行业动态
快手入侵检测负责人陈道光:用户习惯建模助力网络入侵检测
024年9月19日,数智“新”北京暨2024(第二十一届)北京互联网大会“网络安全与数据保护论坛”在京举办。快手入侵检测负责人陈道光出席论坛并发表了题为“基于场景和用户习惯的建模在入侵检测中的应用”的主题演讲。
陈道光在演讲中表示,建模是构建入侵检测能力的重要手段。在传统手段中,通常通过参考ATT&CK矩阵构建攻击检测能力,用规则覆盖其中的技术来提升检测能力,这需要采集各类数据进行特征分析、攻击告警、链路关联。。在入侵检测中,入侵检测的数据日志大概每天可达到10亿以上,检测策略达到1000条以上,攻击技术覆盖率达到64.6%,覆盖了办公终端、生产主机和容器、网络、账号应用等。
快手入侵检测负责人 陈道光
但传统的入侵检测存在两个明显的问题:一是攻击技术较泛,颗粒度不够精细,检测策略覆盖其中1个即算已覆盖,而攻击手法非常多,比如反弹shell,有脚本类型、编程语言类型等;终端场景下攻击技术检测指导性非常强,但在其他场景,如身份盗用攻击和网络攻击场景指导性存在明显不足,而恰恰身份盗用是目前是黑客常用的方式,为了解决这类问题,快手进行了行为习惯建模。
如何快速进行行为习惯建模?陈道光在演讲中表示:“理解和挖掘员工行为模式,基于画像能力构建员工的行为习惯,通过监控员工行为与基线是否产生偏离,构建精准有效的检测模型”。
陈道光介绍,在行为习惯建模中都涉及四类具体场景:常用地点、常用网络、常用系统、常用设备。其中常用地点包括工作城市和工作职场;常用网络包括VPN网络、有线网络、Wi-Fi网络;常用系统包括群组常用系统、常用登录方式、常用功能接口;常用设备包括PC设备、服务器主机、移动设备。通常以上四大类行为习惯可以笼统构建行为习惯“画像”,在入侵检测中,可与其他的系统关联,实现攻击链路可视化,更加精准助力黑客盗用身份信息的入侵检测。
在场景案例检测中,偏离设备、工作时间、工作城市、登录方式异常具有代表性的组合被检出率接近100%。在告警率方面,除了误报的情况,实现了95%告警准确率。
陈道光在演讲中透露,目前通过这种场景建模,实践案例中的检出率和准确率较高。快手目前也在探索这种行为模式在其他方式的检出,比如在主机异常和服务器异常的操作上、员工经常使用的软件等。通常员工使用的软件和操作几乎是固定的,在刻画习惯画像的60天、90天、180天中,行为习惯几乎保持一致。
对于服务器运维人员而言,用户画像的刻画更简单,运维人员通常是通过一些脚本或研发人员进行固定操作,通过目录编译代码上线服务是一种更加固定的习惯画像。如果习惯画像的离散度偏离,极大概率可以判定为黑客入侵。基于场景和用户习惯的建模在入侵检测中的应用,无论在内部的实践中,还是内外部蓝军的攻击中,目前都完成覆盖,检出率接近80%~90%。