2023国家网络安全宣传周丨新疆电信：基于数据分析提升高危源IP识别能力

       9月11日-17日是2023年国家网络安全宣传周，今年的主题为"网络安全为人民，网络安全靠人民"。国家网络安全宣传周期间，新疆互联网协会在全区开展网络安全成果案例征集展示活动。全面宣传企业网络安全领域成果和先进经验，普及网络安全知识，提升网络安全意识，探索社会关切的网络安全焦点问题解决途径，科普防范知识，提高全民网络安全意识和防护技能。

中国电信股份有限公司新疆分公司

基于数据分析提升高危源IP识别能力

       近年来，网络安全攻击手段日新月异，部分安全攻击行为未能在现有安全防护设备/系统上产生告警，导致未能及时阻断此类安全威胁。常规安全防护系统大多采用误用检测，即基于特征的检测，其缺点是攻击信息的收集和更新存在一定滞后，难以发现新型的攻击行为，维护特征库的工作量较大。若攻击方利用的是业务逻辑漏洞，则防护系统的技术策略无法全面有效防御这种类型的威胁。传统识别逻辑漏洞方式是对业务系统进行人工渗透，对一个系统实施一次人工渗透需5-7天，人力成本较高这种方式，且对渗透人员技术水平要求高。为应对此类安全威胁，需从攻击方攻击行为进行分析识别，攻击方在发起实际攻击前，通常会先在其掌握的系统（资产）清单中挑选一些进行访问或者全部访问（这种访问行为与正常访问行为一样，其目的仅为侦察），然后选择其认为技术薄弱、安全性不佳的系统再进行进一步执行漏洞扫描或直接发起攻击。攻击方访问的这些业务系统在业务上关联性不大甚至并没有关联性。

       基于此逻辑新疆电信制作了高危IP识别模型，若同一个源IP在一段时间内访问非关联性业务或业务关联性不强的系统，那么其很有可能是一个具有恶意的IP。新疆电信根据业务系统用途或业务属性对我方的全量业务系统进行数字标记，采集每个访问IP阶段时间内访问的业务系统的数字标记形成集合，其标记数字所呈现的离散性与所访问系统的非关联性成正比。可在攻击方进行侦察阶段就能完成识别，及早发现攻击源IP。