掘金安全数据-腾讯安全数据运营实践.pdf

掘金安全数据-腾讯安全数据运营实践.pdf

ID:53002199

大小:2.52 MB

页数:32页

时间:2020-04-10

掘金安全数据-腾讯安全数据运营实践.pdf_第1页
掘金安全数据-腾讯安全数据运营实践.pdf_第2页
掘金安全数据-腾讯安全数据运营实践.pdf_第3页
掘金安全数据-腾讯安全数据运营实践.pdf_第4页
掘金安全数据-腾讯安全数据运营实践.pdf_第5页
资源描述:

《掘金安全数据-腾讯安全数据运营实践.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、掘金安全数据腾讯安全数据运营实践江虎(xti9er)2014.11Whoami•江虎–xti9er•10多年安全研究与从业经验•10年加入腾讯•入侵检测体系建设、应急响应、安全培训•入侵对抗团队掘金安全数据安全工作的困境历史案例的启示榨取数据剩余价值开放&合作Q&A安全工作的困境建设的系统=我们的局限=能力=积累我们的能力系统的局限唯快不破向数据学习怎么破!?安全工作的困境•防住漏洞就能阻断入侵?•社工入弱口令撞库入侵算漏洞吗?•无鉴权的管理后台ACL不严算漏洞吗?•入侵检测!=漏洞检测•1day能否及时感知?•通过口口相传,江湖传闻?•

2、等各安全资讯网站发布消息?看新闻?•检测能力的更新速度取决于对威胁的感知速度我们有什么?•几十万台服务器?•NO,在我眼里这是几十万个蜜罐!•200T+/天安全数据•亿次攻击请求•Web攻击•扫描•暴力破解•木马•…如何理解安全数据•基础运维审计数据•DB审计•运维命令•入侵检测系统告警数据•IDSIPS•可疑行为•黑客行为•违规操作•扫描数据•端口扫描暴力破解WAF提炼运维数据•小型网络单一业务特点•运维习惯(命令)固定•代码风格(CGI文件)固定•DB(sql)操作固定•Discuzwordpress…•如何快速甄别异常•非我们熟

3、悉的行为均为异常•提炼熟悉的行为•白名单非白即黑运维数据白名单•文件MD5•Tripwire•命令•参数目录用户时间•Sql语句•语法树解析(sqlparse)Sql白名单•开源系统•固定sql语句,仅参数变化•Sql注入•联合查询-payload依附于业务逻辑sql语句中•多分支查询-payload希望获取业务数据之外的内容•白名单模型•Srcip+user+function+parameter白名单优劣•学习周期过长•滞后性-增量数据易误报•适用于某些特定业务核心业务•结论•单一系统缺陷由多系统配合弥补(白加黑)•业务种类较多的网络

4、不适用历史案例说明了什么•那些无法定性的可疑事件有价值吗?•下载外网文件编译文件•非漏洞非木马恶意行为如何检测?•通过弱口令进入系统dump数据•编译部署一个文件传输工具•Wget->解压->执行•步骤一定是相同的吗?•固化的关联规则还有其他组合方式吗?如何穷尽?sqlinjectNmapWeakpassshellWeb?Scan?贝叶斯•贝叶斯决策理论方法是统计模型决策中的一个基本方法•假定B1,B2,……是某个过程的若干可能的前提,则P(Bi)是人们事先对各前提条件出现可能性大小的估计,称之为先验概率。如果这个过程得到了一个结果A,那么贝

5、叶斯公式提供了我们根据A的出现而对前提条件做出新评价的方法。P(Bi∣A)即是对以A为前提下Bi的出现概率的重新认识,称P(Bi∣A)为后验概率。•算法:贝叶斯•样本:历史案例,运维数据算法•A=入侵概率•B=运维操作概率•N联合概率=入侵事件•周期性自主纠偏贝叶斯的问题•不同业务场景不同风险不同•场景举例:•mysqldump在web前端机与DB服务器风险级别不同•ssh登陆失败在内网和外网风险级别不同•腾讯云业务:管理服务对外,用户运维工具各异,开源CMS漏洞各异•腾讯自有业务:运维流程规范,web是入侵主要入口•不同的场景和业务需分别建模

6、•样本严重不足,怎么办?•主动分析对手榨取安全数据价值-分析对手•如何向对手学习更多•拓展数据分析纬度发现对手建立检测•闭环运营攻击手法模型•循环迭代,完善监测规则建立对手风险数据特征规则分析对手特征刻画如何挖掘-识别对手•识别对手•UA•扫描器:版权版本声明•COOKIE•NULL

7、固定值

8、(伪)随机参数•PAYLOAD•固定回显字符串•来源•大范围扫描触发规则•已知对手的固定来源IP•SpamlistPayload提取•数据精炼•解包参数拆解•符合粗规则的参数范围•固化或符合随机规律的payloadPayload提取-场景•攻击场景相关

9、•Sql注入•僵尸网络•语言相关•Php代码注入•Java代码注入•Xml•APP相关•开源cms库表•CGIcookieparameter识别1Days•Webapp指纹+payload=(0/1/N)day•通用漏洞影响范围•猜猜这都是什么开源系统?•通用攻击手法影响范围•Jspphp代码注入?Sql注入?SHELLSHOCK影响CGIPHP漏洞CGITOP5TOP102202647537513491474414360166126识别1day的意义•自动及时捕获1day•避免人为因素导致的信息滞后•及时建立防护解决方案•自身业务开源

10、APP•腾讯云商户使用的主流APP•自身业务•Discuz•struts•云商户•Dedecms•Phpcms•Wdcp•other…Shellsho

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。