基于 NIDS 构建纵深防御体系.pptx

;;

1.bypassWAF/FW的可能性(大包/绕过/0day/SSRF)

2.内向外的恶意行为(反弹shell/内鬼/边界存在漏洞的情况/CC通讯)3.多数为买来的WAF/WF,自主性,灵活性差

;

1.镜像负载均衡/核心交换流量

2.Packetbeat/Bro对流量进行DPI

3.用ES/Kibana进行存储展示(原始数据,告警数据),图数据使用ArangoDB4.主要有规则引擎/异常检测模块/资产模块组成

;

1.自主研发的好处:更加灵活

2.支持常规检测(正则/多模匹配等),支持频率检测(频率检测/自定义类型频率检测),支持外部函数(写外部函数/规则引擎调用,满足场景如:威胁情报),支持自定义告警方式/自定义联动方式等

;

1.某部门需要删除某临时表想得到实时反馈

2.添加临时规则,检测SQL语句,符合条件向相关人员发送邮件

;

1.某组件出现0day,无法及时升级版本修复有问题的组件

2.根据PoC编写临时规则,并联动WAF/FW进行封禁IP处理

;

1.规则引擎可以帮助我们快速的发现一些已知的安全问题,但是这足够么?

2.甲方安全人员相对较少,不可能全部精力放在编写规则上,如何自动的发现安全问题?

;

异常检测模块;

1.假设某公司仅有一个数据库,且仅有一个业务:登陆

2.那么对于数据库的操作应该仅有:

selectuidfromuserwhereuid=?andpwd=?

;

1.公司业务如上,仅有登陆操作

2.那么相关的HTTP请求(提交参数)应该也仅有一个:

;

1.SQL注入:

HTTP:uid从邮箱变成了包含其他多种符号的字符串

SQL:AST由selectuidfromuserwhereuid=?andpwd=?变成了selectuidfromuserwhereuid=?or?=?andpwd=?

2.脱裤:

出现了不常见的AST:select*fromuser

;

1.根据上面的思想:根据当前业务自动进行白名单的生成,以HTTP协议为例,

我们以接口为单位,生成接口-参数key-参数的白名单

2.白名单生成的算法目前我们使用多种无监督聚类算法和异常点检测算法实现

3.针对业务更新迭代专门做了优化和调整

;

1.Request请求包含参??,且ResponseCode不为4XX/5XX

2.进行Path分析(RequestPath中经常包含参数,如:/get/12345/name)

3.对RequestParams进行解析和Feature计算

4.保存Feature,进行机器学习计算,得到相关模型

5.定期更新模型

;

;

;

1.异常不等于攻击(某用户喜欢脸滚键盘,但不会一直滚)

2.面对富文本型接口误报/漏报高且难以调整

3.性能问题(但是通过白名单的数据不需要过规则引擎)

4.可解释性差

5.需要一定的数据量进行白名单模型的生成

;

1.可以和黑名单形成互补

2.不仅可以发现攻击行为,也可以帮助甲方梳理自己的业务

3.面对大多数攻击(除逻辑漏洞),漏报极低

;

1.国内某亿级用户的大型互联网公司

2.抽取线上流量进行测试

3.使用内部自研扫描器进行漏报检测

4.零漏报零误报

;

1.可以适用于多种协议

2.我们使用异常检测算法对ICMP隐秘通道检测的情况是零漏报

3.其他类似场景(可通过数据建立白名单的场景)

;

NIDS的资产模块;

1.实时梳理资产信息:端口,服务,版本

2.实时记录资产间关系:协议,频次,对于部分协议进行全量记录

3.按小时分片,帮助安全事件调查,溯源,分析

;

NIDS的资产模块;

NIDS的资产模块;

根据资产间通信和规则引擎,可以编写基于行为的规则,如:

1.X秒连接X个端口被RST视作端口扫描行为

2.WebServer通过高权限登陆数据库或SSH登陆其他任何主机视为异常3.主动连接外网服务器会进行威胁情报检测

等等

;

即使得到告警,我们信息也有限,我们需要获得更多的信息

1.联动CMDB,得到IP基本信息和业务信息,如PM/DBA/DevOps等2.联动FW,获得连接规则

3.联动Nginx配置文件,获得配置信息

4.联动FW白名单,避免误报

5.联动云管理端,获得云资产列表信息

等等

;

1.Packetbeat/Bro不支持的协议,加密的协议,场景:

·各种反