网络空间被击溯源的威胁检测研究

我通过研究问题的形式,初步介绍网络空间威胁检中遇到的问题,引出追踪图的基本概念,最后介绍追踪图为什么想解决这些问题。没有网络安全就没有国家安全信息化时代开始,网络空间的触角逐渐扩展到我们生活的各个角落。从无现金支付到更全面的智能城市,从电话会议到功能全面的在线办公软件,包括阿里巴巴在内的大公司已经做了很多,网络空间和现实世界的边界逐渐模糊。但是,随着信息技术的发展,网络攻击威胁的不仅仅是虚拟世界,也是千千万人的日常生活。2010年,地震网络病毒爆发意识到网络攻击对现实世界的破坏能力。2013年,斯诺登事件使信息安全、隐私保护等概念再次进入所有人的视野。互联网世界进一步深化现实的2021年,网络安全准备好了吗?


网络空间威胁检测面临的一些研究问题。

研究问题是研究工作的基础,正确定义研究问题,是好的开始的一半,成功的四分之一。

RQ1.检测隐藏缓慢的高级持续威胁的困难:高级持续威胁(AdvancedPersistentThreat)多采用隐藏攻击的形式,在长时间内缓慢地渗透到目标系统,长期隐藏以达到攻击目的。由于其缓慢隐蔽的特性,传统的防御手段往往很难实施有效的监视。俗话说,如果我设置门槛太高,我会错过攻击。如果我设置门槛太低,我就没有空保护系统(太多误报)。RQ2.用什么样的数据在什么样的构造精度上表示威胁行为的问题:用什么样的方法表示威胁和攻击行为一直受到研究者的关注。不同的表达方式有其优缺点,难以做出绝对的判断,应根据场景进行不同的选择。例如,目前常用的威胁信息(IoC)使用非常简单的数据,包括恶意IP、恶意文件在内的Hash,几乎没有鲁棒性,但是是现实中常用的安全工具,有效地保护了很多系统的安全。其他常见的方法包括系统调用的序列、API调用树、代码动态执行图等。


一般来说,简单的结构意味着效率更高,但表达能力更差,误报的概率更高。复杂的结构,在表现力更好的同时,检查效率也受到影响。RQ3.如何设计检测算法权衡威胁检测的响应速度与检测精度矛盾:威胁检测系统的响应速度大大影响了该系统的应用场景和价值。响应速度越快,定位越快,阻止进一步攻击,尽量减少损失。但是,鱼和熊掌往往不能兼顾,效率高、响应速度快的速度往往比检测能力慢,收集数据更全面的系统。现有系统试图在响应速度和检测精度之间找到有效的平衡点。RQ4.如何设计存储系统来衡量存储空间和查询效率之间的矛盾:如前所述,高级持续威胁通常是lowandslow,攻击周期可能长达数十天。另外,为了保护系统的安全,日志系统需要长期保存日志,分析事后的科学调查。因此,系统有很强的存储日志需求。对于大公司来说,可能认为PB级的存储和百万美元的费用。因此,日志存储系统的设计和目标数据压缩算法也是必不可少的。


威胁检查是一个复杂的系统问题,存在的研究问题决不仅仅是这么多。我只能抛砖引玉给个例子,希望大家能给个自己的建议。本文包括本系列后续文章主要以这四个问题为中心进行讨论。

分享: