三、基于记忆的智能检测系统
有了全流量审计,我们很自然地会面临接下来的问题:传统的检测产品和平台还有必要吗?在全流量都被审计的前提下,还需要进行传统的攻击检测吗?
首先,需要全流量检测,因为传统的检测技术只解决了“What”的问题,没有解决“How”和“How Much”的问题。使用检测产品虽然可以检测到特定的攻击,但检测不到攻击的细节(如:具体的攻击流量是什么)及攻击的进展程度(如:目标是否已被入侵)。通过全流量审计,这些问题都可以找到答案。
此外,也需要传统检测技术,因为在对全流量进行审计时,需在海量数据中找到分析任务的聚焦点。一个百兆的网络,22个小时的流量就达1TB,如果没有任何指示信息,在如此海量的数据中进行攻击检测犹如大海捞针。此时,传统检测技术的作用则类似于“触发器”与“探照灯”,当检测到APT行为的蛛丝马迹时,结合全流量审计进行回溯与深度分析,则可建立完整的攻击场景。
在全流量审计的辅助下,传统的检测产品将对历史流量具备“记忆”能力,形成基于记忆的智能检测系统,其检测对象不再是实时时间点,而是历史时间窗;对于漏报的攻击行为,也可通过对历史流量进行回溯审查的方式进行二次检测和关联分析,从而具备更强大的检测能力。
总之,对于APT这种攻击模式,传统的检测技术难以应对,我们的对抗策略是以时间对抗时间,对长时间、全流量数据进行深度分析,以解决传统的特征匹配与实时检测的不足。全流量存储与现有检测技术相结合,形成了新一代基于记忆的智能检测系统,这使得我们可在长时间窗口上对流量进行回溯分析,提升对APT攻击的检测能力。(启明星辰 周涛)
