快手入侵检测负责人陈道光:用户习惯建模助力网络入侵检测
创始人
2024-09-23 13:42:01
0

通信世界网消息(CWW)2024年9月19日,数智“新”北京暨2024(第二十一届)北京互联网大会“网络安全与数据保护论坛”在京举办。快手入侵检测负责人陈道光出席论坛并发表了题为“基于场景和用户习惯的建模在入侵检测中的应用”的主题演讲。

陈道光在演讲中表示,建模是构建入侵检测能力的重要手段。在传统手段中,通常通过参考ATT&CK矩阵构建攻击检测能力,用规则覆盖其中的技术来提升检测能力,这需要采集各类数据进行特征分析、攻击告警、链路关联。。在入侵检测中,入侵检测的数据日志大概每天可达到10亿以上,检测策略达到1000条以上,攻击技术覆盖率达到64.6%,覆盖了办公终端、生产主机和容器、网络、账号应用等。

快手入侵检测负责人 陈道光

但传统的入侵检测存在两个明显的问题:一是攻击技术较泛,颗粒度不够精细,检测策略覆盖其中1个即算已覆盖,而攻击手法非常多,比如反弹shell,有脚本类型、编程语言类型等;终端场景下攻击技术检测指导性非常强,但在其他场景,如身份盗用攻击和网络攻击场景指导性存在明显不足,而恰恰身份盗用是目前是黑客常用的方式,为了解决这类问题,快手进行了行为习惯建模。

如何快速进行行为习惯建模?陈道光在演讲中表示:“理解和挖掘员工行为模式,基于画像能力构建员工的行为习惯,通过监控员工行为与基线是否产生偏离,构建精准有效的检测模型”。

陈道光介绍,在行为习惯建模中都涉及四类具体场景:常用地点、常用网络、常用系统、常用设备。其中常用地点包括工作城市和工作职场;常用网络包括VPN网络、有线网络、Wi-Fi网络;常用系统包括群组常用系统、常用登录方式、常用功能接口;常用设备包括PC设备、服务器主机、移动设备。通常以上四大类行为习惯可以笼统构建行为习惯“画像”,在入侵检测中,可与其他的系统关联,实现攻击链路可视化,更加精准助力黑客盗用身份信息的入侵检测。

在场景案例检测中,偏离设备、工作时间、工作城市、登录方式异常具有代表性的组合被检出率接近100%。在告警率方面,除了误报的情况,实现了95%告警准确率。

陈道光在演讲中透露,目前通过这种场景建模,实践案例中的检出率和准确率较高。快手目前也在探索这种行为模式在其他方式的检出,比如在主机异常和服务器异常的操作上、员工经常使用的软件等。通常员工使用的软件和操作几乎是固定的,在刻画习惯画像的60天、90天、180天中,行为习惯几乎保持一致。

对于服务器运维人员而言,用户画像的刻画更简单,运维人员通常是通过一些脚本或研发人员进行固定操作,通过目录编译代码上线服务是一种更加固定的习惯画像。如果习惯画像的离散度偏离,极大概率可以判定为黑客入侵。基于场景和用户习惯的建模在入侵检测中的应用,无论在内部的实践中,还是内外部蓝军的攻击中,目前都完成覆盖,检出率接近80%~90%。

相关内容

热门资讯

vivo钱包遭用户投诉贷款利率... 文:WEMONEY研究室 随着移动互联网时代到来,智能手机已经成为了生活的必需品。目前,很多手机如...
邓宏魁、张涛、李亚栋、孙斌勇获... 出品 | 搜狐科技 作者 | 周锦童 8月16日上午10时,2024未来科学大奖新闻发布会在北京、香...
小米14T Pro海外定档9月... 【ITBEAR】9月23日消息,小米今日在X平台上宣布,旗下新款手机小米14T Pro定于9月26日...
华为发布ICT人才实训解决方案... [中国,上海,2024年9月19日] 华为全联接大会2024期间,在以“助力ICT人才培养,共赢数智...
微波传输赋能空管保障联合创新实...   鲁网9月30日讯近日,济南联通与民航山东空管分局共同开展双路由光缆中断后的微波系统保护演练,系统...
湖南各地广泛开展“传承红色基因... 为庆祝中华人民共和国成立75周年,湖南各地积极组织开展“传承红色基因·向国旗敬礼”主题实践活动,引导...
我国成功发射首颗可重复使用返回... 记者从国家航天局获悉,9月27日18时30分,我国在酒泉卫星发射中心采用长征二号丁运载火箭,成功发射...
原创 首... 9月20日iPhone 16系列正式开售,当天预订的用户已经可以拿到新机。现在很多第一批购买的朋友都...
抖音老阳分享的Temu项目是真... 近年来,随着社交媒体的发展,抖音成为了许多人获取信息和进行消费的主要平台。其中,抖音博主老阳分享的T...
华为Mate XT刷屏,东莞走... 华为Mate XT刷屏,东莞走到台前。 在Mate XT发布之际,东莞发布“骄傲”地宣布:火爆全网的...