🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
查看原文
其他

等保2.0下,入侵防范技术大起底

李飞 威努特工控安全 2021-07-06

1等保2.0关于入侵防范的规定

等保2.0标准在2019年5月正式发布,将于2019年12月开始实施。等保2.0标准中对入侵防范做了详细要求,下面表格中列出了等保2.0对入侵防范的要求,黑色加粗字体表示是针对上一安全级别增强的要求。


等保2.0中主要在安全区域边界和安全计算环境中提到入侵防范要求。安全区域边界中的入侵防范主要指在关键网络节点处对从外部或内部发起的网络攻击进行入侵防范,安全计算环境中的入侵防范主要指遵循安装程序、开放服务和终端接入的最小化原则,同时修补已知漏洞。在等保3级中,要求实现对新型网络攻击行为的分析,并要求检测到对重要节点进行入侵的行为。在等保4级中,对入侵防范的要求和等保3级基本保持一致。

入侵防范是一种可识别潜在的威胁并迅速地做出应对的网络安全防范办法。入侵防范技术作为一种积极主动地安全防护技术,提供了对外部攻击、内部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵防范被认为是防火墙之后的第二道安全闸门,在不影响网络和主机性能的情况下能对网络和主机的入侵行为进行监测。

另外,在等保2.0中提到的应用程序最小安装原则,这也属于入侵防范的一部分,属于非自动化的入侵防范办法。本文重点讲解自动化的入侵防范技术,关于非自动化的入侵防范办法不做详细探讨。

2常用入侵防范技术

按照检测数据来源,将入侵防范技术分为基于网络的入侵防范技术和基于主机的入侵防范技术,分别对应等保2.0中的安全区域边界和安全计算环境的入侵防范。


2.1.  基于网络的入侵防范技术


基于网络的入侵防范,主要是通过分析网络流量中的异常攻击行为并进行拦截和响应。当前比较流行的网络入侵防范技术包括:基于特征签名的入侵防范技术、基于沙箱的入侵防范技术、基于网络行为白名单的入侵防范技术和基于威胁情报的入侵防范技术。


 2.1.1.  基于特征签名的入侵防范技术

基于特征签名的入侵防范技术,需要在网络通信报文中匹配特征签名以查找已知的漏洞攻击或恶意程序。这种基于特征签名的检测引擎,使用了模式匹配算法,可以在现代系统上快速完成,因此对于确定的一套特征签名来说,进行这种检测所需要的计算能力是最小的。
 

签名检测引擎常用的模式匹配AC算法


基于特征签名的检测引擎也有弱点,由于签名引擎仅检测已知的攻击,必须为每种攻击制作一个签名,而且新的攻击无法检测。由于签名通常是根据正则表达式和字符串设计的,因此,签名引擎还会出现较多误报。

基于特征签名的检测引擎对于检测以固定方式实施的攻击很成功,但是对于人工制作的或者具有自我修正行为功能的蠕虫发起的多种形式的攻击检测就有些力不从心。由于必须为每一种攻击的变体制作一个新的签名,而且随着签名的增加检测系统的运行速度将减缓,因此,签名引擎检测这些变化的攻击的整体能力将受到影响。

实际上,基于特征签名的入侵防范可以归结为攻击者和签名开发商之间的军备竞赛。这场竞赛的关键是签名编写和应用到入侵防范引擎中的速度。


● 2.1.2.  基于沙箱的入侵防范技术

基于沙箱的入侵防范技术,需要在网络通信报文中提取传输的文件,并将文件在虚拟机上执行,通过行为特征识别漏洞攻击或恶意程序。这种基于沙箱的检测引擎,使用了多个虚拟机并行运行,会耗费较多的计算能力。

沙箱技术的实践运用流程是让疑似病毒文件的可疑行为在虚拟的沙箱里充分表演,沙箱会记下它的每一个动作;当疑似病毒充分暴露了其病毒属性后,沙箱就会执行“回滚”机制,将病毒的痕迹和动作抹去,恢复系统到正常状态。
 

沙箱的技术原理


基于沙箱的入侵防范技术的优点是对于零日漏洞攻击和APT攻击的检测效果较好。沙箱检测引擎一般支持PE文件、文档、压缩包、图片、网页(JS脚本)以及Shell Code的检测,对恶意文件的检测能力较好,但是对于基于网络流量发起的零日漏洞攻击,没有太好的办法。比如MS17-010这种直接针对服务器端发起的网络流量攻击,在该漏洞未公开前直接基于流量攻击,沙箱引擎很难检测。


● 2.1.3.  基于网络行为白名单的入侵防范技术

基于网络行为白名单的入侵防范技术,需要学习网络通信流量,建立协议指令白名单模型和网络流量基线模型,通过白名单和流量模型来识别网络攻击或违规操作。这种基于网络行为白名单的检测引擎,适用于网络流量相对简单的环境,比如工业控制系统网络环境,模型建立前会耗费较多的计算能力进行机器学习,模型建立后耗费的计算能力较小。

基于网络行为白名单的检测引擎,采用了协议深层解析技术,对应用层协议进行深度解析,记录下协议指令和操作数据,同时会记录下流量特征,包括地址、端口、连接频率、连接时间、应用协议、带宽和流量图等,将上述数据汇总分析后,建立协议指令白名单模型和网络流量基线模型。
 

黑白名单技术的对比分析


基于网络行为白名单的入侵防范技术的优点是对于基于网络流量的零日漏洞攻击的检测效果较好。但是要求在建立白名单模型的过程中,必须在干净的流量环境下学习。该引擎的缺点是无法精准定位攻击类型。


● 2.1.4.  基于威胁情报的入侵防范技术

基于威胁情报的入侵防范技术,将网络通信流量中采集的数据同威胁情报数据匹配来识别漏洞攻击或恶意程序。这种基于威胁情报的检测引擎,需要及时更新威胁情报数据,适用于开放的网络环境,基于威胁情报的检测耗费的计算能力较小。
 

威胁信息服务的三种不同阶段


iSight Partners将威胁信息服务分为三种不同的阶段:签名与信誉源,威胁数据源和网络威胁情报。签名与信誉源,一般指的是恶意程序签名(文件哈希)、URL信誉数据和入侵指标。威胁数据源,对常见恶意程序和攻击活动的波及范围、源头和目标进行统计分析。某些安全研究团队针对特定恶意程序发布的攻击解析,或者对高级、多阶段攻击的攻击顺序观察,都属于此类。威胁情报包含了前两者的基础数据,但同时在几个重点方面作了提升,包括在全球范围内收集及分析活跃黑客的信息和技术信息,也就是说持续监控黑客团体和地下站点,了解网络犯罪者和激进黑客共享的信息、技术、工具和基础设施。此类服务还要求其团队拥有多样化的语言能力和文化背景,以便理解全球各地黑客的动机和关系。另外,威胁情报以对手为重点,具有前瞻性,针对攻击者及其战术、技术与程序(TTP)提供丰富的上下文数据。数据可能包括不同犯罪者的动机与目标,针对的漏洞,使用的域、恶意程序和社工方式,攻击活动的结构及其变化,以及黑客规避现有安全技术的技巧。

针对攻击方的威胁情报主要包括:攻击者身份、攻击的原因、攻击目的、具体怎么做的、攻击者的位置、如何组织情报(包括IP地址、哈希值等可用来更准确地检测和标记恶意行为)、如何缓解攻击。

基于威胁情报的入侵防范技术的优点是可以快速检测最新型的网络攻击,但是不具备对零日漏洞攻击的检测能力,同时要及时更新威胁情报库。


2.2.  基于主机的入侵防范技术


基于主机的入侵防范,主要是通过分析主机进程和文件的异常攻击行为并进行拦截和响应。当前比较流行的主机入侵防范技术包括:基于特征签名的入侵防范技术、基于沙箱的入侵防范技术、基于基因图谱的入侵防范技术、基于主机行为白名单的入侵防范技术和基于EDR的入侵防范技术。

其中,前两种基于主机的入侵防范技术在检测原理上同基于网络的入侵防范技术类似,它们的区别在于:在主机上特征签名引擎主要对文件中的特征串和文件的校验和进行模式匹配,沙箱引擎主要对系统中可执行程序的访问资源以及系统赋予的权限建立应用程序的沙箱来限制恶意代码的运行。因此,本节主要介绍后三种基于主机的入侵防范技术。


● 2.2.1.  基于基因图谱的入侵防范技术

基于基因图谱的入侵防范技术,通过结合机器学习/深度学习、图像分析技术,将恶意代码映射为灰度图像,建立卷积神经元网络CNN深度学习模型,利用恶意代码家族灰度图像集合训练卷积神经元网络,并建立检测模型,利用检测模型对恶意代码及其变种进行家族检测。这种基于基因图谱的检测引擎,模型建立前会耗费较多的计算能力进行机器学习,模型建立后耗费的计算能力较小。

恶意代码家族是有具有明显特征的恶意代码种类,是由很多拥有共同特性的恶意代码个体组成,共同特性通常包括相同的代码、图案、应用特征及相似的行为方式。恶意代码家族中的个体成员之间差异较小,而且它们的基因结构也比较相近,犹如物种在进化过程中基因变化一样,如下图所示,恶意代码家族Worm.Win32.WBNA(1ef51f0c0ea5094b7424ae72329514eb、777b2c29dc6b0c0ad1cec234876a97df、 1701f09f7348b0a609b8819b076bb4df)中的三个成员,查看其PE文件纹理变化情况。下图从上到下分为三层,每层分为三列。第一层从左到右为三个恶意代码的纹理图像,第二层从左到右为第一层三个纹理图像的差异(与第一层的第一幅纹理图像比较),第三层为恶意代码标识,命名规则为“md5”。


Worm.Win32.WBNA 3个家族成员内容纹理差异对比


基于基因图谱的入侵防范技术的优点是对于已知恶意代码的变种程序检测效果较好,对于零日漏洞攻击或新型恶意代码检测效果不佳。


● 2.2.2.  基于主机行为白名单的入侵防范技术

基于主机行为白名单的入侵防范技术,通过机器学习建立主机进程白名单、网络白名单、外设白名单、配置策略安全基线和文件强制访问控制模型,利用上述模型检测并阻止新型的恶意代码或违规操作。这种基于主机行为白名单的检测引擎,适用于应用程序相对单一的环境,比如工业控制系统计算环境,模型建立前会耗费较多的计算能力进行机器学习,模型建立后耗费的计算能力较小。

基于主机行为白名单的入侵防范技术,很好的满足了等保2.0中关于安全计算环境的入侵防范要求。主机进程白名单,对应了应用程序最小运行原则,和应用程序的最小安装原则相互呼应。网络白名单,对应了应用服务和开放端口的最小化原则。外设白名单,对应了外设接入的管控。配置策略安全基线,对应了配置策略的安全核查,从另外一个方面解决了配置弱点漏洞。文件强制访问控制,加强了对恶意文件的权限管控,可以防文件篡改,保护了系统核心文件的安全。

进程白名单可以有效防护新型的恶意代码攻击


基于主机行为白名单的入侵防范技术的优点是对于基于零日漏洞的恶意代码攻击的检测效果较好,但是一旦零日漏洞攻击进入Ring 0层并拥有了驱动卸载权限后,白名单软件很难防护。基于主机行为白名单的入侵防范技术要求在建立白名单模型的过程中,必须在干净的系统环境下学习。


● 2.2.3.  基于EDR的入侵防范技术

基于EDR(Endpoint Detection and Response,终端防护和相应)的入侵防范技术,通常会记录大量终端和网络事件(包括用户、文件、进程、注册表、内存和网络事件),把这些信息保存在终端本地,或者保存在中央数据库中,然后使用已知的攻击指示器、行为分析和机器学习技术识别攻击威胁,检测系统漏洞并对这些威胁风险做出快速响应。基于EDR的入侵防范技术能够对终端进行持续的检测,发现异常行为并进行实时的干预。这种技术耗费的计算能力较高。

EDR检测引擎至少要具备四种类型的能力,如下图所示。
 

EDR需要具备的四种类型的能力


1) 能够在安全事件发生时进行检测;
2) 记录并响应相关终端事件;
3) 支持对事件的调查分析;
4) 为受影响终端提供补救机制。

一个有效的 EDR 系统首先要求在所有终端上线时以及以后每次使用时发现、分类和评估它们。基于终端发现,EDR 系统部署实施有代理或无代理机制,用于实现威胁检测、监控和报告功能,该功能插入特定管理服务,定期收集跟踪活动、软件配置、安全状态等数据,并存入相应数据库。同时先进的 EDR 系统可以帮助减少整体攻击面,限制攻击的影响,并使用威胁情报和观察来预测攻击可能发生的时间和方式。

基于EDR的入侵防范技术的优点是可以识别并阻断各类已知和未知的攻击行为,可以对攻击全流程进行溯源追踪。该技术基于行为分析,也会产生一定的误报。

3入侵防范技术对比分析

上面小节论述的入侵防范技术的对比分析如下表:



基于白名单的入侵防范技术,在网络流量或主机行为简单的环境下适用性较好,比如工业控制系统环境。

4威努特相关方案

威努特的工业防火墙和监测审计平台采用了基于网络行为白名单的入侵防范技术,工控主机卫士采用了基于主机行为白名单的入侵防范技术,入侵检测系统采用了基于特征签名的入侵防范技术,网络威胁感知系统采用了基于特征签名、基因图谱、沙箱和威胁情报的入侵防范技术。

威努特工业防火墙


威努特工业防火墙分为边界型和区域型。基于MIPS架构+深度定制Linux平台,通过对工业控制协议的深度解析,运用“白名单+智能学习”技术建立工控网络安全通信模型,阻断一切非法访问,仅允许可信的流量在网络上传输。为工控网络与外部网络互联、工控网络内部区域之间的连接提供安全保障。广泛应用在电力、石油、石化、轨交、市政、烟草及先进制造等多领域。


威努特工控安全监测与审计平台


威努特的工控安全监测与审计平台是专门针对工业控制网络的信息安全监测及审计系统,支持多种工控协议(OPC、Siemens S7、Modbus、IEC104、Profinet、DNP3 等)的深度解析(DPI),运用“白名单+智能学习”技术建立工控网络安全通信模型,实时发现针对PLC、DCS等重要工业控制系统的攻击和破坏行为,以及病毒、木马等恶意软件的扩散和传播行为,为工业控制网络安全事件调查提供依据。采用旁路方式部署,对生产过程“零影响”。


威努特工控主机卫士


威努特工控主机卫士是国内首款针对操作员站、工程师站、服务器等工业现场主机进行安全防护的软件产品。产品采用轻量级软件“白名单”机制,只允许受信任的PE文件运行,同时对主机进行加固,有效阻止包括震网病毒、Flame、Havex、BlackEnergy以及APT(高级持续性威胁)、“0-Day”漏洞等在工控主机中执行和被利用。从而实现工控主机从启动、加载到持续运行过程全生命周期的安全保障。

为避免U盘滥用带来的安全隐患,威努特开发了配套主机卫士使用的专业安全U盘,可有效避免病毒、木马、恶意代码等的感染、执行和扩散,保障工控主机间数据交换安全。
 

威努特入侵检测系统

威努特入侵检测系统是依照安全策略,对工业网络、系统的运行状况进行监视,发现各种非法操作或异常行为的软硬件一体化设备。该系统能够深入分析网络上捕获的数据包,结合特征库进行相应的行为匹配,及时发现来自生产网外部或内部违反安全策略的行为及被攻击的迹象,帮助工业用户及时采取应对措施,最终达到保护生产网络安全的目的。
 

威努特的网络威胁感知系统


威努特网络威胁感知系统是一款实时分析网络流量,结合威胁情报数据及网络行为分析技术,深度检测所有可疑网络活动的高级持续性威胁(APT)防范设备。该系统网络检测与文件检测同步进行,网络检测采用情报共享机制,构筑检测生态圈,准确、快速地掌握攻击链条;文件检测采用全面沙箱分析,通过在沙箱(Sandbox)中运行(行为激活/内容“引爆”)各种文件,分析文件行为,识别出未知威胁;为工业企业用户构建高级持续性威胁(APT)防范能力。

针对工业企业的网络安全解决方案中灵活运用上述安全产品,可以很好的满足等保2.0对安全区域边界和安全计算环境的入侵防范要求,为企业的网络安全保驾护航。

威努特简介

北京威努特技术有限公司(以下简称“威努特”),成立于2014年,是国内专注于工控安全领域的国家高新技术企业,全球仅六家荣获国际自动化协会安全合规学会安全认证的企业之一。

威努特以率先独创的“白环境”整体解决方案为核心,研发了覆盖工控网络安全的5大类20款自主可控产品,拥有领先的核心技术及市场优势,成功为电力、轨道交通、烟草、石油石化、市政、智能制造、冶金及军工等国家重点行业五百余家客户提供了全面有效的安全保障,多次受邀为中共十九大、两会、“一带一路”、G20等重大活动进行网络安保工作,广泛参与工控安全领域的国家和行业标准制定,得到了国家多个政府部门和客户的高度认可。

威努特始终以保护我国关键信息基础设施网络空间安全为己任,为建设网络强国添砖加瓦!

渠道合作咨询   张先生 18201311186

稿件合作   微信:Luo_xiaoran


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存