日本态势感知之NICTER项目

admin 2022年6月11日01:25:16安全新闻评论6 views4209字阅读14分1秒阅读模式

日本NICT(情报通信研究机构)在NICTER项目中建立了大规模的网络攻击观测网(暗网观测网),并从2005年开始观察网络攻击相关通信。此外,NICT于2021年4月1日成立新组织CYNEX(Cyber security Nexus) ,已将网络安全相关信息传输功能集成到其子项目之一Co-Nexus S 中。2022年2月,NICT(日本情报通信研究机构)发布了“NICTER观察报告2021”。

日本NICT(英语:National Institute of Information and Communications Technology),是隶属于日本总务省的国立研究开发法人,总部位于日本东京都小金井市,理事长为田英幸;下设电磁波研究所、网络研究所、网络安全研究所、未来ICT研究所、量子ICT协创中心等。

日本态势感知之NICTER项目

图:日本NICT的logo 



NICTER

日本认为需要一种机制来掌握大规模的恶意软件感染,因此,NICTER项目于2005年开始启动,持续观测暗网。NICTER(Network Incident analysis Center for Tactical Emergency Response),由NICT研究开发,是对在计算机网络上发生的各种信息安全方面的威胁、进行广泛且迅速地掌握、并导出有效应对措施的复合性系统。其功能为对通过观测网络攻击和收集恶意软件等获得的信息进行相关分析并查明原因。

NICTER大规模观测了被称为暗网的未使用IP地址。暗网是在因特网上可访问且未使用的IP地址空间。在正常的互联网使用范围内,很少见到向未使用的IP地址发送通信(数据包),但在实际观察暗网时,却能发现相当数量的数据包,其中大部分是网络攻击引起的数据包。NICTER的中心任务是通过分析在暗网观测到的通信来把握网络攻击的动向,发现新的威胁,研究相应对策。

通过观察到达暗网的数据包,NICTER捕捉各种网络攻击和网络事件,如攻击设备漏洞、服务器配置错误等。除暗网观测外,NICTER还从事DRDoS(Distributed Reflection Denial—of-Service Attack,是指利用因特网上的DNS、NTP等服务器向攻击对象发送大量的数据包,压迫攻击对象的网络带宽的DDoS攻击的一种)观测系统的研发、接收通信载荷的蜜罐的开发运营等活动。观察暗网捕获的一些威胁和事件可能对相关组织产生影响,甚至会对更广泛的互联网用户产生重大影响。当NICTER发现此类事件时,会把信息提供给安全相关组织或进行公布。

 



网络安全实验室

网络安全实验室是在NICT(情报通信研究机构)内成立的研究组织,进行网络安全技术的研发以应对网络攻击,并主导着NICTER项目。该实验室汇总和分析各种网络攻击的信息,如大规模的无差别的攻击和标靶型攻击,以提高网络攻击对策的效率和自动化程度。

 


NICTER观察报告2021

CYNEX在2月发布的报告内容包括:介绍了NICTER项目中2021年网络攻击相关通信的观测和分析结果;观测到针对IoT设备的攻击趋势仍在继续;即使在固件更新后仍继续感染恶意软件;在DRDoS攻击的观测中发现,地毯轰炸式攻击的数量翻了一番。

虽然NICTER项目在2021年观测到的网络攻击相关通信,比2020年减少了1成,但是依然有着如下倾向:针对IoT设备的特征端口号的通信、由海外组织进行大规模的调查扫描占半数以上。此外,还发现了日本国内的部分宽带路由器在应用最新版固件后也感染了恶意软件的现象。在对DRDoS攻击的观测中,地毯式轰炸对同一网络内的多个IP地址进行攻击,造成攻击件数倍增。

NICT称,将进一步利用NICTER的观察和分析结果,推动安全措施的研究和开发,以提高日本的网络安全。

 


Atlas

Atlas是种可视化引擎,将到达暗网的数据包在世界地图上以动画显示。针对到达暗网的各个数据包,从发送源的IP地址中找出实际的国家和地区,通过显示数据包从地图上相应的地方飞到日本国内传感器上的情况,可以直观地把握攻击源主机的地理分布。

日本态势感知之NICTER项目

图片来自日本NICT。

图:NICTER Atlas在暗网观测到的通信的可视化(注:Atlas是一个可视化引擎,它根据 IP 地址、端口号等,对到达暗网的数据包在世界地图上以动画的形式加以显示。)




Cube

 Cube是一种可视化引擎,基于IP地址和端口号在3D立方体中显示到达暗网的数据包。

日本态势感知之NICTER项目

图片来自日本NICT。

 


CYNEX和网络安全演习平台CYROP

 2022年2月3日,日本NICT发布消息称,开始公测网络安全演习平台CYROP(CYDERANGE as an Open Platform)。

日本态势感知之NICTER项目

 CYNEX系统图。图片来自日本NICT。


CYNEX(Cyber security Nexus),是NICT于2021年4月1日成立的组织,旨在成为网络安全领域的产业界、学术界、官方的“节点”。此次CYNEX启动网络安全演习平台CYROP的公测,以期消除安全人才培养的障碍,促进日本国内私营企业和教育机构的人才培养。CYNEX由四个子项目Co-Nexus A/S/E/C组成。此次CYROP的公开试用是NICT在Co-Nexus C中启动的。

日本态势感知之NICTER项目

网络安全演习平台CYROP


演习平台CYROP包括演习教材和演习环境在内。NICT将以前主要面向国家机构和地方公共团体开展的网络安全演习的教材和环境,向希望实施安全人才培养的私营企业和大学等教育机构开放;此外还将逐步开发产业界、学术界、政府所需的各种演习教材。这项公开试用将实施至2022年度末。通过此次试用,NICT将听取各演习单位的反馈意见,扩充演习材料,改善演习环境,并于2023年度开始CYROP的正式运营。


日本态势感知之NICTER项目

CYNEX
CYNEX将并行推进四个子项目“Co-Nexus”。
Co-Nexus A (Accumulation & Analysis):利用NICTER、STARDUST和WarpDrive等各种观测机制,来收集和积累网络安全信息;还将打造日本国内的分析师社区,以实现联合分析。 
Co-Nexus S(Security Operation & Sharing):目标是使分析师和机器学习引擎联合,对不同种类数据进行横向分析,以生成和提供日本国内的威胁信息;此外,还将构建先进的SOC人才培养计划,形成SOC人才培训基地。
 Co-Nexus E(Evaluation):将国产安全产品的原型引入NICT的网络环境,通过长期运行进行功能验证并反馈给产品,以支持国产安全产品的创造和普及。
 Co-Nexus C(CYROP):为消除日本安全人才培养的障碍,将开放演习场景和远程演习系统,以推动私营企业和教育机构的安全人才培养。

 



STARDUST

 为了应对目标型攻击等网络攻击,NICT网络安全研究室开发了网络攻击诱导平台“STARDUST”,目的是将攻击者引入精巧模拟的网络中,在不被觉察的情况下长期观测攻击者的攻击活动,以实时掌握以往难以收集的攻击者入侵后的详细行动。

重点:为了吸引目标型攻击等的攻击者,高速自动构建模拟环境“并行网络”;在精巧模仿企业的“并行网络”内,可以隐形地长期分析攻击者的行为;其结果与安全相关组织共享。

背景:以目标型攻击为代表的针对政府和企业等进行的网络攻击,在初期侵入时,会使用邮件等附带的恶意软件(非法程序)。侵入后,感染的恶意软件被用作后门,攻击者手动在网络内部进行攻击活动。因此,如果仅分析目标型攻击所使用的恶意软件,就只能得到对组织初期侵入的表层信息。而且遭受目标型攻击的组织很少公开可能包括自己信息的攻击相关数据,因此实际数据集不足,使得目标型攻击对策技术的研究开发更加困难。为了进行目标型攻击对策的实践性研究开发,需要一种研究平台,可自行收集包含恶意软件感染后的攻击者行为在内的目标型攻击的实际数据集。

日本态势感知之NICTER项目

STARDUST。图片来自NICT。

STARDUST可以灵活且高速地(几个小时左右)构建精巧模拟政府和企业等网络的“并行网络”。在并行网络上,各种服务器(Web服务器、邮件服务器、文件服务器、DNS服务器、认证服务器、代理服务器等)及数十台~数百台PC实际运行;在服务器或PC上还会配置模拟信息资产的模拟信息,就像实际存在的组织一样。

在并行网络上的PC“模拟节点”中执行目标型攻击所使用的恶意软件样本后,攻击者会通过恶意软件设置的后门尝试从外部连接。攻击者侵入并行网络后,还会尝试进行调查、感染扩大、信息窃取等。STARDUST可以用攻击者无法察觉的方法观察这些行为,实现实时行为观测和分析。

 



WarpDrive

英文为Web-based Attack Response with Practical and Deployable Research InitiatiVE,是NICT与KDDI公司等合作,面向网络媒介型攻击应对技术实用化的研究开发。

网络攻击持续多样化、巧妙化,仅浏览网站就感染恶意软件的网络媒介型攻击造成的损害也层出不穷。因为网络媒介型攻击只对浏览特定网站的用户进行攻击,被动的网络攻击观测网很难把握其实际情况,所以,NICT、KDDI综合研究所、横滨国立大学、神户大学、构造计划研究所、金泽大学等致力于“面向网络媒介型攻击对策技术实用化的研究开发”(简称WarpDrive),从2018年6月开始进行用户参与型的实践实验。功能包括在用户的Web浏览器中进行网络媒介型攻击的观测、分析;检测到攻击时阻止对恶意网站的浏览;对用户进行警告和建议;反复进行信息汇集、横向分析等。

日本态势感知之NICTER项目

网络媒介型攻击的流程。图片来自NICT。



词汇补充

 网络攻击相关通信:到达暗网的数据包的总称。包含了感染了恶意软件的机器在互联网上寻找下一个感染目标的扫描数据包等。

僵尸网络:感染了恶意软件并被攻击者远程操作的计算机和IoT机器称为僵尸,僵尸网络是指由多个僵尸构成、根据攻击者的指令一起进行DDoS攻击等。
地毯式轰炸型:不是针对单一的IP地址,而是主要针对同一网络内广泛范围的IP地址进行的攻击。
隧道协议/GRE:为了建立将因特网上的两个地点虚拟直连的通信线路(隧道)而使用的协议。GRE是这种协议的一种。


(来源:日本NICT官网等。本文参考内容均来源于网络,仅供读者了解和掌握相关情况参考,不用于任何商业用途。侵删)


原文始发于微信公众号(祺印说信安):日本态势感知之NICTER项目

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月11日01:25:16
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  日本态势感知之NICTER项目 http://cn-sec.com/archives/1108746.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: