通过异常检测来应对高级持久性安全威胁：有时更多更多-CSDN博客

这听起来令人不安吗？您尝试访问特定网站只是发现该网站已关闭。但这不是那么简单。您尝试其他站点-也无法访问。还有另一种……您希望社交媒体提供有关正在发生的事件的即时报告，并且当您了解到该国遭受网络攻击的广阔地区时，该社交媒体网站也会消失。

这就是北美许多人在2016年10月21日所经历的情况，当时广泛的DDoS（分布式拒绝服务）攻击发生在数次浪潮中，从美国东海岸开始，扩散到西海岸和一些欧洲站点。值得一看的是这种攻击背后的模式，以便了解可以针对未来的攻击采取何种措施。因为攻击将继续...

以下是2016年10月发生的情况：美国东部时间上午7:00，攻击的第一波开始，其受害者为Dyn，其DNS（域名系统）基础结构充当了处理互联网上许多站点的查找请求的机制。。这是此攻击的第一个关键：通过发送数百万个虚假的查找请求，DDoS事件使Dyn不堪重负，从而为许多流行用户淘汰了服务。由于站点无法访问，自动重试增加了流量，因此影响也得到了放大。在10月对Dyn的攻击达到最高峰时，其流量为1.2 Terabits / sec，远远超过了之前的DDoS攻击。

Dyn首席战略官凯尔·约克（Kyle York）在他们的博客中报告说，第一波攻击在2小时内得到了缓解，但是下一波攻击是在美国东部时间中午左右开始的，这次攻击发生在东海岸以外的地方。我位于圣何塞附近，就在我通过Twitter检查第一次袭击的新闻时，随着第二次袭击席卷全国，该站点变得无法访问。 Dyn报告说它在一小时内就停止了，在客户受到影响之前，第三轮攻击已得到缓解。最后，许多网站受到影响，包括《纽约时报》，《华尔街日报》 ，Spotify，星巴克，PayPal， Wired甚至英国的《卫报 》的网站。

从这种DDoS攻击中可以学到什么教训？而如何应对这种威胁呢？

您的冰箱可能会袭击您。 这种奇怪的说法甚至不为过。除了使十月份Dyn攻击脱颖而出的流量规模之外，还有一件事是大量恶意流量的来源-它不是来自受感染的笔记本电脑或服务器，而是来自包括IoT设备在内的100,000个受感染资源的大军。在您的家中找到–网络摄像头，DVR，路由器。在这种情况下，许多物联网设备被僵尸网络接管，僵尸网络是病毒式僵尸程序网络，称为Mirai。

家庭，办公室和公共场所中连接的“智能”设备的数量不断增加，这引起了人们对这些设备的安全性得到良好处理的担忧。这是一些公司（包括MapR）正在构建可从安全的IoT设备一直扩展安全性的技术的原因，这些复杂的IoT设备（例如在运输行业中使用的设备）一直到数据管道一直到中央处理数据中心，但这就是另一个故事。

遭到攻击的网站与目标受害者是分开的这是DDoS攻击模式的另一个关键方面：由恶意僵尸程序渗透的被攻击网站与被攻击和被攻击的网站不同，在本例中为Dyn，其次是其网站的公司。它服务。

在高级持续安全攻击中，受感染的站点（可能是笔记本电脑，IoT设备或什至是主要网站）与目标受害者是分开的。

坏人登陆，侵入站点或设备，然后保持沉默。受感染的站点通常不知道有任何问题。稍后，睡眠中的僵尸网络会唤醒信号并旋转以向其他位置发起攻击。这就提出了一个新问题：损失最大的站点（目标）不是安全性不足的站点。那么，谁来承担防止入侵者的责任呢？

2016年10月对Dyn的袭击在

其强度（1.2兆比特/秒）
最初枢纽（Dyn）的目标受害者是一个影响深远的网站
大量的物联网设备作为攻击媒介的事实

但是，这种攻击与其他大型攻击具有相同的行为方式，包括较早且经过充分研究的攻击，称为Ababil。他们的共同点是将受感染的站点和目标受害者隔离开来。

Brobots的攻击：2012年Ababil对银行网站的攻击。

以前，基于DDoS攻击期间的流量的“历史上最大规模的攻击”是在2012年由州级攻击者对银行站点进行攻击时设置的。即便如此，DDoS流量的水平仍约为75 GB /秒。与2016年10月对Dyn的攻击一样，在Ababil，坏人落入了多个地点，进行了枢转（经过延迟）并攻击了单独的目标，在这种情况下，包括美国银行，Wells Fargo和纽约证券交易所。

这次攻击经过了数月的计划，并基于包括其复杂程度在内的证据，据信是由州级袭击者实施的。与2016年10月的DDoS相比，Ababil攻击中的受感染站点是高流量应用程序服务器。最初的受感染服务器成为命令和控制中心（C＆C），随后将发出信号通知Brobot集合（在这种情况下，该站点被特定的恶意软件破坏），从而对目标金融公司站点发起攻击。由于受感染的站点本身就是高端网站，因此只有少数几个站点可以将大量攻击指向受害者。

Ababil案的一项重要策略是，卫生条件差使许多场所容易渗透并转变为Brobot。攻击者使用Google搜索Joomla的默认欢迎页面，该页面应在正确安装该软件后立即删除。

这些DDoS攻击仍在继续。例如，2017年1月针对了欧洲的另一轮金融网站。 DDoS攻击的目标有所不同。这也许是报仇，但通常是从目标受害者那里勒索资金的一种方法。本质上，这些站点通过大量恶意流量被劫持为人质，然后要求赎金。

谁最有可能成为大规模DDoS攻击的目标？高价值站点显然是受害者的目标：他们可以支付足够的钱使这次攻击值得。但也要记住，可能需要具有高流量的站点作为潜在的僵尸网络站点。

具有这些目标特征的高价值站点包括银行和其他金融机构，电信公司，公用事业，零售和web100公司及其所有卖方：非常大的一组。

您可以采取什么措施保护自己？

随着您使用大数据获取业务价值的能力越来越高，试图为邪恶目的入侵网站的攻击者也将如此。那么，如何保护您的企业和客户呢？

正如MapR首席应用架构师Ted Dunning在2016年的演讲“使用序列统计检测持久性威胁：在都柏林Hadoop峰会”上所描述的，大数据，机器学习和警惕行为在这里得到了拯救。好消息是，尽管攻击者和攻击者非常老练，但如果准备充分，大数据将为您提供领先于他们的机会，但让我们首先来看一些可以降低风险的简单步骤。

首先，要保持良好的网络卫生状况 ，无论您是经营网站的企业，提供“智能”设备的制造商，还是拥有智能设备的房屋所有者。以IoT为例，制造商应要求设置足够的密码才能激活设备。在此成为普遍做法之前，个人应小心谨慎，立即更改家用设备上的默认密码。

其次，在将受感染的站点（僵尸网络）与目标受害者隔离开的情况下， 公司需要相互配合，并与执法人员合作，以Swift采取行动，并在发生攻击时关闭僵尸网络。即使您不是目标受害者，如果您的网站参与其中，您也应该承担一些责任并采取行动保护其他网站。这不仅是正确的事情，而且是明智的事情：当主要站点被恶意攻击淹没并劫为人质时，我们所有人都会受苦。

可以降低风险的大数据方法：大小和速度为您提供了保护自己免受网络攻击损失的优势。保护您的业务并减少因网站受到安全攻击而造成损失的风险的一种基本方法是通过早期有效的异常检测。当您可以快速识别异常行为时，就可以识别网络攻击并希望阻止它，从而降低损失的风险。

要记住的重要一点是，坏蛋在网络攻击中采用的策略不断变化–这是一个令人生畏的观察。这意味着没有最终的解决方案可以保护您免受当前和将来的威胁。相反，您最好的防御方法是学习一种对策和警惕的风格，并且这种风格基于对自适应大数据分析（通过机器学习进行异常检测）的巧妙使用，以发现可疑行为的新模式。

在他的演讲中，邓宁描述了几种使用大规模序列统计的方法 。这意味着有效的机器学习模型可以利用事件序列提供线索这一事实。这些事件序列包括标题类型，请求的顺序，IP地址访问请求中的源和目的地以及TLS选项，值和算法。具有正常行为的事件的特定顺序可以使用机器学习模型来识别。当罪犯使用假流量，网络钓鱼攻击或其他网络攻击进行攻击时，事件顺序将有所不同，并且不会以罪犯可以预测并因此避免的逻辑方式进行。有了大数据和适当的统计模型，就可以识别网络犯罪分子留下的微妙“指纹”，并且在为快速建立的系统中，可以在重大损害未得到解决之前制止犯罪分子的袭击。

Dunning的演讲中描述了一个来自MapR银行客户的示例。在这种情况下，银行的聪明安全专家收集了大量事件序列数据，即使他当时不知道哪些事件会提供线索以揭示未来的攻击。事实证明，标头详细信息的异常序列模式是识别和阻止攻击的宝贵线索。

在短书《安全共享大数据：管理数据安全》 （Dunning和Friedman，O'Reilly于2015年出版）中，我们在第6章中描述了另一个示例，其中MapR客户能够使用大量金融交易数据以及异常情况使用综合数据的检测和模型，以通过受感染的商家找到信用卡欺诈的来源。尽管这不是对网站的攻击，但此示例显示了即使在妥协事件和被攻击受害者之间在时间和位置上都分开的情况下，大数据分析也可以追踪犯罪分子。