2023國家網絡安全宣傳周丨新疆電信:基于數據分析提升
高危源IP識別能力
9月11日-17日是2023年國家網絡安全宣傳周,今年的主題為"網絡安全為人民,網絡安全靠人民"。國家網絡安全宣傳周期間,新疆互聯網協會在全區開展網絡安全成果案例征集展示活動。全面宣傳企業網絡安全領域成果和先進經驗,普及網絡安全知識,提升網絡安全意識,探索社會關切的網絡安全焦點問題解決途徑,科普防范知識,提高全民網絡安全意識和防護技能。
中國電信股份有限公司新疆分公司
基于數據分析提升高危源IP識別能力
近年來,網絡安全攻擊手段日新月異,部分安全攻擊行為未能在現有安全防護設備/系統上產生告警,導致未能及時阻斷此類安全威脅。常規安全防護系統大多采用誤用檢測,即基于特征的檢測,其缺點是攻擊信息的收集和更新存在一定滯后,難以發現新型的攻擊行為,維護特征庫的工作量較大。若攻擊方利用的是業務邏輯漏洞,則防護系統的技術策略無法全面有效防御這種類型的威脅。傳統識別邏輯漏洞方式是對業務系統進行人工滲透,對一個系統實施一次人工滲透需5-7天,人力成本較高這種方式,且對滲透人員技術水平要求高。為應對此類安全威脅,需從攻擊方攻擊行為進行分析識別,攻擊方在發起實際攻擊前,通常會先在其掌握的系統(資產)清單中挑選一些進行訪問或者全部訪問(這種訪問行為與正常訪問行為一樣,其目的僅為偵察),然后選擇其認為技術薄弱、安全性不佳的系統再進行進一步執行漏洞掃描或直接發起攻擊。攻擊方訪問的這些業務系統在業務上關聯性不大甚至并沒有關聯性。
基于此邏輯新疆電信制作了高危IP識別模型,若同一個源IP在一段時間內訪問非關聯性業務或業務關聯性不強的系統,那么其很有可能是一個具有惡意的IP。新疆電信根據業務系統用途或業務屬性對我方的全量業務系統進行數字標記,采集每個訪問IP階段時間內訪問的業務系統的數字標記形成集合,其標記數字所呈現的離散性與所訪問系統的非關聯性成正比。可在攻擊方進行偵察階段就能完成識別,及早發現攻擊源IP。
