以数据为中心的对抗CNCERT年会.pptxVIP

第1页/共31页三类信息安全核心技术基于风险管理思想的体系化方法和措施基于攻防技术的检测技术措施基于密码技术的认证加密等技术措施第一页，共32页。第2页/共31页本文讨论的对抗泛对抗本文所论对抗的范围第二页，共32页。以网络系统为主要目标一般一定要利用网络系统作为渠道和手段检测侦查和处置反击加解密对抗舆论对抗经济对抗人才竞争盟友战略…上面这些类型的对抗暂不讨论第3页/共31页检测与响应类技术的NG点第三页，共32页。第4页/共31页第四范式的科学方式PARADIGM第四页，共32页。第5页/共31页网络系统对抗的多视角第五页，共32页。网络对抗是多个IT系统群落的对抗。而看一个IT系统群落，可以有多种视角：如系统、操作、人、数据（数据体、数据语义、元数据）等等。近年的大数据热潮，提示我们多从数据视角看。第6页/共31页实体系统视角下，对抗的典型工作系统网络机构网络安全对抗系统漏洞和补丁系统配置网络结构梳理安全域边界整合广域大网安全对抗某类系统的漏洞和补丁僵尸网络网络互联结构新挑战移动设备BYODWiFiSDN第六页，共32页。第7页/共31页安全域是典型的局部网络视角网络就是空间第七页，共32页。第8页/共31页行为视角下，对抗的典型思路流的思想第八页，共32页。第9页/共31页业务流@网络结构服务平面和系统平面的交叠比如：系统平面中的路径，在服务平面中只是一个服务交锋面第九页，共32页。第10页/共31页当前行为视角对抗的误区和难点典型误区和难度行为的要素第十页，共32页。行为人动机空间时间、时序知识行为组不研究人的因素未知动机孤立空间位置短暂时间、孤立时间单一知识未考虑行为组合第11页/共31页威胁场景/威胁用例/广义威胁威胁的环境Environment：前提、假设、条件等威胁的来源Agent：包括攻击者、误用者、故障源、自然（灾害）等威胁的对象Object：攻击目标和破坏对象，也就是要被保护的对象威胁的内因——脆弱性Vulnerability：自身保护不当的地方威胁的过程Process威胁的途径Route：指威胁必须通过才能实现的一些部分。比如，要通过网络、要在物理上接近设备、要欺骗人等等。威胁的时序Sequence：威胁要实现所必经的步骤和顺序。与威胁的途径是一个从空间上，一个从时间上表达。也可以将这两个因素结合起来表达威胁的过程。威胁的结果——事件Event/Incident：威胁具体实现之后所造成的结果威胁的可能性：威胁产生结果变成事件的概率。威胁的影响范围：威胁产生结果后的影响大小。以及影响进一步扩散的特性。第十一页，共32页。第12页/共31页行为组视角：以业务为标签的梳理第十二页，共32页。标识和打分将所有的系统、操作、数据、人、人群、角色等等都标识上BBS标签可以对业务打分，上述对象可以进行相应的打分和计算，从而形成基于业务的量化分析和可视化展示梳理并形成业务分解结构(BBS—Biz Breakdown Structure)业务、服务、应用、功能、访问等等每个对象都依据用例思想来识别和定义为BBS中的每个对象编制ID第13页/共31页安全，从第一范式到第四范式渗透测试事件分析漏洞挖掘地址随机…检测引擎病毒特征漏洞特征攻击特征关联规则…预见未来源代码沙箱蜜罐标识检测…数据密度基于记忆数据浓缩…模拟攻击模拟被攻击…第十三页，共32页。第14页/共31页EDIF，DOSH数据、操作、系统、人FlowEntity人操作和服务Process数据系统InfrastructureData第十四页，共32页。第15页/共31页人和角色视角FlowEntity围绕人的检测和秩序将所有的系统、操作、数据等等对象都与人、人群、角色等挂钩特别适合机构内部的应用和业务审计需要关键管理手段和技术ID、标签人操作和服务Process数据系统InfrastructureData第十五页，共32页。第16页/共31页EDIF，DOSH数据、操作、系统、人FlowEntity人操作和服务Process数据系统InfrastructureData第十六页，共32页。第17页/共31页以实体数据和内容语义为中心的对抗Flow数据的两个层次上层数码实体中内涵的语义内容和价值底层以实体存在的数据数据的两个方面内容类知识类：这部分数据主要会影响和控制IT体系Entity人操作和服务Process数据系统InfrastructureData第十七页，共32页。第18页/共31页EDIF，DOSH数据、操作、系统、人FlowEntity人操作和服务Process数据系统InfrastructureData第十八页，共32页。第19页/共31页元数据视角的影子对抗FlowEntity一切的一切都会留下元数据对抗中首先要检测和发现对方。元数据检测是重要机会。面