資源描述:
《基于全流量大數(shù)據(jù)分析技術(shù)構(gòu)建電視臺(tái)總控APT攻擊檢測(cè)系統(tǒng)方法初探》由會(huì)員上傳分享���,免費(fèi)在線(xiàn)閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)。
1���、iVlO中央電視臺(tái)宋慶峰北京啟明星辰信息安全技術(shù)有限公司周濤畢親波—/摘要電視臺(tái)總控系統(tǒng)是全臺(tái)信號(hào)調(diào)度和處理的尖鍵和核心��,為防范針對(duì)總控的信息系統(tǒng)的人PT攻擊�,本文通過(guò)全面考慮與APT攻擊行為緊密相尖的多個(gè)因素���,從全流量數(shù)據(jù)存儲(chǔ)檢測(cè)���、未知木馬控制通道識(shí)別、可疑間歇性木馬心跳識(shí)別�、敏感數(shù)據(jù)回傳通道識(shí)別,以及基于不完整信息和應(yīng)用層對(duì)象還原攻擊場(chǎng)景檢測(cè)和重建等多角度考慮�����,設(shè)計(jì)了基于全流量大數(shù)據(jù)安全分析技術(shù)構(gòu)建的APT攻擊檢測(cè)系統(tǒng)�,以便更準(zhǔn)確地發(fā)現(xiàn)針對(duì)總控系統(tǒng)的APT攻擊行為和特征,提升總控系統(tǒng)的信息安全水平�����?�!怄I詞A總控系統(tǒng)大數(shù)據(jù)多維數(shù)據(jù)立方體元數(shù)據(jù)本地
2、計(jì)算環(huán)境APT攻擊信息技術(shù)在電視臺(tái)總控系統(tǒng)中的廣泛應(yīng)用��,為總控系統(tǒng)運(yùn)行的網(wǎng)絡(luò)化���、數(shù)字化帶來(lái)了巨大的便利���,也使總控系統(tǒng)面臨著信息安全的嚴(yán)峻挑戰(zhàn)?���?偪叵到y(tǒng)是電視臺(tái)節(jié)目播出、傳送���、信號(hào)交換的重要環(huán)節(jié)和樞紐����,由于系統(tǒng)中針對(duì)設(shè)備和工作任務(wù)的控制����、管理及監(jiān)測(cè)都基于計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行,一旦遭受攻擊破壞將直接導(dǎo)致任務(wù)無(wú)法有效執(zhí)行���,甚至影響到直播的順利完成��,因此�,防范總控系統(tǒng)安全風(fēng)險(xiǎn),保障系統(tǒng)正常平穩(wěn)運(yùn)行是總控系統(tǒng)安全管控工作的重點(diǎn)����。2013年韓國(guó)多家金融機(jī)構(gòu)和媒體遭受APT攻擊�,使得國(guó)內(nèi)廣電行業(yè)也開(kāi)始重視APT攻擊的防范工作。APT(AdvancedPersistentT
3��、hreat)高級(jí)持續(xù)性威脅���。是指組織(特別是政府)或者小團(tuán)體利用先進(jìn)的攻擊手段對(duì)特定目標(biāo)進(jìn)行長(zhǎng)期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式°由于APT攻擊的“隱蔽性��、連續(xù)性�、長(zhǎng)期性和手段復(fù)雜性”���,導(dǎo)致其行為很難檢測(cè)與發(fā)現(xiàn)��,本文針對(duì)中央電視臺(tái)新址總控系統(tǒng)的網(wǎng)絡(luò)特點(diǎn)��,以全流量檢測(cè)���、未知木馬檢測(cè)和大數(shù)據(jù)安全分析的角度探索性地給出了檢測(cè)和發(fā)現(xiàn)APT攻擊的設(shè)計(jì)方案�����。一新址總控系統(tǒng)簡(jiǎn)介中央電視臺(tái)新址總控系統(tǒng)作為全臺(tái)信號(hào)調(diào)度和處理的為鍵和核心�,其日常工作主要由總控工作人員通過(guò)計(jì)算機(jī)終端操控相矢應(yīng)用軟件進(jìn)行�����,而計(jì)算機(jī)終端通過(guò)總控系統(tǒng)基礎(chǔ)網(wǎng)絡(luò)的交換機(jī)與IT服務(wù)器����、視音頻專(zhuān)業(yè)設(shè)備等進(jìn)行交互
4、����。總控系統(tǒng)的基礎(chǔ)網(wǎng)絡(luò)采用星形網(wǎng)絡(luò)架構(gòu)����,分為核心層和接入層,核心層與接入層之間采用千兆網(wǎng)連接形成高速傳輸網(wǎng)�����。總控系統(tǒng)的網(wǎng)絡(luò)拓?fù)鋱D如圖1所示����。在系統(tǒng)核心層,配置兩臺(tái)核心層交換機(jī)���,實(shí)現(xiàn)與臺(tái)內(nèi)其他網(wǎng)絡(luò)連接以及內(nèi)部接入交換機(jī)的連通�����;在接入層,配置多臺(tái)區(qū)域接入交換機(jī)��,實(shí)現(xiàn)總控系統(tǒng)軟件設(shè)備及視音頻設(shè)備的接入�。總控系統(tǒng)的IT設(shè)備包括應(yīng)用服務(wù)器���、接口服務(wù)器����、數(shù)據(jù)庫(kù)服務(wù)器���、應(yīng)用操作終端等����。IT設(shè)備現(xiàn)已成為總控值班人員完成日常工作的主要操作平臺(tái)。1,1二總控系統(tǒng)APT攻擊檢測(cè)系統(tǒng)的軟件架構(gòu)總控系統(tǒng)的業(yè)務(wù)定位���、應(yīng)用特點(diǎn)和業(yè)務(wù)屬性決定了其運(yùn)行與維護(hù)G11牛產(chǎn)伴汁IxG/h¥?命
5����、俗R(shí)NpGy*u存非濟(jì)◎
6、基于應(yīng)用層對(duì)彖還原的攻擊場(chǎng)景璽建技術(shù)與展示f廉尸不左整信總的攻巴場(chǎng)號(hào)檢測(cè)技術(shù)蔽)r構(gòu)次撲;的文坡出規(guī)則疵分fiiH不可疑鏈路和行為識(shí)別兒數(shù)據(jù)(Metadata)提収技術(shù)APT攻擊檢側(cè)平臺(tái)系統(tǒng)軟件架構(gòu)�三設(shè)計(jì)方法及實(shí)現(xiàn)針對(duì)APT攻擊的檢測(cè)方法和解決方案有多種�����,比較統(tǒng)一和一致的觀點(diǎn)是單一的產(chǎn)品或技術(shù)難以解決此問(wèn)題�����,需要從APT攻擊的特性和規(guī)律著手采用多種技術(shù)手段和管理手段進(jìn)行綜合治理�。本文基于總控系統(tǒng)已經(jīng)部署和實(shí)施的安全措施,嘗試性地從元數(shù)據(jù)提取和Log日志收集����、本地計(jì)算環(huán)境文件保護(hù)和大數(shù)據(jù)安全態(tài)勢(shì)分析和展現(xiàn)的角度給出APT攻擊檢測(cè)方法����。總控系統(tǒng)利用綜合安
7�、全審計(jì)與管理平臺(tái)進(jìn)行元數(shù)據(jù)提取和Log日志收集。該平臺(tái)的底層數(shù)據(jù)采集器廣泛�����、全流量地收集總控系統(tǒng)的網(wǎng)絡(luò)信息系統(tǒng)的LogS志���,并抽取元數(shù)據(jù)逬行智能矢聯(lián)分析��,以便于從中發(fā)現(xiàn)APT攻擊路徑的相尖信息�����??偪叵到y(tǒng)利用主機(jī)安全加固和配置基線(xiàn)檢查實(shí)現(xiàn)了本地計(jì)算環(huán)境文件保護(hù),其核心思想是對(duì)總控系統(tǒng)中的主機(jī)進(jìn)行操作系統(tǒng)加固�����,建立安全配置基線(xiàn)�����,采用本地安全策略或白名單的方式來(lái)控制主機(jī)上應(yīng)用程序的加載和執(zhí)行情況�,從而防止惡意代碼的執(zhí)行。因?yàn)樵贏PT攻擊的整個(gè)攻擊鏈條中�,攻擊者必須將其上傳的“應(yīng)用程序”在本地計(jì)算環(huán)境中加以運(yùn)行,而該“應(yīng)用程序”的加載和運(yùn)行行為Advanced
8��、TelevisionEngineering2014/8運(yùn)行與維護(hù)DerationOMainte
