【牛刀小試】DeepFlow?基於NBAD的網路安全分析

【牛刀小試】DeepFlow?基於NBAD的網路安全分析

基於行為的異常流量檢測

隨著企業IT大規模往雲端遷移,網路安全從各企業部門自己擔責,轉移到由雲平台負責。保證雲網路安全可控已是網路用戶的基本需求。當前網路攻擊行為呈現出成本低廉、手段多樣和危害極大三大特徵,對雲網路安全提出空前的挑戰。尤其是DDoS,被認為是目前最難防禦的網路攻擊之一,業界至今沒有完全徹底的解決方法。因此採取適當的措施降低攻擊帶來的影響、減少損失是十分必要的。

傳統的網路安全防護手段已顯現出各自的局限。在防護範圍角度,傳統手段往往著重網路邊界和客戶端布防,對來自內網的網路流量沒有給予足夠重視。在檢測方式角度,基於網包特徵匹配的檢測方式對長時間、有計劃的攻擊防禦不足。例如,防火牆基於包過濾策略,需要外部配置,對深度攻擊無能為力。IDS/IPS基於攻擊的特徵匹配,可分析4層以上的內容,但不能主動學習攻擊方式。WAF僅對Web提供高級防護,缺乏對其它應用支持。

Flow的出現使得網路採集技術取得長足的發展,原本冗長的網路會話,可以用極其精簡的數據結構描述,也使得全網數據採集成為可能。近年大數據分析技術的興起,多種機器學習計算框架的出現,使人們能夠從海量多維數據中總結規律和趨勢,並從中發現異常。NBAD(Network

Behavior Anomaly

Detection,網路行為異常檢測)是一種基於網路流量數據分析監測網路安全威脅的技術,可以彌補基於網包特徵檢測方式的不足,與傳統網路安全防護措施為互補關係。其廣泛應用於企業網、園區網,數據中心及雲虛擬化網路等場景,可對網路安全事件和威脅提供有效的監測、保護及預防手段。

全網採集和基於大數據分析的NBAD是雲杉網路DeepFlow?

NBAD誕生的背景。雲杉網路DeepFlow?提供基於大數據機器學習技術的NBAD能力。憑藉強大的網路流量採集及特徵學習和分析能力,提供針對DDos攻擊、埠掃描、口令入侵、惡意流量攻擊等安全事件的實時監測、報警及回溯功能。並能通過機器學習演算法持續完善流量模型,提高監測效率,為企業用戶、數據中心、雲網路運營者及虛擬網路租戶提供網路安全保障,降低網路及業務風險。

一個真實的應用場景

隨著企業業務持續遷移到雲端,其對業務網路的分析需求逐漸增多。雲杉網路及時洞察了市場需求,已開發出DeepFlow? NBAD並部署在部分用戶的環境中,對其生產網路中的行為異常進行持續檢測和分析。

以下是某DeepFlow? NBAD部署環境示意圖:

部署了DeepFlow?

NBAD之後,數據中心管理員可在Web界面對網路行為異常進行分析,總覽攻擊源、攻擊對象和攻擊頻率。也可鑽取至特定資源,深入分析行為異常特徵,並獲取會話回溯,掌握網路行為異常證據,解決分析困難的問題。數據中心租戶亦能獲知租戶網路使用情況,提前分析安全趨勢,主動採取防禦措施保證業務安全。

在網路行為類型檢測中,DeepFlow? NBAD可識別如下異常:

  • 應用層 – 網路應用一般以特定埠提供服務,通過關聯網路埠與應用,可以判斷網路行為異常與哪些應用相關。
  • FTP,SSH,Telnet,SMTP,SMTPS,HTTP,POP3
  • NTP,NETBIOS,RPC,IMAP,IRC,HTTPS
  • DNS,IMAPS,IRCS,POP3S,RDP,Oracle
  • MySQL,MSSQL,SIP,SIPS,Slowloris
  • 傳輸層 – 利用TCP/UDP協議特性進行攻擊
  • SYN Flood
  • UDP Flood
  • Ping Pong
  • Port Scan
  • Fraggle
  • Smurf
  • Land
  • 網路層 – 利用IP,ICMP,ARP和RIP協議特性進行攻擊
  • Range Scan
  • ICMP Flood
  • Ping of Death

初露鋒芒:隨機數據抽樣檢測

從一小時數據中能發現什麼?

數據樣本:由於該客戶數據中心的網路流量數據量級較大,DeepFlow?在客戶完成配置後採集的流量約20GB/小時。本次分析選取了客戶某數據中心機房,北京時間2018年4月1日下午2時至3時共計1小時的流量數據。

通過對這一個小時的分析,我們發現該客戶的數據中心有7%的惡意流量。

「剝繭抽絲」

DeepFlow?分析流量數據時能夠精確到每一分鐘的機器學習特徵指標,如下圖。以下數據進行了脫敏處理,請讀者參考。

當然這些都是在後台由程序自動完成的,如果我們將上圖轉換為坐標圖「見下圖」,能夠清晰地發現3處異常,分別位於14:25分左右、14:39分左右、14:54分左右。

為了進一步驗證,我們可以在惡意流記錄中查看,下面的證據剛好與框住的三段匹配,其中mal_qty欄位記錄的是同一分鐘內相同特徵的流數量。

下面是第一次異常的數據:

上圖中,一分鐘內相同特徵的流量高達129284條,從上面的特徵可以看出,本次異常來自22*.***.**.*,且攻擊對象單一為10.**.***.**9。同一時刻、整齊的訪客源IP地址,這屬於明顯的攻擊特徵。不過這更像是一次獨立的攻擊事件。

上圖是第二次異常的數據。

第二次異常時,包含了第一次異常的受害者10.**.***.**9,同時增加了10.**.***.4*這個IP地址,從異常流量來源處,出現了分散式的特徵。至此,我們可以大概確定,這兩次異常網路行為是同一發起者。

以下是第三次異常數據。

通過比對異常事件時間,發現與第三次異常吻合。此外,我們發現第三次異常呈現出完全的分散式特徵,這與前兩次異常引發的特徵不同,屬於新增加的攻擊類型。

另外,從前面的圖中,我們也能看出三種攻擊手段的不同。

那麼到底是誰發起了這些攻擊行為呢?我們可以通過分析以上三次異常的IP地址來查找端倪。

是否還存在後續攻擊?由於受樣本數據的局限性,目前尚不足以下結論。

偽造連接

我們先來查看一下同類惡意流信息。

在相關的流中不難發現,偽造痕迹十分明顯。在每一次的異常訪問中,所有的異常連接均使用了相同的源埠。

DeepFlow?可以敏銳地發現這些異常,通過與控制器配合,我們可以進一步對惡意流進行處理。

異常HTTP訪問

下面的例子是標準的攻擊流量,在訪問HTTP的惡意攻擊流量超出伺服器承受時,會影響正常用戶訪問HTTP服務,具備明顯的DDoS的特徵。

藉助DeepFlow? NBAD的異常行為分析功能,可以對識別出來的惡意流進行處理,以確保客戶的業務服務可以被訪問。

持續暴力破解

從下面的分析我們發現,有不法分子在時刻覬覦著該客戶系統的賬號。

藉助雲杉網路DeepFlow? NBAD,客戶及時發現並制止了針對其系統帳號的暴力破解事件,提升了該客戶系統的安全性。

小結

通常被黑客攻破的系統會擁有明顯的向外發請求的特徵。DeepFlow? NBAD異常行為分析,能夠做到對從內網發起的請求進行實時監控。DeepFlow?結合更多的有效信息,能預測可能發生的攻擊事件,與多方安全資源聯動。

基於這次隨機一小時的網路數據檢測,我們認為DeepFlow?在網路層、傳輸層、應用層的深度檢測能力得到了檢驗。

  • DeepFlow? NBAD提供全網南北向、東西向流量採集與分析,不僅能夠針對來自Internet外部攻擊進行防護,也能夠對雲網內部流量進行全量採集和檢測,從而消滅了網路盲點。
  • DeepFlow? NBAD既能檢驗大量已知行為異常,也能通過自學習添加新的檢測模型,應對未知異常行為,持續提升業務安全指數。
  • DeepFlow? NBAD在持續主動分析過程中能自適應網路行為,避免了大量人工配置,提高檢測準確率並預測攻擊事件,為用戶提供了智能化的網路監控分析能力。
  • DeepFlow? NBAD能夠監測與防禦多種內外網惡意流量和DDos攻擊行為,確保業務連續與安全。
  • DeepFlow? NBAD針對內網病毒與異常行為提供有效防護,避免了信息泄露、文件丟失、業務中斷等損失
  • DeepFlow? NBAD通過繪製攻擊者與受害者畫像,為提升整體網路安全提供依據。

推薦閱讀:

2017年數字加密貨幣安全報告
被全智(allwinner)遺忘(?)的後門(backdoor)

TAG:計算機安全 | 網路安全 | 信息安全 |