提升准确度关联分析本身不是新技术 过去数据处理能力有限 不敢关联的现在都可以尝试去做检测方式：关联分析以webshell检测为例单纯分析文件，如果重要攻击载荷在请求中将难以识准确别单纯分析流量，加密以及编码的流量难以准确识别检测方式：关联分析检测方式：机器学习威胁情报落地以白找黑 VS 以黑找黑检测方式：机器学习威胁情报落地以白找黑：异常识别检测方式：机器学习威胁情报落地以白找黑：异常识别检测方式：机器学习威胁情报落地检测方式：机器学习威胁情报落地通过SVM、RNN等算法，结合云端黑样本以及海量数据，以黑找黑检测方式：机器学习威胁情报落地检测方式：机器学习威胁情报落地线下问题讨论：欢迎关注我的公众号THANK YOU