【牛刀小試】DeepFlow?基於NBAD的網路安全分析
⒈基於行為的異常流量檢測
隨著企業IT大規模往雲端遷移,網路安全從各企業部門自己擔責,轉移到由雲平台負責。保證雲網路安全可控已是網路用戶的基本需求。當前網路攻擊行為呈現出成本低廉、手段多樣和危害極大三大特徵,對雲網路安全提出空前的挑戰。尤其是DDoS,被認為是目前最難防禦的網路攻擊之一,業界至今沒有完全徹底的解決方法。因此採取適當的措施降低攻擊帶來的影響、減少損失是十分必要的。
傳統的網路安全防護手段已顯現出各自的局限。在防護範圍角度,傳統手段往往著重網路邊界和客戶端布防,對來自內網的網路流量沒有給予足夠重視。在檢測方式角度,基於網包特徵匹配的檢測方式對長時間、有計劃的攻擊防禦不足。例如,防火牆基於包過濾策略,需要外部配置,對深度攻擊無能為力。IDS/IPS基於攻擊的特徵匹配,可分析4層以上的內容,但不能主動學習攻擊方式。WAF僅對Web提供高級防護,缺乏對其它應用支持。
Flow的出現使得網路採集技術取得長足的發展,原本冗長的網路會話,可以用極其精簡的數據結構描述,也使得全網數據採集成為可能。近年大數據分析技術的興起,多種機器學習計算框架的出現,使人們能夠從海量多維數據中總結規律和趨勢,並從中發現異常。NBAD(Network
Behavior AnomalyDetection,網路行為異常檢測)是一種基於網路流量數據分析監測網路安全威脅的技術,可以彌補基於網包特徵檢測方式的不足,與傳統網路安全防護措施為互補關係。其廣泛應用於企業網、園區網,數據中心及雲虛擬化網路等場景,可對網路安全事件和威脅提供有效的監測、保護及預防手段。
全網採集和基於大數據分析的NBAD是雲杉網路DeepFlow?
NBAD誕生的背景。雲杉網路DeepFlow?提供基於大數據機器學習技術的NBAD能力。憑藉強大的網路流量採集及特徵學習和分析能力,提供針對DDos攻擊、埠掃描、口令入侵、惡意流量攻擊等安全事件的實時監測、報警及回溯功能。並能通過機器學習演算法持續完善流量模型,提高監測效率,為企業用戶、數據中心、雲網路運營者及虛擬網路租戶提供網路安全保障,降低網路及業務風險。⒉一個真實的應用場景
隨著企業業務持續遷移到雲端,其對業務網路的分析需求逐漸增多。雲杉網路及時洞察了市場需求,已開發出DeepFlow? NBAD並部署在部分用戶的環境中,對其生產網路中的行為異常進行持續檢測和分析。
以下是某DeepFlow? NBAD部署環境示意圖:
部署了DeepFlow?
NBAD之後,數據中心管理員可在Web界面對網路行為異常進行分析,總覽攻擊源、攻擊對象和攻擊頻率。也可鑽取至特定資源,深入分析行為異常特徵,並獲取會話回溯,掌握網路行為異常證據,解決分析困難的問題。數據中心租戶亦能獲知租戶網路使用情況,提前分析安全趨勢,主動採取防禦措施保證業務安全。在網路行為類型檢測中,DeepFlow? NBAD可識別如下異常:
- 應用層 – 網路應用一般以特定埠提供服務,通過關聯網路埠與應用,可以判斷網路行為異常與哪些應用相關。
- FTP,SSH,Telnet,SMTP,SMTPS,HTTP,POP3
- NTP,NETBIOS,RPC,IMAP,IRC,HTTPS
- DNS,IMAPS,IRCS,POP3S,RDP,Oracle
- MySQL,MSSQL,SIP,SIPS,Slowloris
- 傳輸層 – 利用TCP/UDP協議特性進行攻擊
- SYN Flood
- UDP Flood
- Ping Pong
- Port Scan
- Fraggle
- Smurf
- Land
- 網路層 – 利用IP,ICMP,ARP和RIP協議特性進行攻擊
- Range Scan
- ICMP Flood
- Ping of Death
⒊初露鋒芒:隨機數據抽樣檢測
從一小時數據中能發現什麼?
數據樣本:由於該客戶數據中心的網路流量數據量級較大,DeepFlow?在客戶完成配置後採集的流量約20GB/小時。本次分析選取了客戶某數據中心機房,北京時間2018年4月1日下午2時至3時共計1小時的流量數據。
通過對這一個小時的分析,我們發現該客戶的數據中心有7%的惡意流量。
「剝繭抽絲」
DeepFlow?分析流量數據時能夠精確到每一分鐘的機器學習特徵指標,如下圖。以下數據進行了脫敏處理,請讀者參考。
當然這些都是在後台由程序自動完成的,如果我們將上圖轉換為坐標圖「見下圖」,能夠清晰地發現3處異常,分別位於14:25分左右、14:39分左右、14:54分左右。
為了進一步驗證,我們可以在惡意流記錄中查看,下面的證據剛好與框住的三段匹配,其中mal_qty欄位記錄的是同一分鐘內相同特徵的流數量。
下面是第一次異常的數據:
上圖中,一分鐘內相同特徵的流量高達129284條,從上面的特徵可以看出,本次異常來自22*.***.**.*,且攻擊對象單一為10.**.***.**9。同一時刻、整齊的訪客源IP地址,這屬於明顯的攻擊特徵。不過這更像是一次獨立的攻擊事件。
上圖是第二次異常的數據。
第二次異常時,包含了第一次異常的受害者10.**.***.**9,同時增加了10.**.***.4*這個IP地址,從異常流量來源處,出現了分散式的特徵。至此,我們可以大概確定,這兩次異常網路行為是同一發起者。
以下是第三次異常數據。
通過比對異常事件時間,發現與第三次異常吻合。此外,我們發現第三次異常呈現出完全的分散式特徵,這與前兩次異常引發的特徵不同,屬於新增加的攻擊類型。
另外,從前面的圖中,我們也能看出三種攻擊手段的不同。
那麼到底是誰發起了這些攻擊行為呢?我們可以通過分析以上三次異常的IP地址來查找端倪。
是否還存在後續攻擊?由於受樣本數據的局限性,目前尚不足以下結論。
偽造連接
我們先來查看一下同類惡意流信息。
在相關的流中不難發現,偽造痕迹十分明顯。在每一次的異常訪問中,所有的異常連接均使用了相同的源埠。
DeepFlow?可以敏銳地發現這些異常,通過與控制器配合,我們可以進一步對惡意流進行處理。
異常HTTP訪問
下面的例子是標準的攻擊流量,在訪問HTTP的惡意攻擊流量超出伺服器承受時,會影響正常用戶訪問HTTP服務,具備明顯的DDoS的特徵。
藉助DeepFlow? NBAD的異常行為分析功能,可以對識別出來的惡意流進行處理,以確保客戶的業務服務可以被訪問。
持續暴力破解
從下面的分析我們發現,有不法分子在時刻覬覦著該客戶系統的賬號。
藉助雲杉網路DeepFlow? NBAD,客戶及時發現並制止了針對其系統帳號的暴力破解事件,提升了該客戶系統的安全性。
⒋小結
通常被黑客攻破的系統會擁有明顯的向外發請求的特徵。DeepFlow? NBAD異常行為分析,能夠做到對從內網發起的請求進行實時監控。DeepFlow?結合更多的有效信息,能預測可能發生的攻擊事件,與多方安全資源聯動。
基於這次隨機一小時的網路數據檢測,我們認為DeepFlow?在網路層、傳輸層、應用層的深度檢測能力得到了檢驗。
- DeepFlow? NBAD提供全網南北向、東西向流量採集與分析,不僅能夠針對來自Internet外部攻擊進行防護,也能夠對雲網內部流量進行全量採集和檢測,從而消滅了網路盲點。
- DeepFlow? NBAD既能檢驗大量已知行為異常,也能通過自學習添加新的檢測模型,應對未知異常行為,持續提升業務安全指數。
- DeepFlow? NBAD在持續主動分析過程中能自適應網路行為,避免了大量人工配置,提高檢測準確率並預測攻擊事件,為用戶提供了智能化的網路監控分析能力。
- DeepFlow? NBAD能夠監測與防禦多種內外網惡意流量和DDos攻擊行為,確保業務連續與安全。
- DeepFlow? NBAD針對內網病毒與異常行為提供有效防護,避免了信息泄露、文件丟失、業務中斷等損失
- DeepFlow? NBAD通過繪製攻擊者與受害者畫像,為提升整體網路安全提供依據。
推薦閱讀: