最近闹得沸沸扬扬的美国棱镜计划,让我想起了之前整理过的网络安全监控材料:欧盟的龙虾(LOBSER)计划,袋熊(WOMBAT)计划,不过这两个主要是为维护公共的网络安全而进行的,属科研性质,并且是跨国合作。
背景
研究新兴的安全威胁的需要:
由于诸多原因,如今应对网络犯罪正变得越来越困难:现在的恶意软件能综合利用技术上的、经济上的及社会学上的手段;一些组织能把各种恶意活动整合成有利可图的行动。然而,数据的收集却是严重受限的。隐私策略与保密要求阻止了信息的共享。这些限制,阻止了用于一致性的、系统化的恶意软件分析开放标准的调查框架的出现。
项目动机:
提供新的手段,用于识别、理解、预测互联网基础设施中,及该项目支持的服务中已有的及新出现的威胁。
袋熊计划(WOMBAT Project,全称是Worldwide Observatory of Malicious Behaviors and Attack Threats),主页http://www.wombat-project.eu/。旨在用一套全新的手段去描述网络中当前存在和刚出现的威胁(尤指恶意代码)的计划。该计划试图通过对海量安全事件的收集、整理与分析,去描述整个网络的威胁模式、并分析大规模网络(例如整个Internet)的安全态势(Situational Awareness)。
1)对不同的与安全相关数据的实时获取:利用该项目的参与机构(赛门铁克的Deepsith threat management system,Eurecom维护的全球分布的蜜罐系统,波兰CERT的全国网络安全预警系统)已有的数据收集技术,并开发专用于无线网(WIFI,RFID,蓝牙)的工具,其它相关机构中已有的数据集可用部分。主要采取主动与被动相结合的方式,通过蜜网和爬虫、无线网从Ineternt实时不断地获取数据。
2)通过多种分析技术对数据进行强化:由于单一的观测结果不足以提示某现象的起因,其它相关的环境因素或特点必须考虑进来,所以将威胁的上下文信息统一形式化。实现搜集到的原始数据相关的元数据的半自动化生成。主要是通过恶意代码分析和上下文分析的方式去强化采集到的数据,例如找到某个(组)IP地址背后的黑客组织,对恶意行为进行聚类、分组等等。
3)威胁分析:一方面是指获得一幅安全态势的全景图(包括信息可视化),实现网络威胁的早期预警(Early Warnning)对网络威胁进行宏观分析;另一方面则可以获得安全情报(Security Intelligence),并输出给相关的组织、厂商,例如可以输出新出现的恶意代码的signature。
发起者
由欧盟及其合作者资助,在欧盟的信息通信技术ICT的第7届框架计划FP(Framework Programme)中启动。
由FR(France Telecom R&D 法国电信研发部)协调,参考者还有其它9个研究机构、电信运营商及安全公司。
总预算:4,422,746欧元
获取的信息由全球的信息安全人员共享。
进展情况
开始于2008年初
2008-2011年,举行了多次封闭的和2次公开的研讨会,多次发布研究报告。其主页上最后的活动是2011年5月发布的WOMBAT第二次研讨会的论文集。
sourceforgehttp://sourceforge.net/projects/wombat-api/)中发布基于SOAP(基于XML的简单对象网络访问协议)的API接口。
持续3年
工作原理编辑本段回目录
袋熊计划(WOMBAT Project,全称是Worldwide Observatory of Malicious Behaviors and Attack Threats)是欧盟资助的一个旨在用一套全新的手段去描述网络中当前存在和刚出现的威胁(尤指恶意代码)的计划。该计划试图通过对天量安全事件的收集、整理与分析,去描述整个网络的威胁模式、并分析大规模网络(例如整个Internet)的安全态势(Situational Awareness)。
下图阐述了WOMBAT的基本工作原理:就是三个部分。
1)数据获取:主要采取主动与被动相结合的方式,通过蜜网和爬虫从Ineternt实时不断地获取数据。
2)数据强化:主要是通过恶意代码分析和上下文分析的方式去强化采集到的数据,例如找到某个(组)IP地址背后的黑客组织,对恶意行为进行聚类、分组等等。
3)威胁分析:一方面是指获得一幅安全态势的全景图(包括信息可视化),实现网络威胁的早期预警(Early Warnning)对网络威胁进行宏观分析;另一方面则可以获得安全情报(Security Intelligence),并输出给相关的组织、厂商,例如可以输出新出现的恶意代码的signature。
可以看出,这个系统是一个典型的应用了态势感知原理的系统。