被監(jiān)管部門通報(bào)“挖礦”,正確的應(yīng)對(duì)姿勢
2022年03月02日
今年以來��,國家對(duì)“挖礦”行為的打擊力度逐步加大�����,在全國范圍內(nèi)廣泛開展了對(duì)“挖礦”的整改�。
2021.09
國家發(fā)展改革委等10部門聯(lián)合發(fā)布通知,要求全面整治虛擬貨幣“挖礦”活動(dòng)����,嚴(yán)禁以數(shù)據(jù)中心的名義開展虛擬貨幣“挖礦”活動(dòng)。
2021.11
國家發(fā)展改革委舉行新聞發(fā)布會(huì)表示��,我國將以產(chǎn)業(yè)式集中式“挖礦”����、國有單位涉及“挖礦”和比特幣“挖礦”為重點(diǎn),全面整治虛擬貨幣“挖礦”活動(dòng)�����。
2021.12
海南����、陜西���、云南、浙江等地相繼出臺(tái)相關(guān)政策或披露專項(xiàng)整治情況��。今年以來����,為實(shí)現(xiàn)虛擬幣挖礦“清零”目標(biāo),已有15個(gè)省份開展針對(duì)虛擬幣“挖礦”的專項(xiàng)整治�。
在此背景下,一輪輪的通報(bào)讓網(wǎng)絡(luò)管理者們頭大���,如何才能通過“挖礦”處置�����,建立長效能力�,下次類似事件不要狼狽應(yīng)對(duì)�����?
“挖礦”查詢的技術(shù)本質(zhì)
“挖礦”的查詢難么����?說起來還真不難。
訪問了礦池或者虛擬貨幣服務(wù)器的目標(biāo)IP
針對(duì)這些情形,我們可以從以下兩個(gè)方向入手:
1)威脅情報(bào)機(jī)制
這是一種常用的技術(shù)手段�����,各個(gè)威脅情報(bào)廠商有相對(duì)豐富的的礦機(jī)樣本��,用戶在使用中����,只需在安全設(shè)備上開啟該功能進(jìn)行檢測即可,這種方式適用于上面的前兩種形式����。
2)流量識(shí)別機(jī)制
“挖礦”相關(guān)的流量,也能夠視為是一種應(yīng)用協(xié)議�。因此,通過流量識(shí)別設(shè)備精準(zhǔn)的應(yīng)用識(shí)別能力���,即可針對(duì)網(wǎng)絡(luò)中的“虛擬貨幣”協(xié)議直接識(shí)別�,快速發(fā)現(xiàn)“挖礦”行為�����,這種方式適用于上面的第三種形式。
ps. 通報(bào)里通常包含很多有用的信息��,包括時(shí)間��、目標(biāo)IP���、域名等��,在查詢時(shí)候也不要忘記利用���。
上面的查詢方式,其實(shí)有一個(gè)點(diǎn):查詢簡單方便�。但查詢的便捷是有前提的,即網(wǎng)絡(luò)大數(shù)據(jù)技術(shù)能力的建設(shè)�����。說白了�����,數(shù)據(jù)在手穩(wěn)如狗���,需要的時(shí)候動(dòng)動(dòng)手指點(diǎn)下查詢就行����,才不至于病急亂投醫(yī)����。
另外一個(gè)例子是最近討論火熱的Log4j2漏洞,它的查詢也很簡單(當(dāng)然�����,前提是保存了URL記錄):直接查詢URL關(guān)鍵字包含“jndi:”的記錄即可發(fā)現(xiàn)大量可疑線索���,供詳細(xì)分析��。
那么���,如何建設(shè)這樣的大數(shù)據(jù)技術(shù)能力呢?
網(wǎng)絡(luò)大數(shù)據(jù)技術(shù)能力建設(shè)
1)選擇合適的探針
簡單來說�����,探針是網(wǎng)絡(luò)大數(shù)據(jù)的起點(diǎn)����。探針設(shè)備提供的一手?jǐn)?shù)據(jù)完整���、準(zhǔn)確與否,都關(guān)系著最終的分析結(jié)果���。
2)大數(shù)據(jù)分析技術(shù)
所謂“大數(shù)據(jù)”��,并非是大量數(shù)據(jù)的簡單堆砌����,大數(shù)據(jù)的核心在于對(duì)數(shù)據(jù)的合理處理與分析��。
網(wǎng)絡(luò)中的原始報(bào)文����,在經(jīng)過探針設(shè)備的處理后,對(duì)常見的數(shù)據(jù)類型進(jìn)行提取����,形成數(shù)據(jù)倉庫。而分析設(shè)備在此基礎(chǔ)上���,應(yīng)用各種統(tǒng)計(jì)�����、分析工具進(jìn)行深加工�����,最終將我們所需的分析結(jié)果進(jìn)行呈現(xiàn)���。
3)針對(duì)異常的建模
在此之上,如何主動(dòng)持續(xù)地分析發(fā)現(xiàn)新的異常線索呢�?下面的兩種建模方式值得我們選擇:
■已知中尋找異常
所謂大隱隱于市,異常的通信內(nèi)容隱蔽偽裝在常用協(xié)議中���,是很多惡意應(yīng)用的常用手段���。如果能對(duì)已經(jīng)識(shí)別的協(xié)議,根據(jù)協(xié)議��、目標(biāo)去向���、域名��、URL�、DNS請求、用戶身份���、地理位置�、UA等元數(shù)據(jù)�����,建立數(shù)據(jù)倉庫����,然后再根據(jù)它們的波動(dòng)、差分���、排序等統(tǒng)計(jì)規(guī)律尋找異常變化�����,最后對(duì)鎖定的異常變化會(huì)話數(shù)據(jù)進(jìn)行深度的原始數(shù)據(jù)分析���,就可以找到很多問題的答案。
■未知中排除正常
通常情況下�,被識(shí)別引擎確定為未知的協(xié)議數(shù)據(jù)有三種:1)小眾協(xié)議、2)已知協(xié)議數(shù)據(jù)的漏識(shí)別,以及3)廣泛使用的非正常協(xié)議���?���?梢岳猛繕?biāo)其他識(shí)別結(jié)果的交叉校驗(yàn)��,排除大量第二種情況���,然后再結(jié)合交叉地理位置�����、使用頻度等情況,剩余的1)和3)就會(huì)快速的浮出水面��。1)和3)也分別是APT類未知威脅發(fā)現(xiàn)和黑產(chǎn)類未知威脅發(fā)現(xiàn)的重點(diǎn)分析目標(biāo)���。
關(guān)于異常分析的更多信息�,可以參考我們之前發(fā)過的文章:網(wǎng)絡(luò)全量數(shù)據(jù)包抓取���,是時(shí)候有第二種選擇�。
正如在疫情期間,人們的出行記錄����、接觸日志、訪客登記等基礎(chǔ)信息變得尤為重要���,這種收集所有可能的廣義數(shù)據(jù)的目的是實(shí)現(xiàn)大數(shù)據(jù)的分析預(yù)判��,以及第一時(shí)間獲得疫情進(jìn)展�����。而網(wǎng)絡(luò)安全亦是如此����,網(wǎng)絡(luò)大數(shù)據(jù)技術(shù)能力的建設(shè)��,能夠幫助網(wǎng)絡(luò)管理者對(duì)異常流量�、威脅行為進(jìn)行分析,預(yù)防安全事件的發(fā)生���。
對(duì)于用戶來說���,核心在于建立好長效的網(wǎng)絡(luò)大數(shù)據(jù)收集��、查詢�、建模的能力��,威脅來臨就可以變成一個(gè)查詢?nèi)蝿?wù)���,而不是手忙腳亂去購買新的臨時(shí)設(shè)備應(yīng)急����。
如果您想排查“挖礦”等行為�,或是對(duì)網(wǎng)絡(luò)大數(shù)據(jù)能力的建設(shè)有興趣,江蘇國駿都可以為您提供相關(guān)的解決方案�,您可以掃描下方的二維碼聯(lián)系我們。
江蘇國駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價(jià)值
http://xufei-js.cn/
免費(fèi)咨詢熱線:400-6776-989
關(guān)注公眾號(hào)
獲取免費(fèi)咨詢和安全服務(wù)
