【牛刀小试】DeepFlow®基于NBAD的网络安全分析

SDN in China

2018年5月10日

关于产品

▌⒈基于行为的异常流量检测

随着企业IT大规模往云端迁移,网络安全从各企业部门自己担责,转移到由云平台负责。保证云网络安全可控已是网络用户的基本需求。当前网络攻击行为呈现出成本低廉、手段多样和危害极大三大特征,对云网络安全提出空前的挑战。尤其是DDoS,被认为是目前最难防御的网络攻击之一,业界至今没有完全彻底的解决方法。因此采取适当的措施降低攻击带来的影响、减少损失是十分必要的。

传统的网络安全防护手段已显现出各自的局限。在防护范围角度,传统手段往往着重网络边界和客户端布防,对来自内网的网络流量没有给予足够重视。在检测方式角度,基于网包特征匹配的检测方式对长时间、有计划的攻击防御不足。例如,防火墙基于包过滤策略,需要外部配置,对深度攻击无能为力。IDS/IPS基于攻击的特征匹配,可分析4层以上的内容,但不能主动学习攻击方式。WAF仅对Web提供高级防护,缺乏对其它应用支持。

01

Flow的出现使得网络采集技术取得长足的发展,原本冗长的网络会话,可以用极其精简的数据结构描述,也使得全网数据采集成为可能。近年大数据分析技术的兴起,多种机器学习计算框架的出现,使人们能够从海量多维数据中总结规律和趋势,并从中发现异常。NBAD(Network Behavior Anomaly Detection,网络行为异常检测)是一种基于网络流量数据分析监测网络安全威胁的技术,可以弥补基于网包特征检测方式的不足,与传统网络安全防护措施为互补关系。其广泛应用于企业网、园区网,数据中心及云虚拟化网络等场景,可对网络安全事件和威胁提供有效的监测、保护及预防手段。

全网采集和基于大数据分析的NBAD是云杉网络DeepFlow® NBAD诞生的背景。云杉网络DeepFlow®提供基于大数据机器学习技术的NBAD能力。凭借强大的网络流量采集及特征学习和分析能力,提供针对DDos攻击、端口扫描、口令入侵、恶意流量攻击等安全事件的实时监测、报警及回溯功能。并能通过机器学习算法持续完善流量模型,提高监测效率,为企业用户、数据中心、云网络运营者及虚拟网络租户提供网络安全保障,降低网络及业务风险。

▌⒉一个真实的应用场景

随着企业业务持续迁移到云端,其对业务网络的分析需求逐渐增多。云杉网络及时洞察了市场需求,已开发出DeepFlow® NBAD并部署在部分用户的环境中,对其生产网络中的行为异常进行持续检测和分析。

以下是某DeepFlow® NBAD部署环境示意图:

02

部署了DeepFlow® NBAD之后,数据中心管理员可在Web界面对网络行为异常进行分析,总览攻击源、攻击对象和攻击频率。也可钻取至特定资源,深入分析行为异常特征,并获取会话回溯,掌握网络行为异常证据,解决分析困难的问题。数据中心租户亦能获知租户网络使用情况,提前分析安全趋势,主动采取防御措施保证业务安全。

在网络行为类型检测中,DeepFlow® NBAD可识别如下异常:

  • 应用层 – 网络应用一般以特定端口提供服务,通过关联网络端口与应用,可以判断网络行为异常与哪些应用相关。

  • FTP,SSH,Telnet,SMTP,SMTPS,HTTP,POP3

  • NTP,NETBIOS,RPC,IMAP,IRC,HTTPS

  • DNS,IMAPS,IRCS,POP3S,RDP,Oracle

  • MySQL,MSSQL,SIP,SIPS,Slowloris

  • 传输层 – 利用TCP/UDP协议特性进行攻击

  • SYN Flood

  • UDP Flood

  • Ping Pong

  • Port Scan

  • Fraggle

  • Smurf

  • Land

  • 网络层 – 利用IP,ICMP,ARP和RIP协议特性进行攻击

  • Range Scan

  • ICMP Flood

  • Ping of Death

▌⒊初露锋芒:随机数据抽样检测

从一小时数据中能发现什么?

数据样本:由于该客户数据中心的网络流量数据量级较大,DeepFlow®在客户完成配置后采集的流量约20GB/小时。本次分析选取了客户某数据中心机房,北京时间2018年4月1日下午2时至3时共计1小时的流量数据。

通过对这一个小时的分析,我们发现该客户的数据中心有7%的恶意流量。

03

“剥茧抽丝”

DeepFlow®分析流量数据时能够精确到每一分钟的机器学习特征指标,如下图。以下数据进行了脱敏处理,请读者参考。

04

当然这些都是在后台由程序自动完成的,如果我们将上图转换为坐标图「见下图」,能够清晰地发现3处异常,分别位于14:25分左右、14:39分左右、14:54分左右。

05

为了进一步验证,我们可以在恶意流记录中查看,下面的证据刚好与框住的三段匹配,其中mal_qty字段记录的是同一分钟内相同特征的流数量。

06

下面是第一次异常的数据:

07

上图中,一分钟内相同特征的流量高达129284条,从上面的特征可以看出,本次异常来自22*.***.**.*,且攻击对象单一为10.**.***.**9。同一时刻、整齐的访客源IP地址,这属于明显的攻击特征。不过这更像是一次独立的攻击事件。

08

上图是第二次异常的数据。

09 10 11 12

第二次异常时,包含了第一次异常的受害者10.**.***.**9,同时增加了10.**.***.4*这个IP地址,从异常流量来源处,出现了分布式的特征。至此,我们可以大概确定,这两次异常网络行为是同一发起者。

以下是第三次异常数据。

13

通过比对异常事件时间,发现与第三次异常吻合。此外,我们发现第三次异常呈现出完全的分布式特征,这与前两次异常引发的特征不同,属于新增加的攻击类型。

另外,从前面的图中,我们也能看出三种攻击手段的不同。

14

那么到底是谁发起了这些攻击行为呢?我们可以通过分析以上三次异常的IP地址来查找端倪。

16

是否还存在后续攻击?由于受样本数据的局限性,目前尚不足以下结论。

伪造连接

我们先来查看一下同类恶意流信息。

17

在相关的流中不难发现,伪造痕迹十分明显。在每一次的异常访问中,所有的异常连接均使用了相同的源端口。

18 19 20

DeepFlow®可以敏锐地发现这些异常,通过与控制器配合,我们可以进一步对恶意流进行处理。

异常HTTP访问

下面的例子是标准的攻击流量,在访问HTTP的恶意攻击流量超出服务器承受时,会影响正常用户访问HTTP服务,具备明显的DDoS的特征。

21

借助DeepFlow® NBAD的异常行为分析功能,可以对识别出来的恶意流进行处理,以确保客户的业务服务可以被访问。

持续暴力破解

从下面的分析我们发现,有不法分子在时刻觊觎着该客户系统的账号。

22 23 24 25

借助云杉网络DeepFlow® NBAD,客户及时发现并制止了针对其系统帐号的暴力破解事件,提升了该客户系统的安全性。

▌⒋小结

通常被黑客攻破的系统会拥有明显的向外发请求的特征。DeepFlow® NBAD异常行为分析,能够做到对从内网发起的请求进行实时监控。DeepFlow®结合更多的有效信息,能预测可能发生的攻击事件,与多方安全资源联动。

26

基于这次随机一小时的网络数据检测,我们认为DeepFlow®在网络层、传输层、应用层的深度检测能力得到了检验。

  • DeepFlow® NBAD提供全网南北向、东西向流量采集与分析,不仅能够针对来自Internet外部攻击进行防护,也能够对云网内部流量进行全量采集和检测,从而消灭了网络盲点。

  • DeepFlow® NBAD既能检验大量已知行为异常,也能通过自学习添加新的检测模型,应对未知异常行为,持续提升业务安全指数。

  • DeepFlow® NBAD在持续主动分析过程中能自适应网络行为,避免了大量人工配置,提高检测准确率并预测攻击事件,为用户提供了智能化的网络监控分析能力。

  • DeepFlow® NBAD能够监测与防御多种内外网恶意流量和DDos攻击行为,确保业务连续与安全。

  • DeepFlow® NBAD针对内网病毒与异常行为提供有效防护,避免了信息泄露、文件丢失、业务中断等损失

  • DeepFlow® NBAD通过绘制攻击者与受害者画像,为提升整体网络安全提供依据。

Related Posts

DeepFlow v5.6.3发布 知识图谱再升级 强化应用感知能力

近期云杉网络发布了DeepFlow v5.6.3版。该版本在IaaS+PaaS全栈混合云场景下支持关联容器节点和虚拟机以及更多云平台,在全景图的知识图谱、应用感知、链路追踪以及日志数据等方面有较大改进;易用性方面包括视图支持了导出、导入、另存和自定义搜索等特性,此外新版本支持了多租户并进一步优化了采集器和产品整体的性能。

Read More

云杉网络DeepFlow十问

关于DeepFlow的10个问题

Read More