-
-
[分享]移动视角下的网络行为初探——网络资源评估
-
发表于: 2017-6-7 09:33 3856
-
写在前面:
1)算不得上技术文章的分享
2)移动视角下的网络行为初探, 网络资源评估 这些概念,有虚张声势、夸大的嫌疑。
其实这些在PC领域比较成熟, 这里又是新瓶旧酒。
whatever, 这是萦绕在脑海中的一些想法, 希望通过自动化的关联分析、规模化聚集,让背后的隐藏事件自然浮出水面。
对日常新增威胁,尽早感知; 对历史隐含事件,在新线索的牵扯下,顺藤摸瓜。
摘要:
1) 网络资源评估,侧重关注网络资源个体间的关联关系,进行群体性事件的挖掘。以期及早感知新增威胁,有效挖掘历史隐含的未知事件。
2) 网络资源评估,分为资源关联和能力评估两个阶段。
3) 资源关联阶段是在各独立的网络资源个体间构建起关联关系,寻找同类资源的过程。
a) 同类资源关系的确认,将暴露隐含未知事件的更多线索。
b) 同类资源的规模大小,辅助决策事件关注的优先级。
c) 同类资源的时间维度来看,分为主动和被动处理;
d) 主动处理,是针对新增网络资源,如果它与历史资源发生了关联,则优先进入观察视野,对同类资源进行含义解读、标识。
e) 被动处理,是针对不再活跃的历史网络资源,集中进行事件挖掘的过程。
4) 能力评估阶段,建立在资源关联的基础之上,针对其背后的人、组织、团体的规模、行为特征、能力的评价;同时,也是寻求更为高效的查杀策略的过程。
5) 网络资源评估,相对于人的评估,更具有普适性、客观中立性,不致受舆论等因素限制。
6) 希望网络资源评估在移动安全领域,特别是样本分析、事件溯源跟踪中,能够得到业界同仁的充分重视,提升工程化效率。
网络资源,也叫网络信息资源,是指通过计算机网络可以利用的各种信息资源的总和。
具体到本文中,是指:
1) 以PC、移动端设备为代表的终端及运行其上的应用软件,在同外界通信、交互过程中,所涉及对象、产生的信息流等。
2) 包括但不限于
a) 远端服务器信息: domain/host/ip/port
远端交互服务器,它的域名信息(domain),子域名分布情况(domain/hosts)
b) DNS信息:请求链、历史解析记录
关注DNS信息,不能仅关注其解析到的IP地址:从原始的请求,到最终的应答,这中间的递归信息记录,都有助于构建关联关系。
该点在CDN场景中有显著性体现。
c) URL信息: 单url信息, 多url的请求链
url模式信息,代表资源的部署规律;
具备类似url模式的不同url间,其背后存在着可能的关联。
以HTTP 30X为代表的不同url间的跳转关系,可帮助构建url间的关联。
d) 应用软件信息(非必须):触发网络交互行为的主体
网络交互行为因样本主体而触发,但更多时候是无法获取主体信息的。
另外一个角度, 网络行为也不应该局限于特定的平台、个体,应该具有通用性。
因此,样本主体信息是非必须的。
e) whois注册信息(非必须):
3) 特别的, 本文探讨的范围主要集中在移动端恶意样本的分析、事件的溯源跟踪领域。
上述网络资源,因背后拥有者的部署、驱动而产生、存在,可视为拥有者的属性。网络资源一定程度上反应了拥有者的特性。
网络资源评估概念的阐述,依赖于以下基本概念:
1) 种子资源:或者种子信息, 是已知的某一个或者某一批特定的网络资源。
2) 同类资源:或者关联资源, 由于种种规则而与种子资源建立起关联的其他资源。其可能的分类:
a) 为同一个体、组织、团体所拥有:主要依据dns, whois
b) 为不同个体、组织、团体所拥有,但具备同套、或者类似的源码、部署等机制,视为同源性: 主要依据url模式
c) 已知资源的上游来源: 主要依据HTTP请求链,重定向信息
d) 已知资源的下游去向: 主要依据HTTP请求链,重定向信息
基于以上信息,我们对网络资源评估进行定义。
网络资源评估,包含两部分:
1) 资源关联
针对已知的种子资源,获取其同类资源,本质是资源关联的过程。是以少看多,看全局,看整体的过程。
2) 能力评估
针对获取的关联资源,通过对资源规模、模式特点的分析,增强样本识别能力,提升查杀效率;去评估其背后的个体、组织、团体的规模、行为特征、能力。
关于资源评估与人因素的评估的关系:
1) 资源附属于人
2) 人具备主观能动性,资源相对客观。
3) 资源评估是对人评估的一个部分,是其中一个视角。
4) 对人的评估变得复杂,且因人而异,不具备普适性。
5) 而资源评估具备中立、客观性,具备普适性,可以自动化、工程化。
6) 特别的,对人、团体的评估,有时会受舆论等因素的限制,不方便进行。此时,可转而评估其背后的网络资源,做出客观、中立的评估。
网络资源评估,侧重关注网络资源个体间的关联关系,进行群体性事件的挖掘。以期及早感知新增威胁,有效挖掘历史隐含的未知事件。
网络资源评估,其意义在于:
1) 服务于溯源跟踪领域的线索收集,本质是一个信息收集、线索收集的过程。
2) 服务于背后人员、组织、团队的关联性分析
是否有共同的服务器,或者采用了同套的源码进行传播、部署。
3) 服务于背后的人员、组织、团体行为特征、能力的评估
同类网络资源的规模,一定程度上可以反应背后人员、组织的资源占有、协调、传播能力。
4) 服务于背后人员、组织、团体的性质评价
当出于舆论等因素限制,无法针对人的因素给予评价时,可考虑转而客观、中立地评估其具有的同类网络资源。
此外,单从样本分析的角度,网络资源评估是样本分析的有效切入点:
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
赞赏
- [分享]移动视角下的网络行为初探——网络资源评估 3857
- [分享]wenboxu_2015移动安全挑战赛 2342
- [分享]观察除法求值的优化 3993
- [原创]也来构建自己的调试器 19237
- [原创]简易的注入挂钩原型 8664