首页
社区
课程
招聘
[分享]移动视角下的网络行为初探——网络资源评估
发表于: 2017-6-7 09:33 3856

[分享]移动视角下的网络行为初探——网络资源评估

2017-6-7 09:33
3856

写在前面:

1)算不得上技术文章的分享

2)移动视角下的网络行为初探, 网络资源评估 这些概念,有虚张声势、夸大的嫌疑。

    其实这些在PC领域比较成熟, 这里又是新瓶旧酒。

    whatever, 这是萦绕在脑海中的一些想法, 希望通过自动化的关联分析、规模化聚集,让背后的隐藏事件自然浮出水面。

    对日常新增威胁,尽早感知; 对历史隐含事件,在新线索的牵扯下,顺藤摸瓜。



摘要:

1)         网络资源评估,侧重关注网络资源个体间的关联关系,进行群体性事件的挖掘。以期及早感知新增威胁,有效挖掘历史隐含的未知事件。

 

2)         网络资源评估,分为资源关联和能力评估两个阶段。

3)         资源关联阶段是在各独立的网络资源个体间构建起关联关系,寻找同类资源的过程。

a)     同类资源关系的确认,将暴露隐含未知事件的更多线索。

b)     同类资源的规模大小,辅助决策事件关注的优先级。

c)     同类资源的时间维度来看,分为主动和被动处理;

d)     主动处理,是针对新增网络资源,如果它与历史资源发生了关联,则优先进入观察视野,对同类资源进行含义解读、标识。

e)     被动处理,是针对不再活跃的历史网络资源,集中进行事件挖掘的过程。

 

4)         能力评估阶段,建立在资源关联的基础之上,针对其背后的人、组织、团体的规模、行为特征、能力的评价;同时,也是寻求更为高效的查杀策略的过程。

 

5)         网络资源评估,相对于人的评估,更具有普适性、客观中立性,不致受舆论等因素限制。

6)         希望网络资源评估在移动安全领域,特别是样本分析、事件溯源跟踪中,能够得到业界同仁的充分重视,提升工程化效率。

网络资源,也叫网络信息资源,是指通过计算机网络可以利用的各种信息资源的总和。

 

具体到本文中,是指:

1)         PC、移动端设备为代表的终端及运行其上的应用软件,在同外界通信、交互过程中,所涉及对象、产生的信息流等。

 

2)         包括但不限于

a)     远端服务器信息: domain/host/ip/port

远端交互服务器,它的域名信息(domain),子域名分布情况(domain/hosts

 

b)     DNS信息:请求链、历史解析记录

关注DNS信息,不能仅关注其解析到的IP地址:从原始的请求,到最终的应答,这中间的递归信息记录,都有助于构建关联关系。

 

该点在CDN场景中有显著性体现。

 

c)     URL信息: url信息, url的请求链

url模式信息,代表资源的部署规律;

具备类似url模式的不同url间,其背后存在着可能的关联

 

HTTP 30X为代表的不同url间的跳转关系,可帮助构建url间的关联。

                 


d)     应用软件信息(非必须):触发网络交互行为的主体

网络交互行为因样本主体而触发,但更多时候是无法获取主体信息的。

另外一个角度, 网络行为也不应该局限于特定的平台、个体,应该具有通用性。

 

因此,样本主体信息是非必须的。

          

e)     whois注册信息(非必须)

 

3)         特别的, 本文探讨的范围主要集中在移动端恶意样本的分析、事件的溯源跟踪领域。

 

上述网络资源,因背后拥有者的部署、驱动而产生、存在,可视为拥有者的属性。网络资源一定程度上反应了拥有者的特性。


 

网络资源评估概念的阐述,依赖于以下基本概念:

1)         种子资源:或者种子信息, 是已知的某一个或者某一批特定的网络资源。

2)         同类资源:或者关联资源, 由于种种规则而与种子资源建立起关联的其他资源。其可能的分类:

a)    为同一个体、组织、团体所拥有:主要依据dns, whois

b)   为不同个体、组织、团体所拥有,但具备同套、或者类似的源码、部署等机制,视为同源性: 主要依据url模式

c)    已知资源的上游来源: 主要依据HTTP请求链,重定向信息

d)   已知资源的下游去向: 主要依据HTTP请求链,重定向信息

 

基于以上信息,我们对网络资源评估进行定义。

网络资源评估,包含两部分:

1)         资源关联

针对已知的种子资源,获取其同类资源,本质是资源关联的过程。是以少看多,看全局,看整体的过程。

 

2)         能力评估

针对获取的关联资源,通过对资源规模、模式特点的分析,增强样本识别能力,提升查杀效率;去评估其背后的个体、组织、团体的规模、行为特征、能力。

 

         关于资源评估与人因素的评估的关系:

1)         资源附属于人

2)         人具备主观能动性,资源相对客观。

3)         资源评估是对人评估的一个部分,是其中一个视角。

4)         对人的评估变得复杂,且因人而异,不具备普适性。

5)         而资源评估具备中立、客观性,具备普适性,可以自动化、工程化。

6)         特别的,对人、团体的评估,有时会受舆论等因素的限制,不方便进行。此时,可转而评估其背后的网络资源,做出客观、中立的评估。

网络资源评估,侧重关注网络资源个体间的关联关系,进行群体性事件的挖掘。以期及早感知新增威胁,有效挖掘历史隐含的未知事件。

 

网络资源评估,其意义在于:

1)         服务于溯源跟踪领域的线索收集,本质是一个信息收集、线索收集的过程。

 

2)         服务于背后人员、组织、团队的关联性分析

是否有共同的服务器,或者采用了同套的源码进行传播、部署。

 

3)         服务于背后的人员、组织、团体行为特征、能力的评估

同类网络资源的规模,一定程度上可以反应背后人员、组织的资源占有、协调、传播能力。

 

4)         服务于背后人员、组织、团体的性质评价

当出于舆论等因素限制,无法针对人的因素给予评价时,可考虑转而客观、中立地评估其具有的同类网络资源。

 

此外,单从样本分析的角度,网络资源评估是样本分析的有效切入点:


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 1
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//