一、案例背景:
某证券交易所是中国大陆两所证券交易所之一,金融业的发展必然将带来金融监管理论的重大变革,传统忽略技术手段的金融监管理论已经不适应互联网金融时代的发展,人工智能等科学技术是获取信息克服监管信息不对称的根本举措,且人工智能包括实时的信息反馈信息、及时发出指令,实现实时监管,对未来演化进行判断。
现有监管科技针对金融机构信息系统的漏洞利用、恶意程序代码、钓鱼软件、恶意加密流量、甚至是APT攻击等的检测和防护,只停留在能够识别风险的阶段,不够准确检测出攻击组织的具体信息,实现对攻击组织的“资产画像”,导致科技监管部门不能够对攻击方进行准确的描述,对现有组织的后续攻击识别准确性和效率较低,使金融机构仍然暴露在风险之中。
金融市场的流动性风险波及范围广、影响范围大,一旦出现网络钓鱼、恶意软件、APT攻击等网络恶意行为将影响金融的稳定。随着金融科技的发展,经营环境不断开放,金融风险形势更加复杂。内部业务网存在系统安全漏洞、恶意程序代码、钓鱼软件、恶意加密流量、网络欺诈风险、数据安全和隐私保护、利用互联网从事违法违规金融活动等,大大提升了系统性金融风险的识别难度。
二、案例概述:
在此背景下,金睛云华通过在某证券交易所系统的办公网、业务网、数据中心等网络流量出入口重要位置部署基于AI的高级威胁检测系统(简称:ATD),对网络中的流量和加密流量进行检测,判断恶意代码通信、僵尸网络加密通信、加密恶意攻击行为、各种恶意和非法加密应用等,能够及时发现内部办公网、业务网的潜在风险,对网络中的流量和加密流量,恶意代码通信、僵尸网络加密通信、加密恶意攻击行为、各种恶意和非法加密应用进行检测等,有利于准确防范金融市场的网络安全风险。
三、安全技术应用情况:
金睛云华通过将人工智能、大数据技术与安全技术相结合,实时分析网络流量,监控可疑威胁行为,内置多种检测技术,可对APT攻击链进行交叉检测和交叉验证,提升全网威胁监测能力和水平、推进网络攻击溯源能力建设,是必然的选择.
ATD除了具备常规的入侵检测功能外,还可以从网络流量中还原出文件(HTTP、SMTP、POP3、IMAP、FTP、SMB等协议)并通过多病毒检测引擎有效识别出病毒、木马等已知威胁;通过基因图谱检测技术检测恶意代码变种; 还可以通过沙箱(Sandbox)行为检测技术发现未知威胁;对抽取的网络流量元数据,进行情报检测、异常检测、流量基因检测;最后将所有安全威胁进行关联分析,输出检测结果,对检测及防御APT攻击起到关键作用。
通过把流量镜像接入已部署高级威胁检测系统ATD,实现对某证券交易所网络进出口的南北向流量及办公网、业务网、数据中心等内网流量进行全面的检测,监控网络威胁行为。通过内置的人工智能检测模型对恶意加密流量、Tor流量、Shadowsocks流量和VPN流量等高级威胁进行检测分析,并结合沙箱检测技术发现变种、未知威胁等行为。如图1所示。
图1:网络拓扑
在部署高级威胁检测系统ATD后,有效检测出内部办公网络钓鱼事件、恶意软件、APT攻击等网络恶意行为;有效减少客户的运维工作。
具体功能实现:
下一代入侵检测模块有效弥补目前安全设备(防火墙、IDS、IPS等)对攻击识别能力的不足,针对暴力破解、反弹Shell、本地提权、恶意命令执行、SQL注入、XSS注入、跨站请求伪造、Webshell上传、文件包含漏洞、远程代码执行漏洞等行为进行监控,保证能够实时发现失陷主机,对入侵行为进行告警,精确识别应用、内容和环境等各层面攻击,帮助上海证券交易所运维人员分析入侵行为的攻击链路和了解整体环境的入侵情况,从而让上海证券交易所运维人员精准有效的发现威胁并解决问题。
通过对网络流量双向会话行为的深入分析,发现网络中存在的 DoS/DDoS攻击、扫描等异常行为、会话连接异常行为、反序列化攻击行为、远程命令执行行为、尝试提权成功行为、Struts2攻击成功事件行为、成功权限提升行为、路由跟踪行为、密码猜测行为、密码暴力破解等行为,即刻发出告警,降低潜在的网络安全风险。
静态文件检测指在不运行程序的情况下,对样本文件进行静态特征检测。ATD内置多个反病毒引擎,支持多个反病毒引擎交叉检测,可检测包括Shellcode、Webshell、后门程序、挖矿木马、间谍软件、蠕虫病毒、恶意软件、远程木马等,对已知威胁进行基于特征的静态检测和多检测模块交叉验证,最终给出检测结果。
动态沙箱检测是一种通过文件的动态执行行为来识别恶意文件的检测技术,其利用虚拟化技术仿真出组织常用的操作系统和应用环境,然后利用虚拟执行手段使文件运行并捕获其对系统产生的影响,如释放文件、加密文档、增加启动项、API调用等,并对这些影响进行评估,识别对系统产生破坏的恶意文件;动态沙箱支持行为签名检测,根据主机或网络行为判断其是否为恶意文件,支持多种沙箱运行模式,包括Windows、Android和Linux等类型沙箱,单设备支持至少10个沙箱,支持对沙箱内样本的流量进行检测、支持反虚拟机和反调试行为检测、支持恶意代码及变种检测,最大限度发现APT等未知网络攻击。
通过海量情报数据的采集、分析、验证及生命周期管理后生成威胁情报并内嵌于ATD系统中形成情报中心,并将从流量中提取出的域名、IP、URL等与系统内置情报进行关联比对,进一步确认网络威胁,并支持JA3、JA3S和SSL恶意加密指纹检测,辅助各行业安全运营人员进行运营决策。
传统的基于特征的检测手段,如IDS或杀毒软件无法及时有效的应对新产生或手段高明的网络攻击,而人工智能具备对全新威胁的适应及预测能力,可以更加智能、精准的发现APT等未知威胁。
通过内置人工智能模型到ATD系统,分别对恶意文件变种、恶意加密流量、暗网流量、翻墙代理、VPN、DNS/ICMP/HTTP隐蔽隧道、WEB攻击等进行检测,有效弥补了传统检测手段的不足,结合多种检测技术及威胁情报实现对网络威胁的交叉检测和交叉验证、关联分析、溯源取证等,为网络的持续平稳运行提供保障.
四、客户反馈效果:
通过部署实施,帮助上海证券交易所运维人员建立覆盖网络异常行为、漏洞利用及敏感信息窃取全过程的纵深检测与溯源分析体系.
提高威胁检测能力,部署高级威胁检测系统,集威胁情报、入侵检测、异常检测、病毒木马检测、恶意代码基因图谱检测、未知威胁沙箱行为检测、恶意流量人工智能检测等多种技术于一体,对网络中的南北流量/东西流量进行全面深度的威胁检测分析.
提高安全事件分析能力,发现安全事件后,自动化分析研判攻击事件,智能判定是否为成功事件,自动化构建攻击链条,并还原攻击过程,大大缩短网络攻击事件分析处置过程决策链条,事件分析时间、处置响应时间同比下降60%以上.