【牛刀小試】DeepFlow?基於NBAD的網路安全分析

05-19

⒈基於行為的異常流量檢測

隨著企業IT大規模往雲端遷移，網路安全從各企業部門自己擔責，轉移到由雲平台負責。保證雲網路安全可控已是網路用戶的基本需求。當前網路攻擊行為呈現出成本低廉、手段多樣和危害極大三大特徵，對雲網路安全提出空前的挑戰。尤其是DDoS，被認為是目前最難防禦的網路攻擊之一，業界至今沒有完全徹底的解決方法。因此採取適當的措施降低攻擊帶來的影響、減少損失是十分必要的。

傳統的網路安全防護手段已顯現出各自的局限。在防護範圍角度，傳統手段往往著重網路邊界和客戶端布防，對來自內網的網路流量沒有給予足夠重視。在檢測方式角度，基於網包特徵匹配的檢測方式對長時間、有計劃的攻擊防禦不足。例如，防火牆基於包過濾策略，需要外部配置，對深度攻擊無能為力。IDS/IPS基於攻擊的特徵匹配，可分析4層以上的內容，但不能主動學習攻擊方式。WAF僅對Web提供高級防護，缺乏對其它應用支持。

Flow的出現使得網路採集技術取得長足的發展，原本冗長的網路會話，可以用極其精簡的數據結構描述，也使得全網數據採集成為可能。近年大數據分析技術的興起，多種機器學習計算框架的出現，使人們能夠從海量多維數據中總結規律和趨勢，並從中發現異常。NBAD(Network

Behavior Anomaly

Detection，網路行為異常檢測）是一種基於網路流量數據分析監測網路安全威脅的技術，可以彌補基於網包特徵檢測方式的不足，與傳統網路安全防護措施為互補關係。其廣泛應用於企業網、園區網，數據中心及雲虛擬化網路等場景，可對網路安全事件和威脅提供有效的監測、保護及預防手段。

全網採集和基於大數據分析的NBAD是雲杉網路DeepFlow?

NBAD誕生的背景。雲杉網路DeepFlow?提供基於大數據機器學習技術的NBAD能力。憑藉強大的網路流量採集及特徵學習和分析能力，提供針對DDos攻擊、埠掃描、口令入侵、惡意流量攻擊等安全事件的實時監測、報警及回溯功能。並能通過機器學習演算法持續完善流量模型，提高監測效率，為企業用戶、數據中心、雲網路運營者及虛擬網路租戶提供網路安全保障，降低網路及業務風險。

⒉一個真實的應用場景

隨著企業業務持續遷移到雲端，其對業務網路的分析需求逐漸增多。雲杉網路及時洞察了市場需求，已開發出DeepFlow? NBAD並部署在部分用戶的環境中，對其生產網路中的行為異常進行持續檢測和分析。

以下是某DeepFlow? NBAD部署環境示意圖：

部署了DeepFlow?

NBAD之後，數據中心管理員可在Web界面對網路行為異常進行分析，總覽攻擊源、攻擊對象和攻擊頻率。也可鑽取至特定資源，深入分析行為異常特徵，並獲取會話回溯，掌握網路行為異常證據，解決分析困難的問題。數據中心租戶亦能獲知租戶網路使用情況，提前分析安全趨勢，主動採取防禦措施保證業務安全。

在網路行為類型檢測中，DeepFlow? NBAD可識別如下異常：

應用層 – 網路應用一般以特定埠提供服務，通過關聯網路埠與應用，可以判斷網路行為異常與哪些應用相關。
FTP，SSH，Telnet，SMTP，SMTPS，HTTP，POP3
NTP，NETBIOS，RPC，IMAP，IRC，HTTPS
DNS，IMAPS，IRCS，POP3S，RDP，Oracle
MySQL，MSSQL，SIP，SIPS，Slowloris
傳輸層 – 利用TCP/UDP協議特性進行攻擊
SYN Flood
UDP Flood
Ping Pong
Port Scan
Fraggle
Smurf
Land
網路層 – 利用IP，ICMP，ARP和RIP協議特性進行攻擊
Range Scan
ICMP Flood
Ping of Death

⒊初露鋒芒：隨機數據抽樣檢測

從一小時數據中能發現什麼？

數據樣本：由於該客戶數據中心的網路流量數據量級較大，DeepFlow?在客戶完成配置後採集的流量約20GB/小時。本次分析選取了客戶某數據中心機房，北京時間2018年4月1日下午2時至3時共計1小時的流量數據。

通過對這一個小時的分析，我們發現該客戶的數據中心有7%的惡意流量。

「剝繭抽絲」

DeepFlow?分析流量數據時能夠精確到每一分鐘的機器學習特徵指標，如下圖。以下數據進行了脫敏處理，請讀者參考。

當然這些都是在後台由程序自動完成的，如果我們將上圖轉換為坐標圖「見下圖」，能夠清晰地發現3處異常，分別位於14:25分左右、14:39分左右、14:54分左右。

為了進一步驗證，我們可以在惡意流記錄中查看，下面的證據剛好與框住的三段匹配，其中mal_qty欄位記錄的是同一分鐘內相同特徵的流數量。

下面是第一次異常的數據：

上圖中，一分鐘內相同特徵的流量高達129284條，從上面的特徵可以看出，本次異常來自22*.***.**.*，且攻擊對象單一為10.**.***.**9。同一時刻、整齊的訪客源IP地址，這屬於明顯的攻擊特徵。不過這更像是一次獨立的攻擊事件。

上圖是第二次異常的數據。

第二次異常時，包含了第一次異常的受害者10.**.***.**9，同時增加了10.**.***.4*這個IP地址，從異常流量來源處，出現了分散式的特徵。至此，我們可以大概確定，這兩次異常網路行為是同一發起者。

以下是第三次異常數據。

通過比對異常事件時間，發現與第三次異常吻合。此外，我們發現第三次異常呈現出完全的分散式特徵，這與前兩次異常引發的特徵不同，屬於新增加的攻擊類型。

另外，從前面的圖中，我們也能看出三種攻擊手段的不同。

那麼到底是誰發起了這些攻擊行為呢？我們可以通過分析以上三次異常的IP地址來查找端倪。

是否還存在後續攻擊？由於受樣本數據的局限性，目前尚不足以下結論。

偽造連接

我們先來查看一下同類惡意流信息。

在相關的流中不難發現，偽造痕迹十分明顯。在每一次的異常訪問中，所有的異常連接均使用了相同的源埠。

DeepFlow?可以敏銳地發現這些異常，通過與控制器配合，我們可以進一步對惡意流進行處理。

異常HTTP訪問

下面的例子是標準的攻擊流量，在訪問HTTP的惡意攻擊流量超出伺服器承受時，會影響正常用戶訪問HTTP服務，具備明顯的DDoS的特徵。

藉助DeepFlow? NBAD的異常行為分析功能，可以對識別出來的惡意流進行處理，以確保客戶的業務服務可以被訪問。

持續暴力破解

從下面的分析我們發現，有不法分子在時刻覬覦著該客戶系統的賬號。

藉助雲杉網路DeepFlow? NBAD，客戶及時發現並制止了針對其系統帳號的暴力破解事件，提升了該客戶系統的安全性。

⒋小結

通常被黑客攻破的系統會擁有明顯的向外發請求的特徵。DeepFlow? NBAD異常行為分析，能夠做到對從內網發起的請求進行實時監控。DeepFlow?結合更多的有效信息，能預測可能發生的攻擊事件，與多方安全資源聯動。

基於這次隨機一小時的網路數據檢測，我們認為DeepFlow?在網路層、傳輸層、應用層的深度檢測能力得到了檢驗。

DeepFlow? NBAD提供全網南北向、東西向流量採集與分析，不僅能夠針對來自Internet外部攻擊進行防護，也能夠對雲網內部流量進行全量採集和檢測，從而消滅了網路盲點。
DeepFlow? NBAD既能檢驗大量已知行為異常，也能通過自學習添加新的檢測模型，應對未知異常行為，持續提升業務安全指數。
DeepFlow? NBAD在持續主動分析過程中能自適應網路行為，避免了大量人工配置，提高檢測準確率並預測攻擊事件，為用戶提供了智能化的網路監控分析能力。
DeepFlow? NBAD能夠監測與防禦多種內外網惡意流量和DDos攻擊行為，確保業務連續與安全。
DeepFlow? NBAD針對內網病毒與異常行為提供有效防護，避免了信息泄露、文件丟失、業務中斷等損失
DeepFlow? NBAD通過繪製攻擊者與受害者畫像，為提升整體網路安全提供依據。