服务器的安全需要未雨绸缪、防患于未然!

未雨绸缪、防患于未然,这虽是老生常谈,但云安全方面真正能做到这一点的企业却不多,各种各样的安全事件仍在频频上演。

云安全拒绝 “事后诸葛亮”

2017 年 5 月,WannaCry 勒索病毒在全球爆发,百余个国家遭受大规模攻击,是史上波及范围最广的病毒之一。这次安全事件为各行各业敲响了警钟,但却并没有 “长鸣”。

图:近两年部分重大网络安全事件一览

可以看到,黑客入侵攻击是无处不在的。而没有防护的云计算环境相当于裸奔,只要任意一点遭受攻击,便有可能波及云上所有业务。在黑客威胁日益严重的情况下,云服务器又该如何应对呢?

网域云是为保护用户云服务器安全而设计的一套基于主机的安全检测体系。该体系能够实时监控云服务器的安全性,及时发现安全隐患,帮助用户了解云服务器的安全状况并有针对性地进行加固。网域云 能在事前做好风险检测并加以告警,也就是我们所说的 “上医治未病”。

那么,网域云 又是如何 “治疗” 云安全 “未病” 的呢?

从入侵时间链看 “未病”

入侵受害者有两类人,一种是知道自己已经被入侵了,可此时亡羊补牢,为时晚矣;另一种是不知道自己被入侵了,等到大厦将倾时才发现。

其实,还可以存在第三类人:在系统受到危害前便已接收到警告,因而可以做到防患于未然。如何才能做到在系统受到危害前便可有效检测出入侵方式呢?未知攻,焉知防,如下图,基于 Cyber-Kill-Chain 网络攻击杀伤链模型,我们首先还原出了一个简化的入侵攻击流程。

图:一个简化的入侵攻击流程

每个阶段的攻击详情如下:① 侦察阶段:以扫描、信息收集为主,通常包含 IP 收集、域名收集、端口扫描等步骤,黑客进行这些步骤的目的是尽可能探测出攻击目标的资产信息,例如使用什么软件,什么版本等。 攻击阶段:收集到足够的信息后,黑客会尝试使用一些手段来探测目标是否存在可利用的漏洞,这些尝试有的是手工精确实施,有的是使用大量攻击手段来进行遍历尝试。 分发阶段:主要以留后门、下载木马等为主,黑客会利用获取到的系统权限,在服务器上安装后门、Botnet、挖矿程序等。 安装维持阶段:主要以替换服务器关键配置为主,例如隐藏木马进程,对木马进程进行保护等。

网域云 的整体设计思路就是在每一个攻击步骤的关键点设置检测手段,这样设计的好处是避免单点失效,且尽可能的提前知晓黑客入侵手段从而采取相应的防御措施。此外,在越早的攻击环节阻止入侵,修复漏洞的成本和时间损耗也会越低。

网域云 全流程入侵检测设计

根据入侵攻击链不同阶段的特点,网域云 云上入侵检测有三种思路,可提供对各类攻击的有效防御。

| 登录安全风险检测登录安全是所有服务器最基础的安全内容,代表了服务器的入口。登录安全通常存在的安全风险包括:密码泄露、弱密码、暴力破解、不安全的配置、漏洞利用等。作为云上用户,我们遇到最常见造成入侵的风险往往是弱口令,弱口令带来的风险也是不容小觑的。

2015 年春运前夕爆发了 12306 数据泄露事件,乌云网发布漏洞报告称,大量 12306 用户数据在网络上疯狂传播。本次泄露事件被泄露的数据达 131653 条,弱密码在其中就占据了举足轻重的地位。

通常,针对弱口令的攻击方式包括异地登录和暴力破解。传统的检测方式一般按照非黑即白的策略去检测,即让用户添加一个白名单列表,只要不在白名单列表中的地点 / IP 均告警,然而该方法的缺点在于需要用户在维护白名单列表上投入大量人力,往往造成用户使用上的麻烦。

图:黑白名单策略示意☛ 基于机器学习的检测机制

网域云 提出了一种基于机器学习的检测机制。基于机器学习模型强大的自学习及泛化能力,通过学习大量的数据,挖掘出潜在的登录风险为业务决策提供支撑。

机器学习都需要一个训练阶段,从数据收集到模型建立通常会面临诸多难题,下面是我们遇到的典型问题与解决思路。

  • 样本类别不平衡

在入侵检测的场景中,由于黑名单数据(黑样本)的数量远少于白名单数据(白样本),因此会出现样本类别不平衡的问题,进而导致机器算法模型失效。

为解决该问题,我们通过 SMOTE 算法在相似样本中进行 feature 的随机选择并拼接出新的样本。SMOTE 算法的思想是合成新的少数类样本,合成的策略是对每个少数类样本 a,从它的最近邻中随机选一个样本 b,然后在 a、b 之间的连线上随机选一点作为新合成的少数类样本,如下图所示。

图:SMOTE 算法原理示意

  • 模型过拟合问题

在模型建立后,后续的数据清洗和预处理、数据分析到合并稀疏特征、One-hot 编码处理离散型特征、随机森林选择特征、标准化、归一化、正则化也都会对模型的最终效果也会产生较大影响。因此还需研究如何根据登录 IP、登录时间、登录地点、登录方式等字段构建出不影响模型拟合问题的特征工程。

针对该问题,我们采用交叉验证的方法评估模型的预测性能,并通过网格搜索进行模型参数选择,在后期还会通过 bagging、stacking 等模型集成手段进一步提升效果。

最终,通过机器学习和业务经验的结合,网域云 的检测模型大大提高了异地登录的检测准确率,降低了误报率,提升了用户体验。

版权申明:本站文章均来自网络,如有侵权,请联系01056159998 邮箱:itboby@foxmail.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

中国领先的互联网域名及云服务提供商

为您提供域名,比特币,P2P,大数据,云计算,虚拟主机,域名交易最新资讯报道

域名注册云服务器