CISSP官方学习指南第7版#第17章

=Start=

缘由:

备考CISSP,学习、整理在看《CISSP官方学习指南(第7版)》时的一些知识点,方便以后快速复习。

正文:

参考解答:
第17章 事件预防和响应
本章中覆盖的CISSP考试大纲包含:
安全运营
C.管理日志和监控行为
C.1 入侵检测和防御
C.2 安全信息和事件管理
C.3 持续监控
C.4 出口监控(例如,数据防泄露、隐写术、数字水印)
G.实施事件管理
G.1 检测
G.2 响应
G.3 缓解
G.4 报告
G.5 恢复
G.6 纠正
G.7 经验教训
H.操作和维护预防措施
H.1 防火墙
H.2 入侵检测和防御系统
H.3 白名单/黑名单
H.4 第三方安全服务
H.5 沙箱
H.6 蜜罐/蜜网
H.7 防恶意软件
17.1 管理事件晌应
任何安全程序的主要目标之一是防止安全事件发生。然而,IT和安全专业人员尽了最大努力,事件还是会发生。当它们发生时,组织必须能够响应以限制或遏制安全事件。事件响应的主要目标是尽量减少事件对组织的影响。
17.1.1 事件界定
在进入事件响应之前,重要的是要了解对事件的界定。虽然这看起来很简单,但你会发现根据不同的背景,会有不同的界定。事件是任何对组织资产的保密性、完整性或可用性有负面影响的事故。IT基础设施库第3版(ITIL v3)定义事件为”对于lT服务来说的、非计划的中断或质量的降低。”这些定义涵盖多种直接攻击形式,例如自然事件,如周风或地震;以及人为故障,如不小心割断一条在用的网络电缆。
相反,计算机安全事件(有时被称为安全事件)通常是指攻击结果,或指对部分用户来说是恶意或故意行动的结果。例如,C2350″对计算机安全事件响应的预期值”定义安全事件和计算机安全事件为:”任何破坏某些计算机或网络安全方面的不良事件。”美国国家标准与技术研究所(NIST)专业出版物(SP)800-61″计算机安全事件处理指南”对计算机安全事件的定义是”违反或即将威胁违反计算机安全策略、可接受的使用策略或标准的安全实践。”(NISTSP文档,包括SP800-61,可从NIST专业出版物网址下载: http://csrc.nist.gov/publicationslPubsSPs.html)
在事件响应的背景下,事件是指计算机安全事件。往往,你只会看到事件。例如,在安全操作域的CISSP考生信息公告(CIB)中,”进行事件管理”针对的显然是计算机安全事件。
组织通常将计算机安全事件的含义包含在他们的安全策略或事件响应计划中。定义通常是一到两条句子,还包括安全事件分类及常见事件案例,如下所示:
•任何网络入侵企图
•任何拒绝服务攻击企图
•对任何恶意软件的检测
•任何未经授权的数据访问
•任何违反安全策略的行为
17.1.2 事件晌应步骤
有效的事件响应管理分为几个步骤或处理阶段。概括的事件响应管理涉及5个步骤。重要的是要认识到,事件响应是正在进行的活动和吸取的经验教训,可用来提高检测方法或有助于防止事件重复发生。
检测 => 响应 => 缓解 => 报告 => 恢复 => 修复 => 经验教训
重要的是要强调,事件响应不包括对攻击者的反击。对别人发动攻击往往适得其反并且非法。如果技术人员能够识别攻击者井发动攻击,则很可能导致攻击者的攻击升级。换言之,攻击者可能会考虑周期性地发动怨恨攻击。此外,很可能攻击者隐藏在一个或多个无辜受害者的背后。攻击者经常使用欺骗的方法来隐藏自己的身份,或在僵尸网络上通过僵尸发动攻击。反击很可能会殃及无辜的受害者,而不是针对攻击者本身。
17.1.3 检测
IT环境包括多种检测潜在事件的方法。下面的列表列出了用于检测潜在事件的许多常用方法,还包括报告这些事件的方法:
  • 当相匹配的事项发生时,入侵检测和防御系统(将在本章后面描述)会发送警告给管理员。
  • 当检测到恶意软件时,反恶意软件往往会显示弹出窗口来加以提示。
  • 许多自动化工具定期扫描审计日志,寻找预定义的事件,如使用特殊特权。当它们检测到特定的事件时,通常会向管理员发送警告。
  • 最终用户有时会发现不规则的活动,并联系技术人员或管理员寻求帮助。当用户报告事件时,比如无法访问网络资源,会提醒IT人员存在潜在的安全事件。
仅仅因为IT专业人员从自动化工具或用户投诉那里收到警告,并不能判定安全事件的发生。入侵检测和防御系统往往给人发出虚假的报警,而最终用户容易出现简单的用户错误。IT人员需要调查这些事件,以确定它们是否是真实事件。
许多IT专家被归类为事件的第一响应者。他们是第一批到达现场并具有如何区分典型IT问题和安全事件知识的人。他们类似医疗急救人员,具有突出的技术和能力,在事故现场提供医疗援助,并帮助患者在必要时获得医疗设施。医疗急救人员有专项培训,以帮助他们确定轻微和重大伤害之间的区别。此外,当遇到重大伤害时他们知道该怎么做。同样,IT专业人员需要专门培训,使得他们能够对典型问题进行处理和对安全事件进行升级。在调查一个事件,并确定是安全事件后,IT人员转向下一个步骤:响应。在许多情况下,个人初始调查后进行事件升级,以便其他IT专业人士进行响应。
17.1.4 响应
检测和验证事件后,下一步是响应。响应程度取决于事件的严重程度。许多组织有指定的事件响应团队时被称为计算机事件响应小组(CIRT)或计算安全事件响应小组(CSIRT)。组织通常不会在小事件中激活该团队,而在重大的安全事件发生后才激活该团队。一个正式的事件响应计划会描述谁会在什么条件下能激活该团队。
团队成员应该对事件响应和组织的事件响应计划进行培训。通常情况下,团队成员将协助调查事件、评估损害、收集证据、报告事件和恢复程序。他们还将参与修复和吸取经验教训,并帮助做根本原因分析。
组织如果能较快地响应一个事件,就可以有更好的机会来减少损害。另一方面,如果一个事件持续了几小时或几天,损害可能会更大。例如,攻击者可能试图访问客户数据库。快速的响应可以防止攻击者获得任何有意义的数据。然而,如果让攻击者持续通畅地访问数据库几个小时或几天,攻击者就有可能会得到整个数据库的副本。
在调查结束后,管理层可能决定起诉责任人。正因为如此,重要的是要在调查过程中保护所有的数据作为证据。第19章”事件与道德规范”,涵盖事件处理以及在响应背景下支持调查。如果有任何起诉的可能性,团队成员会采取额外的步骤来保护证据。这保证证据可以在法中使用。
17.1.5 缓解
缓解措施尝试遏制事件。有效的事件响应的主要目标之一是限制事件的影响或范围。例如,如果受感染的计算机通过网卡(NIC)发送数据,技术人员可以禁用网卡或断开网卡连接的网线。有时候,包括断开到其他网络的连接以控制问题在单个网络之中。当问题被隔离之后,安全人员可以解决它,而不必担心它会蔓延到网络的其余部分。
17.1.6 报告
报告是指向组织内部,同时向组织外部报告事件。虽然没有必要报告轻微的恶意软件感染事件给公司的首席执行官(CEO),但高层管理人员确实需要知道严重的安全破坏事件。
组织往往有法律要求,对组织以外报告事件。大多数国家(和许多较小的司法管辖区,包括州和城市)己经制定了监管合规法律来治理安全破坏,特别适用于保留在信息系统中的敏感数据。这些法律通常包括报告事件的要求,特别是如果安全漏洞暴露了客户数据的话。法律根据地域不同而不同,但都寻求保护个人记录和信息隐私,以保护消费者的身份,并建立财务实践和公司治理标准。每个组织都有责任知道什么法律适用于自身井遵守这些法律。
许多管辖区具有保护个人身份信息(PII)的法律。如果PII数据泄露,组织必须报告。不同的法律有不同的报告要求,包括通知受事件影响的个人的要求。换句话说,如果针对系统的攻击导致攻击者获得PII信息,系统的拥有者有责任通知这个攻击以及哪些数据被攻击者访问。
针对严重的安全事故,组织应考虑到报告事件给官方机构。在美国,这可能意味着告知联邦调查局(FBI)、区检察长办公室和(或)州立及当地执法机构。在欧洲,组织可以报告事件给国际刑事警察组织(INTERPOL)或基于事件和地区的其他一些机构。这些机构可能协助调查,他们收集的数据可能会帮助防止针对其他组织的未来攻击。
许多事件没有被报道,因为它们不被确认为事件。这往往是专业知识不够的结果。实际的解决办法是确保人员有相关的培训。培训应该教会个人如何识别事件,在最初的反应中做什么,以及如何报告事件。
17.1.7 恢复
调查人员从系统收集所有适当的证据后,下一步是恢复系统或将系统恢复到完全正常的状态。
对小事件而言这非常简单,可能只需要重新启动。然而,重大事件可能需要完全重建系统。重建系统包括从最近的备份中恢复所有的数据。
当受损的系统重建时,重要的是要确保配置正确,至少和事件发生前一样是安全的。如果组织具备有效的配置管理和变更管理程序,这些程序将提供必要的文档,以确保重建的系统配置正确。有些事情要做双重检查,包括访问控制列表(ACL),确保不必要的服务和协议被禁用或删除,安装所有最新的补丁,还有用户账户的默认值被修改。
17.1.8 修复
在修复阶段,人员观察事件并确定什么原因导致事件发生,然后实施措施以防再次发生,这包括执行根本原因分析。
执行根本原因分析是为了确定什么原因导致事件发生。例如,如果攻击者通过网站成功访问了一个数据库,人员将检查系统所有元素以确定是什么让攻击者获得成功。如果根本原因分析确定一个漏洞可以缓解,这时建议进行变更。
可能是Web服务器没有安装最新的补丁,允许攻击者获得服务器的远程控制。补救措施可能包括实施补丁管理。也可能是网站应用没有使用足够的输入验证技术,允许进行成功的SQL注入攻击。补救将涉及更新应用程序,包括输入验证。还可能是数据库位于Web服务器而不是后端数据库服务器。修复意味着将数据库移到位于另一个防火墙后面的服务器上。
17.1.9 经验教训
在吸取经验教训阶段,人们检查事件和响应,看看有没有任何经验教训可以吸收。事件响应小组将参与这个阶段,但是其他了解该事件的员工也将参与。
在检查事件响应时,人们可以寻找改进响应的任何方面。例如,如果响应团队需要很长时间来遏制事件,应确定原因。可能是因为人们没有得到足够的培训,没有足够的知识和技能来有效响应。当收到第一个警告时,他们可能没有认识到这是安全事件,允许攻击持续的时间比需要的更长。第一响应者可能没有认识到需要保护证据,并在响应过程中不经意地破坏了证据。
记住,这个阶段的输出可以反馈到事件管理的检测阶段。例如,管理员可能会意识到,攻击未被发现,需要增加检测能力并建议对入侵检测系统进行升级。
完成经验教训审查后,通常需要事件响应团队编写一份报告。根据发现,事件响应团队可能会建议程序变更,增加安全控制,甚至改变策略。管理层将决定哪些建议予以实施,并为他们因拒绝建议而遗留的风险负责。
17.2 部署预防措施
理想情况下,组织完全可以通过实施预防措施避免事故。
17.2.1 基本的预防措施
虽然没有可以防止所有攻击的单一步骤,但可以采取一些能抵御大多数典型攻击的大有帮助的步骤。这些步骤中的大多数在本书的其他领域有更深入描述,但在本节中也被作为介绍列出来了。
  • 保持系统和应用最新。供应商定期发布补丁以纠正错误和安全漏洞,但这些补丁需要被部署才会有效。补丁管理(见第16章”管理安全运营”)能确保在系统和应用程序上安装最新的相关补丁。
  • 删除或禁用不必要的服务和协议。如果系统不需要某个服务或协议,它就不应该运行。攻击者不可能利用没有在系统上运行的服务或协议中的漏洞。作为极端对比,想象一台Web服务器正在运行所有可用的服务和协议,它很容易受到任何这些服务和协议的潜在攻击。
  • 使用入侵检测和防御系统。入侵检测和防御系统观察活动,试图检测攻击,并提供警报。它们往往可以阻止或停止攻击。这些系统在本章后面会有深入介绍。
  • 使用最新的反恶意软件。第21章”恶意代码和应用攻击”涵盖各种类型的恶意代码,如病毒和蠕虫。主要对策是反恶意软件,在本章后面会覆盖到。
  • 使用防火墙。防火墙可以阻止许多不同类型的攻击。基于网络的防火墙保护整个网络,基于主机的防火墙保护个人系统。第11章”安全网络架构和保护网络组件”包括在网络中使用防火墙的信息,井且本章包括描述防火墙如何阻止攻击的内容。
17.2.2 理解攻击
安全专业人员需要了解常见的攻击方法,采取有效措施预防攻击,在攻击发生时能够识别出来,并采取适当方法做出响应。本节对一些常见的攻击方法进行了概述。下面的部分讨论了许多用于阻止这些或其他攻击的预防措施。
1.拒绝服务攻击
拒绝服务(DoS)攻击能够阻止系统处理或响应来自资源和客体的合法数据或请求。
另一种形式的DoS攻击是分布式拒绝服务(DDoS)攻击。DDoS攻击发生时,多个系统在同一时间攻击单个系统。例如,一组攻击者可以发动针对同一个系统的协同攻击。然而今天,攻击者会将几个系统联合起来,并将其作为平台,以便对想要攻击的系统采取行动。攻击者通常使用僵尸网络(在本章稍后描述)发动DDoS攻击。
一种变体的DoS形式被称为分布式反射拒绝服务(DRDoS)攻击,它利用反射方式发起攻击。换句话说,它不是直接攻击受害者,而是代替操纵流量或网络服务,以使攻击反射回来自其他来源的受害者。域名服务(DNS)投毒攻击(第12章中有介绍)和smurf攻击(本章后面有介绍)就是这样的例子。
SYN泛洪攻击是一种常见的DoS攻击,它通过破坏TCP/IP启动通信会话的三步握手标准来实施攻击。使用SYN Cookie是阻断这类攻击的一种方法。这些小记录消耗小部分系统资源。当系统接收到ACK应答时,检查SYNCookie并建立会话。防火墙通常能够通过检测和防御系统检测SYN攻击。
2.smurf和fraggle攻击
smurf和fraggle攻击都属于DoS攻击。smurf攻击是另一种类型的泛洪攻击,但使用网络控制消息协议(ICMP)回应数据包而不是TCP SYN数据包来攻击其他系统。更具体地说,是使用受害者的IP地址作为源IP地址的伪造广播ping。
3.ping泛洪攻击
ping泛洪攻击通过给受害者发送洪水般的请求来达到攻击目的,在DDoS攻击中给僵尸网络发送僵尸信息的效果很明显。如果成千上万的系统同时给一个系统发送ping请求,该系统将在试图回应ping请求时发生混乱。受害者便没有时间来回应合法请求。今天常见的一种处理方式就是阻断ICMP流量。主动入侵检测系统能检测到ping泛洪攻击,然后通过修改系统环境来阻断ICMP流量。
4.僵尸网络
今天僵尸网络相当普遍。僵尸网络中的计算机就像机器人(通常称为僵尸),并将会按照攻击者的要求执行命令。僵尸牧人通常是指通过一个或多个命令控制所有计算机和服务器的罪犯。僵尸牧人在服务器中输入命令,僵尸定期执行命令并控制服务器接收指令。僵尸牧人通常使用僵尸网络中的计算机来发起大范围攻击,发送垃圾邮件和钓鱼邮件,或向其他罪犯租用僵尸网络。
计算机通常在被一些恶意代码或恶意软件感染后,加入僵尸网络。
5.死亡ping
死亡ping攻击采用一个超大的ping数据包。ping数据包通常是32或64字节,但不同的操作系统可以使用其他的大小。死亡ping攻击将ping数据包的大小改到超过64,这比许多系统可以处理的大小都要大。当系统收到的ping数据包大于64时,就会出现问题。在某些情况下,系统就会崩溃。在其他情况下,将导致缓冲区溢出错误。现今,死亡ping攻击很少能够成功,因为补丁和更新改善了系统的脆弱性。
6.泪滴攻击
在泪滴攻击中,攻击者阻碍传输,系统无法将数据包一起发回。大数据包通常被分成较小的碎片,当它们被发送到网络上时,接收系统把数据包碎片还原到原来的状态。然而,泪滴以一种系统无法将文件还原在一起的方式分割数据包。旧的系统无法处理这种情况,并且会崩渍,但补丁解决了这个问题。目前的系统不容易受到泪滴攻击,但需要强调保持系统更新的重要性。此外,入侵检测系统可以检查畸形数据包。
7.land攻击
land攻击是指攻击者使用受害者的IP地址作为源IP地址和目的IP地址,并发送伪造的SYN数据包给受害者。这使系统不断地对自己做出应答,并最终可能会冻结、崩溃或重新启动。这种攻击在1997年被第一次发现,它几次攻击不同的端口。保持系统更新并使用过滤和检测相同的源和目的IP地址的流量,有助于防止land攻击的发生。
8.零日攻击
零日攻击是指利用他人未知的系统漏洞对系统发起攻击。
9.恶意代码
恶意代码是指在计算机系统上执行不必要的、未授权的或未知活动的脚本或程序。恶意代码可以采取多种形式,包括病毒、蠕虫、特洛伊木马、具有破坏性的宏文件和逻辑炸弹。它们通常被称为恶意软件或恶意代码。恶意代码存在于每一种类型的计算机或计算设备上,它们是现今最常见的安全问题。
10.中间人攻击
当恶意用户能够逻辑上获得正在进行通信的两个端点之间的位置时,中间人攻击就会产生。
11.战争拨号
战争拨号是一种使用调制解调器搜索接受入站连接尝试的系统的行为。战争拨号器通常是附有调制解调器以及运行战争拨号程序的计算机,也可以是一台单独的设备。不管采用哪种形式,战争拨号器都被用于系统地拨打电话号码,并且能够侦昕计算机载波音。一旦检测到某个计算机载波音,战争拨号器就会在搜索过程结束时,在生成的报告中添加相应的电话号码。
12.破坏
破坏指的是员工对组织的破坏行为。如果员工对组织的资产足够了解,且有足够的机会来操作环境的关键位置,破坏将会构成风险,破坏通常发生在员工自身怀疑将被无故解雇或被解雇员工仍对系统有访问权的情况下。
这也是员工被解雇后应立即终止或禁用其账户的另一个重要原因,预防员工破坏的其他保障措施还有定期审计、监测异常或未授权的活动、保持员工和管理人员之间的沟通开放,并适当奖励员工。
13.间谍
间谍是一种收集专有的、秘密的、私人的、敏感或机密信息的恶意行为。攻击者经常从事间谍活动,目的是向竞争对手或其他感兴趣的组织(如外国政府)披露或出售信息。攻击者可以是不满的员工,在某些情况下,也可以是受来自其他组织勒索的员工。
间谍也可以指被安排在某一组织的人或被放置在组织内的设备,用于为主要秘密雇主提供信息。
在某些情况下,间谍活动的发生离工作场所较远,比如在会议上或大事件中,这些人专门利用员工的流动性进行间谍活动。
反间谍活动指严格控制访问所有的非公开数据,彻底筛选新的员工,并有效地跟踪所有员工活动。
17.2.3 入侵检测和防御系统
入侵发生时,攻击者能够绕过或破坏安全机制,并获得组织的资源。入侵检测是一种特定形式的监测,通过监控记录信息和实时事件来检测潜在事件或入侵的异常活动。入侵检测系统(IDS)通过自动检测日志和实时系统事件以检测入侵和系统故障。
入侵检测系统能够有效检测许多DoS和DDoS攻击。它们可以识别来自外部连接的攻击,如来自互联网的攻击,以及通过内部传播的攻击,如恶意蠕虫。一旦发现可疑的事件,便会通过发送或响起警报的方式来做出回应。在某些情况下,它们可以修改环境来阻止攻击。入侵检测系统的主要目标是提供能够及时和准确应对入侵的方法。
入侵防御系统(IPS)具有入侵检测系统的所有功能,而且还可以采取额外的措施来阻止或防止入侵。如果需要的话,管理员可以禁用IPS中的这些额外功能,使之成为入侵检测系统。
1.基于知识和基于行为的检测
基于知识的检测最常用的检测方法是基于知识的检测(又称为模式匹配检测或基于签名的检测)。
基于行为的检测第二种检测类型是基于行为的检测(也被称为统计入侵检测、异常检测和基于启发式的检坝。基于行为的检测最开始在系统中创建正常活动和事件的基线。一旦积累足够多的能够确定正常活动的基线数据,便可以检测恶意入侵或恶意事件的异常活动。
2.主动响应
虽然基于知识和基于行为的入侵检测系统使用的方法不同,但是它们都使用警报系统。当入侵检测系统检测到事件时,便会触发报警。然后,可以使用被动或主动的方法做出响应。被动响应是指系统记录事件并发送通知。主动响应是指系统通过改变环境来阻止活动而不是做记录和发送通知。
3.主机型和网络型IDS
IDS一般根据信息来源进行分类。目前主要有两类IDS:主机型与网络型。主机型IDS(HIDS)监视单个计算机或主机上的可疑活动,网络型IDS(NIDS)则监视在网络介质上进行的可疑活动。
4.入侵防御系统
入侵防御系统(IPS)是一种特殊类型的主动入侵检测系统,能够在攻击到达目标系统之前进行检测并阻止攻击,有时也被称为入侵检测和防御系统(IDPS)。两者之间最主要的区别就是IPS同流量保持一致。换句话说,所有流量必须通过IPS,IPS可以在分析之后选择将流量通过或阻止。这使得IPS能够阻止攻击到达目标。
5.理解黑暗网络
在入侵检测环境中,黑暗网络使用己分配的、但不使用的IP地址网络空间的一部分,包括一台已配置的、为捕获所有进入黑暗网络的流量的设备。由于IP地址没有被使用,黑暗网络没有任何其他主机并且也应该根本没有任何流量。但是,如果正在探测网络的攻击者或恶意软件正在试图扩散,那么黑暗网络中的主机将会探测和捕捉到这项活动。这样的好处是很少有误报信息。合法流量不会出现在黑暗网络中,除非有网络配置错误,否则出现在黑暗网络中的流量是不合法的。
17.2.4 特殊的防御措施
虽然入侵检测和防御系统对于保护网络需要走很长的路,但是管理员通常可以使用额外的安全控制措施来保护他们的网络。以下部分描述了其中几个额外的预防措施。
1.蜜罐/蜜网
蜜罐通过创建独立的计算机作为陷阱来捕获入侵者。可通过两个或多个联网蜜罐一起来模拟网络。它们看起来像是合法的系统,但它们对于攻击者不存放任何真实的有价值的数据。管理员通常配置带有漏洞的蜜罐,诱使入侵者攻击他们。它们可能是未打的补丁或管理员有意打开的安全漏洞。
目标是抓住入侵者的注意力,井使入侵者远离保存有价值资源的合法网络。合法用户无法访问蜜罐,因此对蜜罐的任何访问都很可能是未授权的入侵者。
2.理解伪漏洞
伪漏洞是被故意植入系统中,试图引诱攻击者的虚假漏洞或明显漏洞。它们通常作为己知的操作系统漏洞被用在蜜罐系统中。试图寻找己知漏洞的攻击者可能会被伪缺陷迷惑,并认为他们已经成功穿透了系统。更复杂的伪缺陷机制能够完全模拟渗透效果并向攻击者证明,他们已经成功获得系统的访问权。然而,当攻击者破解系统时,监测和报警机制已经被触发,并向管理员发出威胁警报。
3.理解填充单元
填充单元系统与蜜罐类似,但使用不同的方式来隔离入侵。当入侵者被IDS检测到时,入侵者被自动转移到填充单元。填充单元具有实际网络的结构和布局,但是在填充单元里,入侵者既不能执行任何恶意活动,也不能访问任何机密数据。
填充单元是模拟环境,类似蜜罐,通过提供伪造数据来吸引入侵者。但是,将入侵者转移到填充单元时,并不会告知入侵者环境已经发生变化。相比之下,攻击者选择攻击蜜罐。填充单元被管理员严密监控,并且用它们跟踪和收集可能发生的诉讼证据。
4.警告框
警告框将基本安全策略准则通知给用户和入侵者。通常他们会提示在线活动被审计和监控,并提供受限制的活动提醒。在大多数情况下,从法律的角度来看,警告框中的措辞很重要,因为这些警告框可以将用户合法地束缚到一组活动、行为或过程中。
能够登录到系统的未经授权人员也能看到警告框。在这种情况下,警告框可以被看作”禁止入内”的牌子的电子等价物。当所有活动被监测并记录,且警告框清楚表明禁止未经授权的访问时,可以对入侵者和攻击者发起起诉。
5.反恶意软件
阻止恶意代码最重要的措施是使用带有最新签名文件的反恶意软件。攻击者定期发布新的恶意软件,并经常修改现有的恶意软件来阻止反恶意软件的检测。反恶意软件供应商寻找这些变化,并开发新的签名文件来检测新的恶意软件并对其进行修改。几年前,反恶意软件供应商建议每周更新一次签名文件。然而现今,在没有用户干预的情况下,大多数的反恶意软件每天会检查更新数次。
6.白名单和黑名单
白名单和黑名单可以有效阻止用户运行未授权的应用。它们还有助于预防恶意软件感染。
白名单有助于识别系统中经过授权的软件,黑名单能够识别系统中未经过授权的软件。自名单中不含有恶意软件,但能阻止其运行。一些白名单识别应用程序使用哈希算法来创建哈希。然而,如果一个应用程序感染了病毒,该病毒可以有效地改变哈希,因此自名单也能阻止这类被感染的应用程序运行(第6章”密码学与对称加密算法”讨论了更深入的散列算法)。
7.防火墙
防火墙通过过滤流量为网络提供保护。
8.沙箱
沙箱为应用提供了一个安全边界,以防止应用程序与其他应用程序交互。反恶意软件应用程序使用沙箱技术来检测未知的应用。如果应用显示可疑特征,沙箱技术能够防止应用感染其他应用程序或操作系统。
应用程序开发人员经常使用虚拟化技术来测试应用程序。他们创建一台虚拟机,接着将其与主机和网络隔离,并且他们能够在不影响虚拟机外部环境的情况下在沙箱中对软件进行检测。同样,许多反恶意软件厂商使用虚拟化作为沙箱技术来观察恶意软件的行为。
9.第三方安全服务
一些组织将安全服务外包给第三方,这是该组织以外的个人或组织。其中可以包括许多不同类型的服务,如检测和渗透测试。
在某些情况下,组织必须向外部实体提供保证,第三方服务提供商必须符合特定的安全要求。
例如,组织进行主要信用卡交易时,须符合支付卡行业数据安全标准PCI DSS)。这些组织经常外包一些服务,PCI DSS要求组织保证服务方也能遵守PCI DSS。换言之,组织不能外包责任。
10.渗透测试
渗透测试是另一种预防性措施,组织可以用来应对攻击。渗透测试(通常简称为pentest)模仿实际攻击,尝试确定攻击者会使用哪些技术绕过应用程序、系统、网络或组织的安全性,可能包括漏洞扫描、端口扫描、数据包嗅探、DoS攻击和社会工程学技术。
当进行渗透测试时,安全专家会设法避免中断。但渗透测试有入侵性,可能会影响系统的可用性。因此,安全专家在执行任何测试之前,得到高级管理层批准是非常重要的。
定期实施渗透测试是评价组织内部使用的安全控制是否有效的一个好方法。渗透测试可以揭示什么区域的补丁或安全设置不够,哪里的新漏洞被开发出来或己暴露,以及哪些安全策略是无效的或无法跟踪。攻击者可以利用这些漏洞。
渗透测试通常包括漏洞扫描或漏洞评估以发现漏洞。但是,渗透测试会更进一步,试图利用这些弱点。例如,漏洞扫描器会发现有后端数据库的网站没有使用输入验证技术,容易受到SQL注入攻击。然后,渗透测试会使用SQL注入攻击访问整个数据库。类似地,漏洞评估可以发现员工没有接受关于社会工程学攻击的教育,渗透测试可以使用社会工程学方法访问安全区域或从员工那里获取敏感信息。
这里列出了一些关于渗透测试的目标:
•确定系统对于攻击有多高的容忍度
•确定员工检测和实时响应攻击的能力
•识别可实施以降低风险的额外控制
17.3 日志、监控和审计
日志、监控和审计程序有助于组织防止事件发生,并能够在事件发生时做出有效响应。下面的章节将叙述日志和监控等内容,以及用于评估访问控制的有效性的各种审计方法。
17.3.1 日志和监控
日志将事件记录到各种日志中,并监控这些事件。联合、日志和监控体系使得组织能够追踪、记录和审查活动,提供完全的可问责性。
这有助于组织检测可能会对系统机密性、完整性和可用性产生负面影响的不良事件,也有助于在事件发生后重建活动,以确定发生了什么,有时能够为起诉相关负责人员提供证据。
1.日志技术
日志、记录是将事件的信息记录到日志文件或数据库的过程。日志记录捕获的事件、变更、信息通知和其他数据能够描述系统上发生的活动。日志通常会记录细节,如发生了什么事、在什么时候、在哪里、谁做的,有时还记录事件是如何发生的。当需要寻找最近发生的事件时,系统日志是个很好的开始。
2.通用日志类型
有许多不同类型的日志。下面是一个在IT环境中常见日志的短列表。
  • 安全日志——安全日志能够记录对一些资源的访问,如文件、文件夹、打印机等。例如,当用户访问、修改或删除文件时,安全日志能够记录下来。许多系统能够自动记录对关键系统文件的访问,但需要管理员在登录访问之前启用对其他资源的审计。例如,管理员可能会为专有数据配置日志记录,但不会对发布在网站上的公共数据进行配置。
  • 系统日志——系统日志记录类似于系统或服务器的开启或关闭等事件。如果攻击者能够关闭系统并使用CD或USB闪存驱动器将其重启,他们就可以从系统中窃取数据而不留下任何访问记录。同样,如果攻击者能够将正在监视系统的服务停止,他们就可能能够在不产生任何行动日志的情况下访问系统。能够检测出系统重启或服务停止的日志有助于管理员发现潜在恶意行为。
  • 应用程序日志——这些日志记录特定应用程序的信息。应用程序开发人员能够选择要在应用程序日志中做出记录的程序。例如,开发人员可以设置在任何人访问特定的数据对象(如表或视图)时,日志做出记录。
  • 防火墙日志——防火墙日志可以记录与到达防火墙的流量相关的任何事件,包括防火墙允许的流量和阻止的流量。这些日志通常记录主要的数据包信息,如源和目的E地址、源和目的端口,但不记录数据包的实际内容。
  • 代理日志——代理服务器为用户提高了互联网访问性能,并可以控制用户访问的网站的范围。代理日志有记录详细信息的功能,如特定用户访问了哪些网站,以及他们浏览网站花费了多长时间。当用户试图访问己知的禁止访问的网站时,代理日志也能够做出记录。
  • 变更日志——作为整体变更管理过程的一部分,变更日志能够记录变更请求、批准和系统的实际变更。跟踪被批准的变更是很有益处的。作为灾难恢复计划的一部分,变更日志仍大有益处。例如,发生故障之后,灾难管理员或技术人员可以使用变更日志将系统还原,其中包括所有应用的变更。
3.保护日志数据
组织内部人员可以使用日志来重新创建事件,但前提是日志没有被修改。如果攻击者可以修改日志,他们便能够擦除自己的活动痕迹,有效地清除有价值的数据。文件便不再含有准确的信息,也不能作为起诉攻击者的证据。所以,保护日志文件免受未授权的访问和修改是很重要的。
在中央系统上存储日志的副本来保护日志的方法很常见。即使攻击者修改或破坏了原始文件,工作人员也仍然可以使用副本查看事件。保护日志文件的一个方法是通过指定权限来限制他们的访问权。
对于实施日志文件备份的组织通常都有严格的管理策略。此外,这些策略都规定了备份保留时间。例如,组织可能会将归档日志文件保存一年、三年或更长时间。一些政府法规要求组织无限期地保存归档日志。能够设置日志只读模式、分配权限、实施物理控制的安全控制可以保护归档日志免受未授权的访问和修改。当不再需要日志时,应及时销毁。
4.角色监控
监控功能为组织带来了很多好处,比如增加可问责’性、帮助调查、提供基本的故障排除方法。
5.监控技术
监控是一种检查信息日志并寻找具体某些细节的过程。工作人员可以手动查看日志,或使用工具来自动处理过程。监控是必要的,以检测恶意行动,以及入侵和系统故障。还可以帮助重建事件,提供起诉证据,并创建分析报告。
日志分析是监测过程中一种详细且系统化的模式,日志分析能够分析监测记录信息的趋势、模式,还能够分析未授权的、非法的、违反策略的活动。日志分析不一定是对事件的响应,而是一项周期性的任务,可以检测潜在的问题。
17.3.2 出口监控
出口监测是指监测传出的流量,以防止数据泄露,也就是防止组织数据的未授权传输。防止数据泄露的一些常见方法有:使用数据丢失防护技术,寻找隐藏的企图,以及利用水印检测未经授权的数据。
1.数据泄露保护
数据丢失防护(Data Loss Prevention,DLP)系统能够检测和阻止数据泄露的企图。这些系统有扫描数据、寻找关键字和数据模式的能力。例如,假如组织使用机密的、专有的、私有的和敏感的数据分类,DLP系统可以扫描文件来寻找这些关键字并检测。模式匹配的DLP系统寻找特定的模式。DLP系统有两种主要类型:基于网络的DLP和基于终端的DLP。
2.隐写术
隐写术指的是在文件中嵌入消息。
3.水印
水印指的是在纸上嵌入不容易感知的图像或图案,经常被用来防止伪造货币。同样,组织经常使用含数字水印的文件。
17.3.4 审计和评估有效性
许多组织都有强大且有效的安全策略。然而,有策略并不意味着工作人员了解或遵守策略。许多时候,组织将会通过审计环境的方式评估其安全策略和相关的访问控制。
审计是对环境有条理地进行检查或审查,目的是确保符合法规,并且还能够检测异常、未授权的事件或犯罪。审计验证了部署在环境中的安全机制是否能够提供足够的安全性。测试过程确保工作人员遵循由安全策略或其他规则制定的要求,并且在部署的安全解决方案中不存在重大漏洞或弱点。
审计人员负责测试和验证安全策略或法规的具体落实过程和程序,并通过检查使它们能够满足组织的安全要求。他们还验证工作人员是否遵循这些过程和程序。总的来说,审计人员执行审计。
1.检验审计
2.访问审查审计
3.用户权限审计
4.特权组审计
5.高级别管理组
6.双重管理员账号
7.安全审计和审查
8.报告审计结果
9.保护审计结果
10.发布审计报告
11.使用外部审计师
17.4 本章小结
  • CISSP CIB列出了6个具体的事件响应步骤(检测、响应、缓解、报告、恢复、吸取经验教训)。检测是第一步,可以根据自动化工具或员工的建议执行。工作人员调查警报,以确定是否实际发生了安全事件,如果发生了,下一步是响应。在缓解阶段,遏制事件进一步恶化是很重要的。在应对处理事件的整个过程中,保护证据也是很重要的。根据有关法律或组织的安全策略,很可能需要填写报告。在恢复阶段,系统需要恢复到能够完整地进行操作的阶段,确保系统恢复到攻击发生之前的一个较为安全的状态也是很重要的。整理阶段往往会对问题的根本原因进行分析,且常常包括相应的预防措施。最后,吸取经验教训|阶段会对事件及应对措施进行反思,以寻找是否有可以吸取的任何经验教训。
  • 有几个基本步骤可以防止许多常见的攻击。它们包括保持系统和应用程序更新补丁,删除或禁用不必要的服务和协议,使用入侵检测和防御系统,使用含最新签名的反恶意软件,并启用基于主机和基于网络的防火墙。
  • 拒绝服务(DoS)攻击阻止系统处理或响应对合法服务的请求,常常通过互联网攻击系统。SYN泛洪攻击能够破坏TCP三次握手过程,并且这在现今是很常见的,而其他的攻击往往是在旧的攻击方式上稍作改进。僵尸网络通常被用于分布式DoS(DDoS)攻击。
  • 零日漏洞是以前未知的漏洞。以下基本预防措施有助于防止零日漏洞攻击。
  • 像入侵检测系统这样的自动化工具能够使用日志来监视环境,并检测正在发生的攻击。一些工具还可以自动阻止攻击。IDS使用的检测方法有两种:基于知识的IDS和基于行为的IDS。基于知识的入侵检测系统使用攻击签名的数据库进行检测,但检测不到新的攻击方式。基于行为的入侵检测系统使用正常活动的基线标准,然后将基线同非正常活动的基线进行比较。
  • 被动响应将会记录攻击活动,对于和利益相关的条目,被动响应还会发出警报。主动响应会通过变更环境的方式阻止攻击活动。
  • 基于主机的系统会被安装在单一主机上,并对其进行监控:而基于网络的系统会被安装在网络设备上,并监测网络的整体活动。
  • 入侵防御系统与流量保持一致,能够在恶意流量到达之前进行阻止。
  • 蜜罐、蜜网和填充单元是防止在生产网络中发生恶意活动,并引诱攻击者的有力工具。它们常常含有用来引诱攻击者的伪漏洞和假数据。管理员和安全人员也使用这些工具来收集证据,以便起诉攻击者。
  • 反恶意软件的及时更新能够防止许多恶意代码攻击。反恶意软件通常安装在互联网和内部网络之间的边界、电子邮件服务器和每个系统上。限制用户安装软件的权限有助于防止用户意外地安装恶意软件。此外,让用户了解不同类型的恶意软件,以及犯罪分子如何试图欺骗用户等知识,能够帮助他们避免危险行为。
  • 渗透测试对于检测安全措施和组织的安全策略的强度和效率很有益。渗透测试通常以漏洞评估或扫描开始,然后尝试利用漏洞。渗透测试只有在得到管理批准的情况下才能进行,且只能在测试系统而不是生产系统中执行。组织经常聘请外部顾问进行渗透测试,并可以控制这些测试人员对系统的了解程度。
  • 零知识测试通常被称为”黑盒测试”,全知识测试通常被称为”白盒”或”水晶盒测试”,而部分知识测试通常被称为”灰盒测试”。
  • 当日志记录和监测与有效的认证和识别方法结合在一起时,便能够提供详细的细节。日记记录包含对日志和数据文件中事件的记录。安全日志、系统日志、应用程序日志、防火墙日志、代理日志和变更管理日志都是常见的日志文件。日志文件包含有价值的数据,故应加以保护,以确保它们不会被修改、删除或受到损坏。如果不对日志施加保护,攻击者常常会试图修改或删除日志,这样就没有了起诉攻击者的证据。
  • 监控包括实时审查日志,这也是审计的一部分。将事件或突发情况的有关信息记录到一个或两个数据库或文件中,就创建了审计跟踪记录。它们可以用来重建事件,提取关于事件的信息,并证明或反驳罪责。审计跟踪提供了一种被动形式的检测安全控制,就像CCTV(闭路电视)和安全警卫一样,审计跟踪也被认为是一种威慑手段。此外,在起诉犯罪时也需要审计跟踪。日志可能会很大,所以人们会使用不同的方式来分析日志,或减小日志的大小。抽样是用来分析日志的统计学方法,使用阈值级别对和利益相关的条目进行统计。
  • 使用不同的审计和审查方式能够对访问控制的有效性进行评估。审计是一种针对环境的有条理的审查方式,能够确定环境符合规定,并检测异常和未经授权的事件或犯罪。访问审查确保访问和账户管理操作符合组织的安全策略。用户权限审计确保工作人员遵守最小特权原则。
  • 审计报告以文档形式记录审计结果。应对这些报告加以保护,仅限于组织内特定的人才能查看报告。高级管理人员和安全专家需要了解安全审计的结果,但是如果攻击者得到了审计报告,他们将会利用报告寻找可以利用的漏洞。
  • 审计报告能够用来保证控制措施和工作正确开展。审计能够用来检查补丁管理、漏洞管理、变更管理和配置管理程序。
17.5 考试要点
  • 了解事件响应的步骤——CISSP CIB将事件响应分为以下几个步骤:检测、响应、缓解、报告、恢复、整理和吸取经验教训。在检测和验证事件的发生之后,第一反应是限制事件的扩散范围,并同时做好证据保护工作。根据管理法规的要求,组织需要向上级报告事件。如果对PII产生影响,则需要通知到个人。整理和吸取经验教训阶段包括执行根本原因分析,以确定成因和建议的解决方案,防止复发。
  • 了解基本的预防措施——基本的预防措施可以防止许多事件的发生。这些措施包括保持系统更新,删除或禁用不必要的协议和服务,使用入侵检测和防御系统,使用含最新签名的反恶意软件,并使用基于主机和基于网络的防火墙。
  • 了解拒绝服务(DoS)攻击——拒绝服务(DoS)攻击能够阻止系统对合法服务的请求的回应。最常见的DoS攻击有SYN泛洪攻击,该攻击能够破坏TCP二次握手过程。尽管现今由于预防措施的阻止,旧的攻击方式不是很常见,但我们仍然需要对它们进行检测,因为许多新的攻击方式往往是从旧的攻击方式演变而来的。使用放大网络的smurf攻击能够向众多受害者发送大量的回应数据包。ping死亡攻击向受害者发送大量的ping数据包,导致受害者系统被冻结、崩溃或重新启动。
  • 理解僵尸网络、僵尸网络控制器和僵尸牧人——由于能够发动攻击的电脑数量庞大,因此僵尸网络是重大威胁。所以,了解它们是什么很重要。僵尸网络是网络上由名为僵尸牧人的犯罪分子控制的受损个人电脑(常被称为僵尸)的集合。僵尸牧人使用口令,控制服务器远程控制僵尸,且通常使用僵尸网络对其他系统发起攻击,或者发送垃圾邮件或钓鱼邮件。僵尸牧人也从其他犯罪分子那里租用僵尸网络。
  • 理解零日漏洞——零日漏洞指的是利用除了攻击者或一小部分人以外没有人知道的漏洞,进行攻击的一种方式。表面上看,似乎我们并不能保护未知的漏洞,但是基本安全策略一直在努力预防漏洞的产生。删除或禁用不必要的协议和服务能够减少攻击面,使用防火墙能够屏蔽多数攻击点,且使用入侵检测和防御系统有助于检测和阻止潜在的攻击。此外,类似于蜜罐和填充单元这样的工具也能够保护网络。
  • 理解中间人攻击——当恶意用户能够在通信链路的两端之间获得逻辑位置时,中间人攻击就会发生。虽然对攻击者来说完成中间人攻击很复杂,但是从攻击中获得的数据量是相当可观的。
  • 理解破坏行为和间谍行为——如果组织的内部员工因某些原因对组织产生了不满,可能会实施破坏行为。当组织的竞争对手试图偷取信息时,他们通常会买通该组织的内部员工以实施间谍行为。一些基本安全原则(如最小特权原则、及时解雇原则)的实施有助于限制不满员工的行为,井减少因攻击受到的损失。
  • 理解入侵检测和入侵防御——IDS和IPS是重要的检测和预防攻击的方法。应了解基于知识(使用类似于反恶意软件签名的数据库)的检测和基于行为的检测方式之间的区别。基于行为的检测首先确定一个正常情况下的基线,并使用该基线同活动基线作对比,以检测有无非正常活动。如果网络环境被修改,基线就会失效,所以在系统环境发生变更之后应更新基线。
  • 识别IDS/IPS响应——入侵检测系统可以通过日志记录和发送通知做出被动响应,也可以通过变更环境做出主动响应。一些人将之称为IDS和IPS。然而,IPS与流量相一致,包含在恶意流量到达目标之前做出阻止响应的功能。
  • 理解HIDS和NIDS之间的差异——主机型IDS(HIDS)可以监测单一系统上的活动。缺点是攻击者能够发现并将其禁用。网络型IDS(NIDS)可以监测网络上的活动,且对攻击者不可见。
  • 理解蜜罐、填充单元和伪缺陷——蜜罐是一种含有伪缺陷和假数据,用来引诱入侵者的系统。管理员可以观察蜜罐中的攻击者的活动。只要攻击者在蜜罐中,他们就没有对真实网络造成攻击。经过检测,一些IDS具有将攻击者转移到填充单元中的功能。虽然蜜罐和填充单元相似,但蜜罐用来引诱攻击者,而攻击者会被转移到填充单元中。
  • 理解阻止恶意代码的一些方法——将几种工具组合在一起能够破解恶意代码。最常见的就是拥有最新补丁包的反恶意软件。这些程序被安装在每个系统中、网络边界或电子邮件服务器上。然而,一些策略要求遵守基本的安全原则,如最小特权原则,这能够有效防止普通用户安装恶意软件。此外,对用户进行攻击风险及攻击手段方面的知识教育能够帮助用户了解并避免危险行为。
  • 理解渗透测试——渗透测试从发现漏洞开始,然后模仿攻击,以确定什么样的漏洞可以被利用。没有管理层明确的同意通知是不能进行渗透测试的。此外,因为渗透测试可能会导致损坏,所以应尽可能在孤立系统中执行。同时还应该了解黑盒测试(零知识测试)、白盒测试(全知识测试)和灰盒测试(部分知识测试)之间的差异。
  • 了解日志文件类型——日志数据记录在数据库或不同类型的日志文件中。常见的日志文件包括安全日志、系统日志、应用程序日志、防火墙日志、代理日志和变更管理日志。日志文件应通过集中存储和限制访问权限的方法来保护,日志文件的格式应设置为只读,以防他人更改。
  • 理解监控和监控工真的使用——监控是一种审计形式,侧重于对日志文件数据进行主动审查。监控用来保持受试者并使他们对自己的行动负责,同时监控能够检测到异常或恶意的活动。监控也被用来监视系统性能。监控工具(如IDS或SIEM)能够提供对事件的实时分析。
  • 理解审计跟踪——将事件信息记录到一个或更多个数据库或日志文件中,就创建了审计跟踪记录。审计跟踪能够用来重建事件、提取事件信息、证明或反驳罪责。使用审计跟踪是侦查安全控制的一种被动形式,也是起诉犯罪分子的重要证据。
  • 理解抽样——采样或数据提取是从大量的数据中提取所需要素,以构建能够代表整体的总结的过程。统计抽样使用精确的数学函数,从大量的数据中提取有意义的信息。阈值是一种非统计抽样,只记录超出阈值的事件。
  • 理解问责方式——通过对审计的使用,问责能够详细到个人。日志记录了用户活动,用户也能够为记录的行动负责。这使得用户不执行违规行为,并遵守组织的安全策略。
  • 理解安全审计和审查的重要性——安全审计和审查有助于确保管理程序有效且被记录。它们通常与账户管理联系在一起,以防止用户违反最小特权或知其所需原则。然而,它们也可以用于监督补丁管理、漏洞管理、变更管理和配置程序管理。
  • 理解审计和频繁安全审计的必要性——审计是对环境有条理地进行检查或审查,以确保其符合法规,并能够检测异常、未经授权的事件或犯罪。安全IT环境在很大程度上依赖于审计。总体而言,在安全环境中,审计是一种很重要的检测控制手段。IT设施安全审计或安全审查的频率取决于风险。组织会对风险进行评估,以决定补充经费或终止审计。风险等级还影响着审计方式。明确并坚持审计频率是很重要的,从而验证部署在环境中的安全机制能否提供足够的安全性。
  • 理解审计是维护的一方面——安全审计和有效审查是维护的关键要素。高级管理人员必须依照规定执行定期的安全审查,否则他们将可能对发生的任何资产损失负责。
  • 理解控制审计报告访问的必要性——审计报告通常具有相同的概念,如审计目的、审计范围、审计发现或揭示出的结果。审计报告中通常还有环境的具体信息,以及一些敏感信息,如问题、标准、起因和建议。含有敏感信息的审计报告应被单独分类标签,井妥善处理。只有具有访问权限的人才能查看审计报告。提供给不同人的审计报告可以有不同的版本,里面只提供该份报告的目标读者所需要的信息。例如,提供给高级安全管理员的报告应详细说明所有细节,提供给普通管理人员的报告只含有概括性的信息。
  • 了解访问审查和用户权限审计——访问审查确保用户访问和账户管理行为符合安全策略中的规定。用户权限审计确保最小特权原则能够实施,并能够对特权账户加以监控。
  • 控制审计访问——定期审查访问控制有助于确保访问控制的有效性。例如,审计可以记录账户的登录成功或失败。入侵检测系统可以监控这些日志,轻松地识别攻击,并通知管理员。
参考链接:

=END=

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/3720.html

《CISSP官方学习指南第7版#第17章》上有10条评论

  1. 一些极好的威胁检测资源
    https://github.com/0x4D31/awesome-threat-detection

    工具(Tools)
    资源(Resources)
      框架(Frameworks)
      研究论文(Research Papers)
      博客(Blogs)
      DNS(DNS)
      C&C(Command and Control)
      PowerShell(PowerShell)
      Osquery(Osquery)
      Sysmon(Sysmon)
    视频(Videos)
    练习(Trainings)
    推特(Twitter)

  2. 微信亿级用户异常检测框架的设计与实践
    https://mp.weixin.qq.com/s/nXYrUgEhaCo4patd1YovOw

    # 设计目标
    为了满足在实际场景检测异常用户的要求,在设计初期,我们提出如下设计目标:
    主要用于检测恶意帐号可能存在的环境聚集和属性聚集;
    方案需要易于融合现有画像信息等其他辅助信息;
    方案需要具有较强的可扩展性,可直接用于亿级别用户基数下的异常检测。

    # 核心思路
    通常基于聚类的异常用户检测思路是根据用户特征计算节点之间的相似度,并基于节点间相似度构建节点相似度连接图,接着在得到的图上做聚类,以发现恶意群体。然而,简单的分析就会发现上述方案在实际应用场景下并不现实,若要对亿级别用户两两间计算相似度,其时间复杂度和空间消耗基本上是不可接受的。为了解决这一问题,可将整个用户空间划分为若干子空间,子空间内用户相似度较高,而子空间之间用户之间的相似度则较低,这样我们就只需要在每个用户子空间上计算节点相似度,避免相似度较低的节点对之间的相似度计算 (这些边对最终聚类结果影响较低),这样就能大大地降低计算所需的时间和空间开销。

发表评论

电子邮件地址不会被公开。 必填项已用*标注