科技网

当前位置: 首页 >通讯

克服外部效应的途径ISC2015要挟情报是应对新要挟的有效途径

通讯
来源: 作者: 2019-05-17 14:27:11

1 : ISC2015 要挟情报是应对新要挟的有效途径

【网聚知识IT新闻频道】【loach.net新闻频道消息】 ISC2015中国互联网安全大会如期而至。作为亚洲地区信息安全领域最大范围、最专业的年度会议,会议将深入探讨全球信息安全最新发展趋势,分享最前沿安全技术研究成果及实践。

ISC2015全球互联网安全精英峰会上,国家互联网应急中心副主任兼总工程师云晓春带来“应对新要挟:要挟情报助力互联网应急响应”的主题演讲。

演讲中,云晓春从2014年底的SONY被黑客攻击事件的启示谈及国内网络安全的能力和不足。云晓春认为,建立要挟情报库、构建要挟情报系统是应对互联网新要挟的有效途径。

2014年12月圣诞节前夕,索尼公司遭受到重大APT攻击,上万台电脑遭到影响,大量数据遭到偷盗。云晓春认为,以此为鉴,现在的网络安全策略解决方案能否适应日趋高级的攻击手段值得检讨。如何下降攻击者肆意而为的时间,提高响应速度,已成为应对互联网新要挟的关键要务。

从而,云晓春提出要建立构成系统的要挟情报库。

云晓春表示,当要挟来临时,首先要“看见”,从及时发现、尽早预警、全民追踪、到有效处置,4个环节构成1套解决方案。关键是如何针对不同的安全需求,建立不同的问题模型;针对不同的分析对象,采取不同的分析方法。这需要安全分析员基于对数据源的理解,肯定分析逻辑,发掘数据间的关系,总结规律,从而构成知识。

云晓春还表示,要挟情报的定位不是基于某1研究某1事件的具体方法和手段,而是能够解决安全事件的基础性资源。“所谓的要挟情报就是帮助我们发现要挟,并进行处置的相应知识。这类知识就是我们所说的要挟情报”。

云晓春称,美国已建立了国家级要挟情报中心,360也建立了国内首个要挟情报中心,基于已构成的要挟情报,则可以进行1系列的应急响应”。

云晓春最后表示,网络安全是全局性问题,任何1个网络安全问题都不能靠单1的部门来解决。只有各方联动,构成合作,提供更有价值的要挟情报信息,构建更有实用性的要挟情报库,才能为政府机构、安全厂商、企事业用户提供更好的支持。

ISC2015 要挟情报是应对新要挟的有效途径

以下是云晓春演讲实录:

云晓春:大家好!非常荣幸有机会在这里给大家做报告。我的报告题目是“要挟情报助力互联网应急响应”。

在去年年底,产生过1次轰动世界的攻击事件,索尼公司被黑。在美国和朝鲜之间引发了1场外交纠纷。在这次事件中,索尼公司遭受了非常大的损失,很多数据被盗取,遭到破坏。实际上在索尼被攻击之前的几个月,索尼公司已长时间遭受黑客攻击。但是,直到最后造成破坏,索尼公司才意想到自己遭受了攻击。

这给我们非常大的启示。美国在安全方面做得是非常好的,索尼也是非常大的企业。在网络安全方面做得这么好的国家,索尼在遭受攻击时依然没法防范。我们需要检讨的是现在的网络安全策略与现有的攻击手段是不是不相适应。

1次成功的攻击可能在分钟级、慢的在小时级,就会变成现实。从响应的角度来讲常常就是天级、周级,乃至是月级。在这类情况下,反应速度远远慢于攻击速度,遭受侵害就变得不可避免。当响应速度变慢,攻击者有相当长的时间可以肆意而为。如何下降攻击者肆意而为的时间,提高响应速度,这已成为应急响应的关键要务。

索尼这个案例给我们的启示是我们在网络安全应急方面的能力还是有所不足。我们认为最少应当具有4个方面的网络应急能力,首先是及时发现。也就是周鸿祎先生提到的要看得见;2是发现以后可和时预警;预警以后找到是谁干的;最后是采取有效应对的措施。

要做到及时发现,就需要有1个看得到的体系,能够进行全面监测。想做到及时预警,就要对网络安全状态进行全面感知。要进行全面追踪,就要具有追踪溯源的能力。

现实情况是虽然我们做了大量工作,也获得了很大成绩,但依然在很多方面存在不足。在发现攻击方面,掌握的基础资源不足。进行网络安全应急,需要发现互联网上存在的攻击事件。既然是在互联网上产生的安全事件,就需要我们了解互联网的状态。现在互联网上有多少装备、甚么人在使用,当出现某1个IP发起攻击的时候,你知道它在哪里吗?你知道这个IP使用的是甚么样的操作系统吗?当你说不清楚的时候,意味着你不了解保护对象的底数,也就不能提供安全保障能力。

对未知漏洞的监测发现能力是非常不足的。这些年来产生了很多非常严重的攻击事件。很多高水平的攻击事件利用的都是我们不知道的漏洞,采取的都是我们不知道的方法。我们不知道对方采取甚么方法进行攻击,常常是防不胜防。发现未知漏洞的能力也是我们欠缺的。

在及时预警方面的弱点就是有态无势。我们知道很多微观的安全事件,知道哪台主机被攻击、哪一个网站被植入后门。但是,明天是甚么模样?今后1段时间的走向是甚么样的?没有人能够说得清楚。即便是从全局的宏观评估的角度,也只是泛泛的说我们国家的整体安全态势是甚么样的水平。但是,究竟是甚么样的情况,也没有人能说得清楚。

追踪也是这样。2013年,麦蒂阿特公司提出报告以后,大家才清楚原来美国可以做得这么好,发现1个安全事件竟然可以追踪到具体的哪栋楼里的哪一个人做这件事。而我们在这个方面的能力是很弱的。

产生在国内的安全事件,我们可以找到诡计源头。1旦攻击事件的源头在国外,我们的压力就会比较大。现在的大范围网络攻击都是全球性的,我们如何追溯来自域外的攻击,这也是需要解决的问题。对更高水平的APP攻击,能力也是有所不足。

国内很多安全厂家也试图做出溯源报告,但我觉得还是有1定差距。由于溯源的本质是找到物理空间的人,而攻击是来自虚拟空间。怎样买通物理空间和虚拟空间的联系,这是非常大的欠缺。

在事件处理方面,1旦产生大范围安全事件,我们还是比较欠缺决策能力。虽然相干部门推出了各种预案,但真正发挥大范围安全事件的时候,处置速度还是比较慢的。像前年8月25号.cn被攻击,在1个小时以内大量的.cn网站不能访问。这说明我们的处理经验和决策还有很大欠缺。1旦事件产生,处置的效果到底怎样样?我们现在缺少评估。

我们每月都要对范围比较大的僵尸木马网络进行定时打击。有人提到打击以后是不是会不再产生作用?我只能回答不知道。应急处置的后续效果到底怎样样,目前还缺少相应的评估手段。

在网络安全方面,我们确切有很大的欠缺。怎样解决这个问题?通过要挟情报恐怕是解决问题的重要渠道,它最少可以解决两个问题:1是可以利用要挟情报发现未知的要挟,以便快速启动响应,进行相应处置;2是通过要挟情报同享,在多部门、多企业间进行协同,共同处置网络安全事件。

世界各地都把要挟情报作为非常重要的工作。360昨天提出已成立了中国的第1家要挟情报中心。美国也为此成立了网络要挟与情报整合中心。主要目的都是将多元的情报数据整合在1起,发挥整体效果。

甚么是要挟情报?Gartner和iSIGTH都给出了他们的定义。所谓的要挟情报就是帮助我们发现要挟,并进行处置的相应知识。这类知识就是我们所说的要挟情报。

在网络安全领域的知识是有所界定的。每天在互联网上都产生不同的安全事件,解决方法也是不1样的。针对不同的安全需求,就需要建立不同的问题模型,针对不同的分析对象采取不同的分析方法。安全分析员要基于对可以取得的数据源的理解,有针对性的肯定分析逻辑。通过发掘数据间的关系,总结规律,进而构成知识。

首先,知识来自于网上数据,这些数据是对客观世界的真实描写。通过发掘数据间的关系,可以得到可处理、可分析的信息。通过总结规律,构成相应知识。在知识的基础上,可以处理相应的安全事件。

知识和要挟情报不是针对某1个安全事件的具体方法和手段,而是能够帮助我们解决不同安全事件的1般性的基础性的资源。这是要挟情报的基本定位。

基于要挟情报,可以通过它感应未知要挟。1般来讲,可以把要挟情报分为:信誉情报。当我们想发现未知要挟的时候,如果攻击源头本身就是没有信誉的,我可以首先对它产生怀疑。因此,信誉情报是非常重要的,包括不可信有问题的IP、URL、域名;第2类是攻击情报。通过监测发现攻击源、攻击工具、曾被利用过的漏洞;还有其他的情报,包括僵尸网络的地址、0day漏洞。通过这些要挟情报,我们可以知道谁对我们进行攻击、甚么时候发起攻击、产生了甚么样的后果。

根据要挟情报内涵的不同,它的价值也是不同的。例如描写1段歹意代码,可以用1段特点值或是Hash值来描写。这个要挟情报体现的内涵是非常有限的,看到这个特点其实不知道歹意代码的机理、工作方式。如果这个情报中还包括更多的信息,对我们的价值会更大。可以利用上面的TTPs,如果这个情报可以描写攻击的更多信息,它的价值是更大的。

基于要挟情报,可以进行1系列的应急响应。针对不同的情报来源,像歹意样本、网络数据、DNS、连接数据、黑客社区组织等等,可以构成诸如ATP事件报告、可机器读取的IOC、情报同享信息等等,采取相应措施,进行有针对性的应急响应。

下面我给大家提供1个在平常工作中遇到的要挟情报的例子。这是基于网络大数据的要挟情报生成案例。

网络大数据有3个特点:1是范围大、结果小。互联网上的数据是海量的,其中真正有价值的数据是非常少的;2是变化快、进化慢。我们看到的这些网络数据,每天都有新的数据产生。今天的数据与昨天的数据相比,差别其实不是很大。换句话说,仿佛每天都有新数据,但每天的进化其实不是很大;3是种类多、关联少。我们每天会看到各种各样的数据,我可以看到DNS数据、连接数据、木马攻击数据。数据有各种各样的类型,但它们相互之间的关联是非常少的。要想从这些数据中找到需要的信息和知识,难度是非常大的。

这个例子是我们曾做过的1个案例。现在全球有10几亿家网站。我想在这么多的网站里找到有哪些网站是类似的,最少它的首页是类似的。大家可能会问做这件事情有甚么意义呢?我觉得意义很大。如果可以构成这类知识,就能够在应对安全事件的进程中做很多工作。

互联网上的仿冒网站是非常多的,特别是金融机构常常被仿冒。1旦互联网上出现仿冒网站,能够第1时间发现,在它盗取用户钱财之前,就能够把它打掉。如果可以构建这样1个要挟情报库,只要是类似的网站,都聚成1类。我就能够利用这个情报库找到仿冒网站。

这个问题归结起来就是大数据环境下的小几率发现。10几亿的网站,真正类似的网站是非常少的。小几率发现是要解决的核心技术问题。

我们采取的方法很原始,也很简单,就是在互联网上爬取,最少是爬出第1个页面,对数据进行整理解析,进而构成结构化、非结构化的信息。利用域名系统,可以得到全球网站的域名,从域名动身,爬取首页。它的本质就是文本类似性计算,我对每个首页进行分词,构成超大范围的矩阵。M行是词库的范围,N列是10几亿网站的数量。类似性计算最后得出的就是超大范围矩阵的分解,可以得到不同类型的网站,比如判断跟工行类似的网站。我会先把工行的首页爬取出来,跟其他的网站进行比较,就能够得到跟它类似的网站。排名前20位的网站都是工行的仿冒网站。

通过利用大数据计算能力、分析发掘算法,有可能从大范围的数据中找到需要的知识,进而构成要挟情报库。这类要挟情报库不是直接作用于某1个具体的安全事件,但它可以作为解决处置安全事件的基础资源,提供支持作用。

网络安全是全局性问题,任何1个网络安全问题都不能靠单1的部门来解决。要解决全局性的网络安全问题,只靠1个部门是不够的。我们要做的是团结相干机构。由于不同部门掌握的数据源是不同的。在这个体系下,将各单位、各部门的资源整合在1起,大家1起同享,有分析能力的部门进行数据的分析计算,就有可能构成更有价值的要挟情报信息,构建更有实用性的要挟情报库,进而为政府机构、安全厂商、企事业用户提供良好的支持。

现在的网络态势变得愈来愈复杂、愈来愈严峻。在这类情况下,希望大家可以1起协作,利用已有的资源和能力,开发出更好的方法,产生更好的产品,为我们国家的网络安全事业做出贡献。

我的报告就到此结束,谢谢大家!

2 : 谈谈新站有效增加外链的途径

而关于外链建设的文章在百度搜索,会有很多,但大都是博客、论坛、友链等经常使用方法。我的网站是6月12日正式上线的,当时百度和Google两大网站都在两天类收录了,现在百度和Google都已每天放出快照,相信已度过新站最艰巨的沙盒期。

下面就本人网站上线1个月外链建设方面,做1个小小的总结:

1. 利用信息黄页网站。

之前看过1篇文章,写到利用招聘网站做外链,因而就去尝试了1下,但是去了几个大招聘网注册过后,发展企业网站都要提供营业执照,才能发布招聘信息,因而就放弃了利用招聘网站做外链。

但也正因此找到了信息黄页类的网站,在百度搜“黄页”会有很多此类的网站,1些较大网站也需要进行实名认证,因而我专门找1些PR4以上的、不需要认证的和网址可以链接情势显示的黄页网站,其中1些还支持2级域名,可以放公司资料的,这样不但发布信息可以网址,而且在公司资料也能够加网址。

2. 问答式网站。

看过很多文章都提到利用百度知道、腾询问问、新浪爱问等问答式网站做外链,但经本人实验,特别是百度知道,回答问题基本上是没法加网址的,而问问和新浪爱问相对较宽松。后来经过研究,在百度知道里同样成功加入网址,就是用自己的网站进行发问,比如:我的网站www.95cun.com是新站,如何做外链啊?如何推行啊?还有就是为什么我的网站查外链用link:www.qq791.com在百度查不到等之类的问题!

而问问和爱问虽然较宽松,但由于之前加网址被投诉过几次,所以后面我都是匿名回答的。还有就是新浪爱问的网址是以文本显示的,问问虽然是链接情势,但前面有1串http://www.qq791.com,效果没有百度知道的好。

3. 在A5之类的站长类网站投稿。

这是相对质量较高的外链了,虽然A5里的网站不能以链接情势显示,但在来源处会有1个链接,而A5在搜索引擎的权重很高,所以效果非常不错。之前连续投稿成功3次,而每次成功都发现,百度第2天就更新了快照。最重要的是转载的网站非常多,虽然1些不良站长会去掉网址,但还是有很多站长会保存的。还有1个技能就是自己转载自己的文章,把投稿成功的文章转载到1些相干论坛去。

虽然在A5投稿效果好,但由于经验有限,写的文章不是很多。如果你的文笔很好,每天能成功投稿1篇文章,相信你的网站会获益很多的。

4. 再谈购买链接。

新站1般网站是不愿意和你做友谊链接的,所以购买链接还是可以斟酌的。很多人以为买链接会很贵,但其实其实不是的,在A5论坛或淘宝上有很多出售链接的,很多PR2、PR3的网站每个月只需几块钱1个月,虽然比不上那些高权重的网站,但单向链接带我们新站效果还是不错的。

我的方法是先找几个觉得不错的而且价格公道的网站,然后连续视察几天,如果百度快照每天更新、收录每天增加、内容每天更新、友链不要太多,基本上就是值得购买的了,几块钱买几个PR3的单向链接还是挺值的。

交换及友谊QQ:376418482,http://www.qq791.com3 : 增加外链的最好途径介绍

最近想了1下以往做网站SEO的方式,笔者发现,做网站不过就是之外部连接为主,所以呢,我就开始从外部连接入手。

从以往的投稿到人工论坛或连接轮子等外部连接建设手法,发现了1个惊人的法则。怎样去做外部链接才是最成功的呢?怎样去做才是最方便,最快捷的1种方式呢?最后得到了1个惊人的发现,发论坛外联,1天了不起几10个,最后还得被百度删除很多,留下来的可能10不存1。真可真的是浪费劳动力呀,固然了,动力最足的1种方式就是投稿。不错,得到的惊人的发现,就是投稿。

投稿,很多站长都有过这方面的经验。1些时候,好好的写1篇文章,可以给自己创造很多的外部链接,比方说,我们在A5上面投稿,在chinaZ上面投稿,只要我们的文章通过审核以后,就回得到很多网站的转载,一样的,就能够得到很多的外部连接。

投稿是1回事,有时候这样的类容我们可以在前面打上原创的编号,然后发送到1些比较有权威的论坛上面去。1般打上原创的帖子,铁定有人转载,我试过,的确有人转载,并且还有很多人回帖。所谓1篇文章,可以把1个人1天的任务都弄定。

做外部连接的顺序:

1,花1点时间去认真的写1篇针对性,广泛性,可读性都具有的内容,在内容中间做好关键词堆砌和调和,然后做好标签,和该有的图片。

2,把写好的文章投稿到A5和chinaz,1个网站1篇,如果你搜集了其他的门户网站也能够。相对的都可以投稿。

3,把写好得文章首先发布到自己的网站或博客里面去,如果你又很多博客,哪就发很多博客,最好多发1点。

4,立刻去发布到1些论坛区,最好是秒收的论坛,这样可以抢先1步收录。

5,把这些内容发布到1些可以带连接的分类目录去,这样可以给自己网站进1步巩固权重的传递。

做好5步以后,你可以看看,网站的反响连接已很多的,但是这个时候,效果还没体现出来。如果这个时候你的内容被审核通过了,投稿的内容,审核通过就会立刻被秒收,然后被百度收录,高权重连接通过内容导出,这个连接是最关键的,有益于网站排名哟。被审核通过,这个时候就会出现很多网站来收集,收集自然就连连接地址和网站名1起收集过去,1般收集的网站权重都比较高,所以肯定会被百度收录,并且还有很多的权重导出。

OK,经过了上面的几点的讲授,我想1个网站靠着1篇文章取得如此多的外链,也不枉此行吧,这个方法是之前比这周凯华自己用过的,大家也能够自己去体会1下。固然了,实战1下我也不反对。

4 : 蒋闻名:外部链接建设的几大有效途径分享

今天武汉SEO来给大家讲讲怎样样去做网站的外部链接。当1个网站在上线的时候就很多站长就会去做1些外部链接来吸引蜘蛛,不过这样做有无效果这个先不研究,不过做了总比不做好1些,由于也有1些成功的案例。做外链有很多的途径但是几个主要的外链来源途径武汉SEO为你细细道来:

第1种,现在很多站长都在做的外链来源途径—论坛。论坛的外链来源分为论坛签名和论坛发帖带锚文本链接。论坛签名在现在来讲算是1个外链的主流,论坛签名也是现在站长们大量外链来源的1个方法,由于论坛签名比较快捷方便,但是相对论坛发帖来讲效果就没有那末好了,在帖子里面带锚文本的效果远远高于论坛签名的效果。建议站长们在论坛做外链的时候要把论坛签名和发帖相结合才能把外链的质量提高。推荐浏览—文章內链锚文本对网站的作用

第2种,来自于博客留言,正常的情况下搜索引擎分给个人博客的权重还是相当可观的,但是大家别忘了现在很多的个人博客的留言板块都使用了rel="nofollow"标签,rel="nofollow"标签大家应当不用我来讲了吧。虽然说加了rel="nofollow"标签也不是说就1点用没有,最少有个很好的作用那就是引蜘蛛,这个对网站有很好的效果。

第3种,利用百度的产品做外链,百度知道这个平台大家应当都不陌生吧?这可是做高质量外链的首选目标,但是百度知道也是有1个对我们站长来讲有两个很致命的缺点,那就是带链接通过率太低,就算通过以后容易被对手举报然后甚么都没有了。

第4种,利用分类信息网平台做外链,分类信息网是1个很好的平台,它有两个很重要的作用。分类信息网的权重还是比较高的,第1个作用是为网站打好品牌,第2点可以为网站增加高质量外链。

第5种,很多友谊链接交换平台也是可以增加外链的。友谊链接交换平台其实还是很容易的,只需要注册1个账号,然后提交网站的1些信息就能够了。

第6种,使用站长工具查询来做外链,用这些站长工具查询网站概况,权重高的网站会被收录,还有的网站会在旁边显示查询过的网站,这对网站带来流量也是很有帮助的。但是这样的查询平台其实不是查询1次就能够收录,有的权重高的是这样,但有的平台不行,需要站长们长时间的提交,收录的可能性才会大点。

其实做外链的办法还是很多的,以上就是武汉SEO分享的利用论坛.博客.百度知道.分类信息.链接交换平台和1些站长查询工具来做友谊链接的方法。网站做外链最好是把以上6点都做到,我最后要强调的就是外链的多样化,不然会被搜索引擎所认为是优化做弊。

原创文章请注明转载自武汉SEO,武汉网站优化,武汉SEM,武汉网络营销,蒋闻名SEO博客,本文地址:http://www.whanseo.com/seojiqiao201/

吉林治疗牛皮癣较好的中医院吉首中医治牛皮癣医院好不好石嘴山治疗白癜风较好的方式

相关推荐