随着企业IT大规模往云端迁移,网络安全从各企业部门自己担责,转移到由云平台负责。保证云网络安全可控已是网络用户的基本需求。当前网络攻击行为呈现出成本低廉、手段多样和危害极大三大特征,对云网络安全提出空前的挑战。尤其是DDoS,被认为是目前最难防御的网络攻击之一,业界至今没有完全彻底的解决方法。因此采取适当的措施降低攻击带来的影响、减少损失是十分必要的。
传统的网络安全防护手段已显现出各自的局限。在防护范围角度,传统手段往往着重网络边界和客户端布防,对来自内网的网络流量没有给予足够重视。在检测方式角度,基于网包特征匹配的检测方式对长时间、有计划的攻击防御不足。例如,防火墙基于包过滤策略,需要外部配置,对深度攻击无能为力。IDS/IPS基于攻击的特征匹配,可分析4层以上的内容,但不能主动学习攻击方式。WAF仅对Web提供高级防护,缺乏对其它应用支持。
Flow的出现使得网络采集技术取得长足的发展,原本冗长的网络会话,可以用极其精简的数据结构描述,也使得全网数据采集成为可能。近年大数据分析技术的兴起,多种机器学习计算框架的出现,使人们能够从海量多维数据中总结规律和趋势,并从中发现异常。NBAD(Network Behavior Anomaly Detection,网络行为异常检测)是一种基于网络流量数据分析监测网络安全威胁的技术,可以弥补基于网包特征检测方式的不足,与传统网络安全防护措施为互补关系。其广泛应用于企业网、园区网,数据中心及云虚拟化网络等场景,可对网络安全事件和威胁提供有效的监测、保护及预防手段。
全网采集和基于大数据分析的NBAD是云杉网络DeepFlow® NBAD诞生的背景。云杉网络DeepFlow®提供基于大数据机器学习技术的NBAD能力。凭借强大的网络流量采集及特征学习和分析能力,提供针对DDos攻击、端口扫描、口令入侵、恶意流量攻击等安全事件的实时监测、报警及回溯功能。并能通过机器学习算法持续完善流量模型,提高监测效率,为企业用户、数据中心、云网络运营者及虚拟网络租户提供网络安全保障,降低网络及业务风险。
随着企业业务持续迁移到云端,其对业务网络的分析需求逐渐增多。云杉网络及时洞察了市场需求,已开发出DeepFlow® NBAD并部署在部分用户的环境中,对其生产网络中的行为异常进行持续检测和分析。
以下是某DeepFlow® NBAD部署环境示意图:
部署了DeepFlow® NBAD之后,数据中心管理员可在Web界面对网络行为异常进行分析,总览攻击源、攻击对象和攻击频率。也可钻取至特定资源,深入分析行为异常特征,并获取会话回溯,掌握网络行为异常证据,解决分析困难的问题。数据中心租户亦能获知租户网络使用情况,提前分析安全趋势,主动采取防御措施保证业务安全。
在网络行为类型检测中,DeepFlow® NBAD可识别如下异常:
应用层 – 网络应用一般以特定端口提供服务,通过关联网络端口与应用,可以判断网络行为异常与哪些应用相关。
FTP,SSH,Telnet,SMTP,SMTPS,HTTP,POP3
NTP,NETBIOS,RPC,IMAP,IRC,HTTPS
DNS,IMAPS,IRCS,POP3S,RDP,Oracle
MySQL,MSSQL,SIP,SIPS,Slowloris
传输层 – 利用TCP/UDP协议特性进行攻击
SYN Flood
UDP Flood
Ping Pong
Port Scan
Fraggle
Smurf
Land
网络层 – 利用IP,ICMP,ARP和RIP协议特性进行攻击
Range Scan
ICMP Flood
Ping of Death
数据样本:由于该客户数据中心的网络流量数据量级较大,DeepFlow®在客户完成配置后采集的流量约20GB/小时。本次分析选取了客户某数据中心机房,北京时间2018年4月1日下午2时至3时共计1小时的流量数据。
通过对这一个小时的分析,我们发现该客户的数据中心有7%的恶意流量。
DeepFlow®分析流量数据时能够精确到每一分钟的机器学习特征指标,如下图。以下数据进行了脱敏处理,请读者参考。
当然这些都是在后台由程序自动完成的,如果我们将上图转换为坐标图「见下图」,能够清晰地发现3处异常,分别位于14:25分左右、14:39分左右、14:54分左右。
为了进一步验证,我们可以在恶意流记录中查看,下面的证据刚好与框住的三段匹配,其中mal_qty字段记录的是同一分钟内相同特征的流数量。
下面是第一次异常的数据:
上图中,一分钟内相同特征的流量高达129284条,从上面的特征可以看出,本次异常来自22*.***.**.*,且攻击对象单一为10.**.***.**9。同一时刻、整齐的访客源IP地址,这属于明显的攻击特征。不过这更像是一次独立的攻击事件。
上图是第二次异常的数据。
第二次异常时,包含了第一次异常的受害者10.**.***.**9,同时增加了10.**.***.4*这个IP地址,从异常流量来源处,出现了分布式的特征。至此,我们可以大概确定,这两次异常网络行为是同一发起者。
以下是第三次异常数据。
通过比对异常事件时间,发现与第三次异常吻合。此外,我们发现第三次异常呈现出完全的分布式特征,这与前两次异常引发的特征不同,属于新增加的攻击类型。
另外,从前面的图中,我们也能看出三种攻击手段的不同。
那么到底是谁发起了这些攻击行为呢?我们可以通过分析以上三次异常的IP地址来查找端倪。
是否还存在后续攻击?由于受样本数据的局限性,目前尚不足以下结论。
我们先来查看一下同类恶意流信息。
在相关的流中不难发现,伪造痕迹十分明显。在每一次的异常访问中,所有的异常连接均使用了相同的源端口。
DeepFlow®可以敏锐地发现这些异常,通过与控制器配合,我们可以进一步对恶意流进行处理。
下面的例子是标准的攻击流量,在访问HTTP的恶意攻击流量超出服务器承受时,会影响正常用户访问HTTP服务,具备明显的DDoS的特征。
借助DeepFlow® NBAD的异常行为分析功能,可以对识别出来的恶意流进行处理,以确保客户的业务服务可以被访问。
从下面的分析我们发现,有不法分子在时刻觊觎着该客户系统的账号。
借助云杉网络DeepFlow® NBAD,客户及时发现并制止了针对其系统帐号的暴力破解事件,提升了该客户系统的安全性。
通常被黑客攻破的系统会拥有明显的向外发请求的特征。DeepFlow® NBAD异常行为分析,能够做到对从内网发起的请求进行实时监控。DeepFlow®结合更多的有效信息,能预测可能发生的攻击事件,与多方安全资源联动。
基于这次随机一小时的网络数据检测,我们认为DeepFlow®在网络层、传输层、应用层的深度检测能力得到了检验。
DeepFlow® NBAD提供全网南北向、东西向流量采集与分析,不仅能够针对来自Internet外部攻击进行防护,也能够对云网内部流量进行全量采集和检测,从而消灭了网络盲点。
DeepFlow® NBAD既能检验大量已知行为异常,也能通过自学习添加新的检测模型,应对未知异常行为,持续提升业务安全指数。
DeepFlow® NBAD在持续主动分析过程中能自适应网络行为,避免了大量人工配置,提高检测准确率并预测攻击事件,为用户提供了智能化的网络监控分析能力。
DeepFlow® NBAD能够监测与防御多种内外网恶意流量和DDos攻击行为,确保业务连续与安全。
DeepFlow® NBAD针对内网病毒与异常行为提供有效防护,避免了信息泄露、文件丢失、业务中断等损失
DeepFlow® NBAD通过绘制攻击者与受害者画像,为提升整体网络安全提供依据。
SDN in China
2018年5月10日
关于产品