一、背景与现状

网络空间已成为国家博弈、商业竞争的新战场,以情报获取、商业牟利等为目的网络攻击活动频频发生。随着IPv6的推进,IPv6流量持续增长,海量IP资源被用于网络攻击将加剧威胁。而传统安全运营模式一方面效率不高,另一方面分析结果严重受限于分析人员的技能和水平。这使得企业难以从海量IPv6网络攻击的安全事件中识别出高价值安全告警,难以及时作出响应和处理。

因此,政府、企业等组织机构亟需一种可以适配IPv6网络的创新型、更有效的安全运营技术体系:一方面,能够通过智能化、自动化的方式提升运营效率,有效识别新型安全风险和高级威胁;另一方面,针对新型安全风险、新型数字业务场景,能够为行业安全监管、治理提供数字化工具。

二、技术目标

针对IPv6网络安全运营挑战和技术创新需求,以腾讯自身在互联网、云计算等数字业务方面的安全运营经验以及大数据处理和AI分析方面的技术优势为基础,以“数据驱动”和“安全智能分析”为中心构建了IPv6网络自适应检测阻断响应技术,形成面向政企机构的自适应安全运营体系,弹性应对新形势下的未知威胁和安全运营挑战。

图1 腾讯云IPv6网络自适应检测阻断安全运营体系架构图

三、技术方案

IPv6网络自适应检测阻断响应技术方案如下图所示。

图2 IPv6网络自适应检测阻断响应技术方案

下面将对涉及的关键技术展开介绍。

1.AI安全分析工具——支撑智能分析的灵活扩展

针对安全运营过程中多源异构的安全数据、多业务场景的分析目标,自适应安全运营技术构建了开放式的AI安全分析工具包,提供封装的安全分析模型、实体信誉监测结果和共享标准化的特征数据。分析人员通过工具包中提供的分析模型,结合共享的统一特征层的数据特征,即可在无需编码开发的情况下,快速实现新的智能化安全分析场景。

图3 AI安全分析工具场景能力说明

图4 AI安全分析检测类型

2.全面的风险监测

2.1面向开放的IPv6网络风险探测

通过在IPv6网络上广泛部署蜜罐网络、分析流经蜜罐网络的流量,从中识别攻击行为与意图;基于这类开放的IPv6网络环境中探测、收集的风险情报能够以攻击者视角发现企业机构对外暴露的安全风险,如数据泄露、0-day攻击。

2.2面向政企机构IT环境、业务系统的安全评估与持续监测

通过对政府、企业等组织机构的数据中心IPv6网络、主机服务器、应用和服务进行安全评估,以及云环境下的配置安全风险检查,实现对机构自身的安全风险的监测。

2.3高级威胁检测

本方案的高级威胁检测能力可基于IPv6情报进行检测,此外还提供了针对样本的沙箱动态分析能力以及面向入侵和内部威胁的行为分析能力,以实现深入、全面的威胁检测能力。

图5 高级威胁检测能力图谱

2.4基于行为模式的安全分析

针对IPv6网络攻击手法进行建模,通过无监督异常检测的方式构建了可疑行为模式识别能力,支持的攻击模式覆盖攻击链各个阶段,有效应对包括检测规避在内的高级攻击手法。

图6 基于行为模式的安全分析

3.智能分析与自动化处置

3.1AI辅助智能化分析

实现通过知识发现的方式从海量安全事件中找出最重要的事件集合及其内在关系,从而自动化的优先级构建和攻击上下文还原。

图7 AI辅助智能化分析

3.2安全编排与自动化响应

自适应安全技术方案中构建了支持安全编排和任务自动化的工作流引擎。分析人员可通过流程编排创建分析剧本,通过自动化调度,实现分析过程的自动化并联动响应阻断。

图8 腾讯(NIPS)安全编排与自动化响应对抗秒拨场景能力

4.安全可视化

在安全可视化方面引入了腾讯在游戏展示方面的优势,结合游戏可视化技术打造了面向安全运营的3D可视化技术,让用户很容易感知业务、风险和威胁情况。

图9 安全可视化

图10 安全运营中心告警总览

5.安全算力算法

为了应对IPv6时代海量数据实时计算的挑战、提升安全运营效能,本方案围绕“深入内核、贴近硬件”的技术思路,对PaaS层的安全算力算法进行升级。

硬件加速方面,针对PaaS平台的多路并行计算、超大内存吞吐等特性,深度定制硬件,在服务器层面进一步提升计算性能;代码优化方面,引入LLvm的JIT技术,优化现有的运行时编译引擎,进一步提升计算性能。同时优化CPU的缓存命中率,进一步提升处理性能,帮助客户形成具备万亿级海量样本、毫秒级响应等能力的安全防护体系。

四、成效与亮点

本技术方案已在智慧城市安全运营、金融行业安全风险监管以及政企机构安全运营等场景中落地应用:

1.助力智慧城市建设,提升城市安全运营效能

当前智慧城市建设需求旺盛,国家对于其安全运营也提出了相应的要求。自适应安全运营技术已在长沙、贵阳、武汉、广州等城市逐步落地,为IPv6网络的防护保驾护航。

2.面向政企构建全面闭环的安全运营与态势感知系统

自2019年起,基于本技术方案构建的安全运营平台、网络威胁检测系统、态势感知解决方案在某大型国有银行、某大型车企等政企机构落地应用,在安全运营、IPv6网络安全防护过程中发挥了其价值。

3.面向金融行业构建全面闭环的安全运营与防御系统

自2019年起,基于本技术方案构建的安全运营平台、网络威胁检测系统,在某大型国有银行、某大型股份制商业银行、某大型证券企业等金融机构落地应用,并成功完成国家级安全演练,在各行业中均取得前3名的成绩。