前言:寻找写作灵感?中文期刊网用心挑选的网络流量分析技术的威胁检测研究,希望能为您的阅读和创作带来灵感,欢迎大家阅读并分享。
摘要:随着网络技术的快速发展,伴随而来的是愈来愈多的新型网络威胁,传统安全防护体系也濒临失效,基于全流量威胁检测逐渐成为新型威胁检测的有效途径。在实战过程中,依靠传统的分析方式,传统安全设备通常无法对新型网络威胁的各个阶段进行有效的检测。换个角度来看攻防实战,真相往往隐藏在网络流量中。本文采用网络流量实时采集的思路,通过动态行为分析和网络流量分析技术实现新型网络威胁行为检测,有效解决了新型网络威胁的发现难题。
关键词:网络威胁;威胁检测;动态行为分析;网络流量分析
信息服务在人们的日常生活中深刻地影响了全球经济、文化交往和国家军事。由于网络安全因素在设计上缺乏考虑,决定了网络安全威胁是客观性存在的[1]。因此,在互联网信息服务提供智能和便利的同时,网络安全问题不断突出,安全局势日趋严峻。单一网络攻击演变为复杂的、多方式组合的高级威胁,黑客则更是形成了有组织性的团队,严重地影响到网络正常秩序,甚至是国家安全。
1网络威胁
如今,网络威胁层出不穷,尤其是新型攻击方式,各种攻击类型的手段越来越智能。同时,网络威胁不断变化,随着复杂度的提高,信息系统的数字化建设和管理对企业的网络安全部门来说是一个巨大挑战。要做好网络威胁的检测,则必须对网络威胁的类别和特征有更深的了解与研究。
1.1网络威胁分类。网络威胁可分为两类:一类是主动攻击性威胁,如网络监听和黑客攻击等,这些威胁均为对方通过互联网连接造成的;另一类是被动威胁,通常是用户从某种方式访问不当信息,从而受到攻击。
1.2网络威胁和攻击性趋势特点。(1)连通性、扩散性及分布更加广泛。攻击代码与互联网紧密结合,利用互联网连通性进行传播,如广域网、局域网和通信工具等。(2)扩散速度快且具有更强的欺骗力。针对路由或DNS的攻击,几分钟内就会传播到千万个机器,这也是当前网络安全信息战的策略之一。一些新型网络威胁具有扩散性和欺骗性的特点,甚至在一些程序里也暗藏着。
2传统安全防护体系
随着安全形势愈演愈烈,《中华人民共和国网络安全法》、2019年《信息安全技术网络安全等级保护基本要求》(GB-T22239-2019)的,让企业开始重视企业自身的安全建设。但安全建设仍是基于传统的纵深防御体系,这些企业甚至还没认识到传统防御体系已经无法应对当前的安全形势。传统安全防御体系是串葫芦式架构,从终端至互联网边界,部署终端杀毒软件、上网行为管理、日志审计、堡垒机、IPS、IDS和防火墙等,这些产品遍布网络2~7层,用于进行数据分析。其中,威胁检测产品IDS、IPS的检测模式是CIDF检测模型,该模型最核心的思想就是利用特征库对网络流量中的攻击行为进行检测,同时遍历各个安全设备的告警,寻找其内在关联关系。这种模型具备快速发现攻击行为的优势,但缺陷也十分明显,攻击行为的检测范围完全依靠自身的特征库。反观新型网络威胁,其采用的攻击手法和技术都是未知漏洞(0day)和未知恶意代码等,甚至攻击者利用某些手段进行证据销毁。这种情况下,依赖CIDF检测模型和传统的分析方式的安全设备,理论上已无法预知新型网络威胁攻击。新型网络威胁可以轻易绕过现有基于特征检测的安全防护体系,因此有必要建立一套新型的网络防御系统,而动态行为分析和网络流量分析技术在检测新型网络威胁方面有着一定的优势[2]。将传统安全设施融入到新型网络防御系统中,与新型网络防御系统形成一个有机的整体,可以充分发挥整个系统的防御效能。
3威胁检测
威胁检测是网络安全领域一个重要的研究内容。互联网技术给人们通信带来前所未有的便利,通信过程中的数据称之为网络流量,而对于黑客入侵过程而言,其攻击行为会产生某些特定的数据,常见的如端口扫描、渗透、远控指令通信以及未知威胁不断变换的攻击手法。这些行为数据都会藏匿于网络流量之中,因此本文提出基于动态行为分析与网络流量分析技术,作为威胁检测的一种新途径。
3.1动态行为分析技术。传统的恶意样本分析采用的是静态分析技术,通过获取需要分析的疑似恶意代码样本,在其未运行的情况下,进行样本的分析包括样本代码构成和编写原理等,并获取必要的代码特征信息,利用已有的恶意代码特征库进行匹配从而检测出恶意代码。静态分析技术在一定程度上能快速发现和定位恶意代码,但恶意代码特征库的规模大小决定了检测的范围,一旦出现新的未知恶意代码,静态分析技术就无法检测。为解决此类问题,人们引入人工二次分析,结合专业安全人员的经验,进行二次判断,一定程度上能提高恶意样本的检出率。但面对成千上万的未知样本,投入大量的安全人员进行分析对于企业来说是不现实的。动态行为分析技术可以和静态分析技术进行很好的互补,动态行为分析是相对于静态分析而言的,动态行为分析技术通过运行未知样本,观察样本运行过程中是否存在恶意行为,同时结合机器学习异常检测技术进行判断。静态分析查其形,动态分析查其行,因此动态分析技术首先需要具有恶意代码运行的环境,在实际的物理环境中运行和分析显然是不合适的。为此,动态分析技术为此类恶意代码提供了一个特殊的模拟运行环境沙箱,可以模拟恶意代码在真实的物理环境运行,对恶意样本进行细粒度的行为检测,从行为层面进行细致分析,精准全面地分析恶意样本属性,对恶意代码的恶意风险进行多维度地风险判断,直接了解潜在夹杂威胁带来的危害程度,从而采取快速的应急处置。动态行为分析技术中对沙箱技术的使用,可充分考虑到虚拟环境模拟技术的使用,模拟虚拟环境中各种软硬件、Windows、Linux和Android等多种主流操作系统,构造纯净和透明虚拟化动态分析环境,借助支持ATT&CK技术来全景化展示,分析恶意代码行为,细粒度检测漏洞利用和恶意行为的可能性。
3.2网络流量分析技术。对于网络流量分析技术的研究和使用,前提是对网络流量的透彻理解。大量攻防实战结果表明,几乎所有的攻击者在入侵目标系统过程中的行为,如扫描、渗透、武器投放、远程操控、扩散和核心信息窃取外泄等,均表现为网络流量。对网络流量进行分析,最常见的是使用传统IPS、IDS等设备,采用特征匹配的方法确定威胁事件。而未知威胁均是未知特征的网络流量数据,单纯的IPS、IDS很难检测到此类攻击。网络流量分析技术通过旁路部署方式,采集全量的网络流量数据,利用网络流量分析技术提取流量网络层、传输层和应用层的信息,甚至重要的载荷信息[3],实现网络流量可视化、异常流量检测和威胁溯源等。3.2.1网络流量可视化。网络流量可视化可以帮助安全管理员清楚地看到网络流量中各种行为信息,感知流量中未知的网络威胁,从流量可视、会话可视、数据分组可视、协议可视和内容可视5个方面实现网络可视化。其中流量可视化主要展示流量组成成分,如流量中的应用、协议、IP地址、MAC地址和端口等信息;会话可视化主要展示当前会话情况,如TCP/UDP会话和并发/新建会话等,以及会话从建立到断开的持续时间等信息;数据分组可视主要展示数据的大小,甚至可以进一步分析其数据分组头和分组头内容,提取数据特征作为攻击行为的判断依据;协议可视化主要展示当前网络协议的流量统计,例如常见的DNS协议是网络连接的重要组成部分,其将域名信息转化成IP信息后实现网络连接,而这个过程很容易被黑客利用进行DDoS攻击和DNS劫持等,因此对于流量中的协议是否合规作为网络威胁的一个判断依据;内容可视主要展示当前网络传输的文件内容和图片等信息,实现内容可视可以很好的帮助安全管理员了解网络流量中都传输哪些内容,内容是否敏感,避免黑客攻击后利用网络对外泄露敏感数据。3.2.2异常行为流量分析。通过建立异常行为检测模型,对软件/主机的网络行为进行监测,如僵木蠕恶意软件,与正常的软件相比较,其行为特点在于可以在网络之间自动地传播与复制,通过异常行为流量分析可以有效发现此类异常行为。异常行为流量分析也可检测如SQL注入、XSS、Webshell、命令执行和文件包含等多种Web攻击行为,结合动态行为分析技术,还可以精准检测PHP、ASP、JSP(X)后门文件并记录相关行为信息。
4构建动态行为分析与网络流量分析的威胁检测防御体系
4.1业务需求分析。近年来网络安全形势愈演愈烈,网络安全威胁的攻击方式和范围不断扩大和演化,传统的防护方式已不足以应对当前的安全威胁,传统网络安全威胁有增无减,攻击手段呈复杂化演进,高级持续威胁等新型网络攻击愈演愈烈,目前网络安全设备的传统防护模式愈发乏力,因此构建动态行为分析与网络流量分析的威胁检测防御体系成为新途径,全量还原攻击面貌,实现未知威胁分析。
4.2模块设计。动态行为分析与网络流量分析的威胁检测防御体系由全流量采集探针模块、动态行为分析模块和威胁建模模块组成,通过全网流量采集作为输入,实现多维度威胁数据挖掘分析,帮助安全管理员全面了解网络流量中安全威胁。4.2.1全流量采集模块。全流量采集模块负责流量的采集,对流量中常见协议进行识别并还原网络流量,包括HTTP、DNS、SMTP、POP3、IMAP、Webmail等;同时可对流量的行为记录,包括TCP/UDP会话记录、异常流量会话记录、Web访问记录、域名解析、SQL访问记录、邮件行为、登录情况、文件传输、FTP控制通道、SSL加密协商、Telnet行为和IM通信等行为描述,这些信息将通过加密通道传送到威胁建模分析模块进行统一处理。在流量采集模块中内置的威胁检测引擎可检测多种网络协议中的攻击行为,如SQL注入、跨站请求伪造CSRF攻击检测、XSS、系统配置等注入型攻击、跨站请求伪造CSRF攻击检测、其它类型的Web攻击(如目录遍历、弱口令、权限绕过、信息泄露、文件包含和文件写入攻击等检测)。同时流量采集模块还可内置Webshell沙箱和Webshell机器学习模块,实现精准PHP、ASP、JSP等后门检测和相关信息记录,能发现恶意软件和未知威胁等。4.2.2动态行为分析模块。动态行为分析模块主要负责采集恶意样本,样本类型包括执行文件、脚本类文件、多媒体文件、移动应用文件、文档类文件和压缩文件等,全面覆盖恶意样本类型,确保恶意样本检测的全面性。动态行为分析模块采取静态检测和动态检测两种模式。静态检测主要利用静态检测引擎,通过机器学习算法,对检测的恶意样本不断检测和训练聚类形成文件缓冲池,在周期性重复验证时能够快速匹配已有结果,实现快速威胁检测。动态检测主要负责未知的恶意代码文件运行过程检测,可检测恶意样本对文件、进程、网络、注册表等操作相关的系统和内核调用接口行为进行监控和记录。通过模拟文件执行环境来收集和分析文件的静态和动态行为数据,可实现对未知恶意文件的检测,有效避免以文件为载体的未知威胁攻击扩散和企业核心信息资产的损失。4.2.3威胁建模分析模块。威胁建模分析模块基于大数据平台架构,存储前端模块提交的流量日志、告警日志和动态行为分析日志,对所有数据进行快速的处理并为检索提供支持,通过大数据技术对日志关联性分析,实现对威胁的检测。同时运用先进的可视化呈现技术,实现用户在可视分析画布上对任意线索的自定义拓线及溯源分析,该过程通过一步步的交互对当前数据进行拓线分析,最终可以将威胁攻击的全过程推演并呈现在用户面前。
4.3总体架构设计。如图1所示,流量采集模块和动态行为分析模块为前置系统,采集需要检测的网络流量和恶意代码,将分析后的威胁数据发送至统一威胁检测分析模块进行攻击事件分析和溯源取证,可以有效提升管理人员对未知威胁的发现速度和效率,最大限度地降低企业受攻击后的损失。
5应用效果
落实重大网络安全保障工作要求,对上级单位下发的重保对象开展安全监测工作,期间发现某电视网存在多个黑链。经过评估分析,网站服务器可能被夺权控制,从而在多个页面被植入黑链。
6结束语
面对愈演愈烈的网络威胁,攻击者的逃逸水平也在不断的进步发展,仅依赖于单一威胁特征已经无法有效的发现未知威胁,难以做到真正的追踪溯源,无法保证网络安全。通过建立动态行为分析技术与网络流量分析技术防御体系,从网络流量进行挖掘可极大提升未知威胁和未知威胁的检出效率,为保障网络安全提供坚实的技术保障。
作者:朱京毅 罗汉斌 单位:中国移动通信集团上海有限公司