2020/03/21 -
文章[1]没有具体的去描述某个入侵检测的模型,而是从运维的角度,阐述了一些思考。我觉得,这种思考在工业界是非常有用的,并不是那种单纯学术角度的模型。
前段时间听了计算机视觉的课程,我也是仔细思考了一下,他们总是能够找出来问题,然后逐步的去推进这个发展的进程。(感觉说的不是非常严谨),他们大多数还是利用深度学习,但是有些比如他们的研究角度,都是从一个问题点出发的,这个很关键。但是,对于入侵检测角度,我却不知道这个领域内具体研究进展。本来就是说,那种综述类型的文章,都是直接列举各种模型,但是从来没有说,能够仔细地告诉你,我们利用这种模型是为了达到什么样地目的。或者说,当前的研究进展中,有哪些不足,这个是我一直没有发现的,或者说,是我看的不仔细?所以,我后面的话,在阅读论文的时候,同时要思考这些问题。另外,我同时也应该结合这个工业界的去修比如原来说过的关联分析,数据融合等,但是目前一直见不到这种东西。
入侵的定义
我个人认为,不管是什么方式,只要黑客通过不正当手段,在未授权的情况下,对计算机进行的任何操作,都可以认定为入侵。(但是一定要注意,这个手段是没有任何限制的,也就是他可以通过任何手段,web漏洞,主机漏洞等等)
针对企业的入侵
作者认为,针对企业的入侵比较狭义,通常是指对企业内网的机器进行控制的行为。而且, 入侵检测一般比较关注GetShell的这个动作,不管后续的行为是什么,GetShell都是整体上一般入侵的起点。当然,因为各种GetShell的方式也不同,所以也不能一概而论。但总的来说,只要我们关注的是这个入口点,就能防范很多入侵。
(这样一说的话,就有些迷惑,到底这些行为包括什么,我感觉上面的说法虽然是限制在了GetShell这个点,但是因为整体上入口的地方非常多,所以要检测的东西还是很多的,比如Web服务,比如Sql服务等,说白了,就是我不了解这个工业界具体到底有多少地方要检测)
入侵检测的本质
入侵检测的本质,是将正确的(访问)行为与恶意的行为区分开,从机器学习的角度,算是一个分类问题。但是这里提出了几个问题:
1)入侵的样本相对正常的样本量来说,少很多。这样的样本数量,就导致入侵的样本代表不了攻击样本的整体分布,没有办法得知这种样本到底是什么样的分布。通过特征工程可以发现一类特征(我觉得他这里描述的不是非常明确);而通过AI来自动生成样本都不能准确表现出真实的意义。
2)入侵的区别是看是有授权,但是有授权的和没有的没有什么区别。他提供的思路就是,把合法的通道收敛,也就是说,尽可能把不需要的通道砍掉,也就是说,这样样本空间就缩小了,然后就可以在这个空间内进一步进行区分,可以通过访问行为来进行异常访问的识别。
总的来说,入侵检测主要有两种方案:
利用模式识别来匹配黑名单;建立正常行为的基线模型;
其实就是两种:硬匹配,异常检测。
这里,我觉得这段话的说法不是非常明确, 他前后的说法有些不契合。还是需要多读几遍,把内涵提取出来。
这里提到的两个东西:
1)既然能够知道这个是攻击,如果不用高深的算法,我是不是能够自动化的提取出这个东西和正常攻击的区别,也就是找到有区分性的特征,特别是这个特征还没有进行过各种转换,这种特征的作用就是,后面我能够直接将他放置在简单的黑名单列表中。
2)自动生成样本,这个的话,我目前没有接触过,知道的就是GAN这种东西,但是这种东西在网络安全中有多大的应用潜力呢?需要进一步来查看。
攻击向量
攻击方法和目标的攻击面的组合,被称为攻击向量。
这也是我前面说的,黑客拿到webshell的方法是多种多样的,肯定不能保证一种检测方案都能完全识别。比如说,你检测phpwebshell,但是java系统怎么解决。
所以,入侵检测,应该明确入侵检测的攻击向量。
但是说实话,我在很多论文中,都没有具体看到这种说法, 都是直接采用了某种数据集,然后进行了检测。
多种入侵方式
高危服务入侵,Web入侵,0Day(不过我觉得这个没有什么意义,他还是划分到别的分类里面,我觉额0day就是被爆出来的漏洞)
办公终端入侵,这个说是apt,但我感觉也不够具体,apt太大了。
所以,这段话,他的前面的内容,除了服务和web都没有具体的分类。
入侵检测原则
- 把所有的告警都能跟进,
- 屏蔽相同重复的报警,这个算不算是关联呢?漏报是必然存在的,那么就需要多种模型能够关联分析,形成关联和纵深。
最后就是他的一些产品和相关的检测内容,可以看看。
入侵检测的产品
这个可以具体看看,我觉得还是很有参考意义的。
个人感受
这篇文章还说的很中肯的,我来谈谈的几点感悟。
- 由于样本空间的不完整(攻击样本缺失),导致机器学习这种方式能力不足。我个人觉得,你永远不可能摸清楚攻击样本的分布空间,那么不如利用一些自动化的手段,比如模式识别的方式,将一些特征能够提取出来,这样在前期检测中,就可以直接利用比较简答的方式过滤掉大多数攻击
- 既然样本空间不完整,那么通过现有的机器学习深度学习技术来构建攻击样本,他文章中提到了这种方式解释性不强,那么具体的难度存在与什么地方。
- 入侵检测不是一个模型能够完成的工作,需要多种模块,多种系统协同工作。同时,大数据量的情况下,又要思考告警关联这种东西,同时考虑大数据情况下的分析,不过这种东西,我暂时也没有思考的很清楚。
上面这些东西感觉理解的还是不够深入,因为他没有提到什么非常过硬的技术,所以我自己也不是非常明白。但是,我也想知道,到底是因为我没有看到具体的比较好的论文,还是说,论文中就没有呢?
网友评论