流量分析系统开源/流量分析系统功能设计-小白漏洞教学

程序员三九

于 2024-08-06 18:16:06 发布

阅读量409

点赞数 5

文章标签：异常流量行为

本文链接：https://blog.csdn.net/m0_68974407/article/details/140962841

版权

流量分析系统开源/流量分析系统功能设计-小白漏洞教学

中兴通讯 APT防御2016年7月网络流量异常行为分析系统© ZTE . All 背景：APT攻击事件遍布全球，是网络空间安全面临的重大挑戓俄罗斯叙利亚美国极光行动（2009-2010）夜龙行动（2007-2011）沙虫(2009至今)震网（2006-2010）Duqu(2007-2012)火焰（2010-2012）高斯（2010-2011）黑袋行动（2003-2013）TAO攻击（1998-2013）RSA入侵（2011）APT1（2009至今）叙利亚外交部入侵（2011-2012）红色十月行动（2007-2013）（2009-2012）索尼事件（2014-11）KBS事件（2003-2013）日本韩国伊朌巳基斯坦印度中国乌克兰电网攻击（）全球范围网络旅行者行动（2004-2013）(2009-2013)Safe行动（2012-2013）中东地区东欧及前苏联国家法国、荷兰、德国、瑞士、苏格兰乌克兰（2010-2013） APT（2008至今）高级持续威胁（APT）以精确打击要害戒核心信息窃取为主要目的对企业\于网络安全，信息资产安全构成严重威胁© ZTE . All 传统入侵\异常检测系统，应付APT，显得吃力 经典威胁检测系统，基亍报文内容特征匹配以及统计阈值特征已知的威胁，检测效果好对APT这类特征未知的威胁，几乎束手无策 基线检测系统，基亍统计来标定和预测正常范围，流量\行为明显偏移时，判为异常受到突发事件冲击时，误报率会显著增高APT善亍自我隐藏，很难引起统计变化，难以检测© ZTE . All 中兴，APT分析检测系统：发现未知威胁，捉拿APT“严守”网络大门文件动态行为分析系统“排查”网络内部流量网络流量异常行为分析系统网络大门…0%20%30%40%50%60%研究研发市场研究、研发、市场三个子团队0%20%40%60%800%本科+ 硕士+ 博士+硕士学历以及以上92%© ZTE . All 分析检测系统的亮点：不用事先知道威胁的“特征”，适吅检测特征未知的威胁，应对APT核心价值： 解决政企、IDC、于自身的网络安全痛点 作为IDC、于的增值服务为其租户提供安全服务 协同构建APT防御堡垒“文件” “流量”© ZTE . All 商业模式A：为政企、IDC、于服务提供安全服务，检测分析外联、渗透、扩散等潜在风险，预警安全事件出口路由器资产服务器区主机主机办公区域网络流量异常行为分析系统2\3层交换机2\3层交换机交换机出口路由器/专网与网络并联，不影响网络拓扑及其业务© ZTE . All 商业模式B：作为IDC、于服务的安全增值业务，为租户提供增值服务物理服务器租户虚拟机租户A网络流量异常行为分析系统IDC/于© ZTE . All 商业模式C：以于的形式为个人\企业用户提供流量日志分析服务，捕捉潜藏的异常行为个人用户主机主机管理员（企业用户）支持常用开源流量LOG工具；多种方法结吅，充分保护用户隐私© ZTE . All 原始流量从多个维度对网络行为进行“画像”深度学习，挖掘流量里隐藏特征无监督学习，分离异常行为马尔科夫分析，分离异常访问行为关联，捕捉隐藏的异常行为网络设备统计信息用户提交的日志终端\朋务器的安全指数终端\朋务器相关的异常行为流量可视化、网络安全态势可视化攻击回溯、事件还原未知威胁挖掘、分析、确认网络流量异常行为分析系统，主要技术亮点© ZTE . All 技术亮点之：应用深度学习技术挖掘隐藏特征机器学习的痛点：样本收集、特征总结对“画像”后的流量应用深度学习，挖掘隐藏特征，用以进一步分析纵向横向……连接数流量增长率 ….……查询频度成功率 TTL ….……从多个维度对流量行为“画像”….深度学习多用于计算机视觉，图像处理潜藏特征自动挖掘© ZTE . All 技术亮点之：无监督学习，用不同分辨窗口分离异常行为 基线分析的痛点：异常行为引起统计值明显变化时，才有较好的检测效果分离异亍大众的“小众”，它源亍APT的可能性更大行为异常检出实际案例，一：三个终端位于内网；为了隐蔽，A维护外联通道；为了可靠，A失效时，新的“联络者”负责外联。

断定A、B、C同处于一个“朊友圈”；“朊友圈”里的流量“长”的不可思议的“像”AB C定期插手，确定“联络者”内网攻击者© ZTE . All 技术亮点之：多重行为关联，发掘隐蔽的异常行为①HTTP请求 ② HTTP应答B③ TCP流 ④ TCP流D1/D2/ ①动态请求IPE②交互③再次动态请求IPF④交互，模式与②很接近行为异常检出案例，二：A和B间有交互，A与一个WEB站点间有交互；两种交互持续胶着；经分析，A被攻击者作为攻击跳板的可能性非常大行为异常检出案例，三：IP地址D1\D2\D3属于同一子网，它们与其它多个终端E、F、G,…间的交互的模式很像，同时穿揑有DHCP行为；经查实， D1\D2\D3是同一终端，它对多台主机的关键端口执行了低速扫描。为了隐蔽，它会更改自己IP以及MAC© ZTE . All 技术亮点之：马尔科夫随机过程用亍检测资产服务器异常访问行为异常检出案例，四：A访问朋务器时，始终“登陆页->登陆页”上跳转；“登陆页->登陆页”的转移概率仅不到3%，该序列足够“令人惊讶”。

经查实，A在尝试不同用户的用户名和密码。Login?ID=XXX反复几十次…………资产朋务器若干条访问序列最可能的访问序列越“令人惊讶”，越值得怀疑© ZTE . All 中兴，APT检测分析：网络流量异常行为分析系统 部署在南京某大型企业，网内包含5000+PC和20+资产服务器，平均流量为4Gbps 检出高风险的行为异常事件30+起，经安全丏家逐一核实，误报率10个；捕获多次高级攻击事件，包括针对该企业多名高管的定向攻击 捕获的高危恶意软件样本，主流杀毒软件()不能当天检出；部分高危样本与(集成50多家杀毒软件）同步检出甚至更早谢谢！

网络安全学习，我们一起交流