基于流量大數(shù)據(jù)的工業(yè)互聯(lián)網(wǎng)異常行為檢測分析解決方案

基于流量大數(shù)據(jù)的工業(yè)互聯(lián)網(wǎng)異常行為檢測分析解決方案實用文檔第頁以大數(shù)據(jù)洞悉風(fēng)險，構(gòu)建工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全綠色生態(tài)——基于流量大數(shù)據(jù)的工業(yè)互聯(lián)網(wǎng)異常行為檢測分析解決方案一、背景分析—網(wǎng)絡(luò)安全將成為工業(yè)互聯(lián)網(wǎng)支撐業(yè)務(wù)發(fā)展的基礎(chǔ)2010年以來，工業(yè)互聯(lián)網(wǎng)不斷遭到網(wǎng)絡(luò)安全威脅的攻擊，導(dǎo)致大規(guī)模的斷水?dāng)嚯姷?，生產(chǎn)業(yè)務(wù)遭受了極大的沖擊，損失金額達(dá)到數(shù)億，呈現(xiàn)面廣、影響大、損失嚴(yán)重的特點。其重要原因之一：網(wǎng)絡(luò)貫穿整個工業(yè)體系，網(wǎng)絡(luò)互聯(lián)互通，是工業(yè)系統(tǒng)正常運轉(zhuǎn)的“血液”，一旦遭受控制或攻擊，工業(yè)系統(tǒng)將面臨大面積癱瘓的風(fēng)險，因此做好工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)攻擊監(jiān)測與分析不容忽視。圖：工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)分布二、問題分析—恐懼來源未知，如何“看見”未知的新型攻擊目前市面上99%以上的攻擊檢測方案如情報庫、基于包特征庫的網(wǎng)絡(luò)攻擊行為檢測、漏洞庫等都只是停留在對已經(jīng)發(fā)生的網(wǎng)絡(luò)攻擊建立離線模型，即使用固定的模型進(jìn)行匹配檢測，對于未知的新型網(wǎng)絡(luò)攻擊無法控制，往往不知不覺或后知后覺。圖：離線分析模型離線分析模型存在以下局限性：需要已知所有歷史數(shù)據(jù)系統(tǒng)變化時要重新完善模型使用時模型是固定的無法解決時變問題

三、解決方案—建立時變的檢測分析模型，讓新型攻擊“無所遁形”對于你不知道的攻擊威脅，或是新型的網(wǎng)絡(luò)攻擊，我們要建立能夠適應(yīng)時變的攻擊檢測模型，進(jìn)行在線實時檢測分析。（一）解決方案：構(gòu)建基于大數(shù)據(jù)驅(qū)動的實時在線攻擊檢測體系數(shù)據(jù)采集——數(shù)據(jù)源用網(wǎng)絡(luò)設(shè)備自帶的Sflow/NetFlow格式的數(shù)據(jù)進(jìn)行替代數(shù)據(jù)源用網(wǎng)絡(luò)設(shè)備自帶的Sflow/NetFlow格式的數(shù)據(jù)進(jìn)行替代，具備以下兩個方面的優(yōu)勢：（1）降低設(shè)備的投入及運維成本，縮短項目實施周期傳統(tǒng)的數(shù)據(jù)源依賴于大量的安全設(shè)備、流量探針等所產(chǎn)生的日志，硬件投入成本高，項目實施周期長，設(shè)備運維投入高。采用網(wǎng)絡(luò)設(shè)備自帶的Sflow/NetFlow格式的數(shù)據(jù)，無需依賴于其它安全設(shè)備，除系統(tǒng)本身，不需要引入其他新的設(shè)備，可大幅降低設(shè)備的投入及運維成本，縮短項目實施周期?。?）全局分析——實現(xiàn)全流量的數(shù)據(jù)分析通常的網(wǎng)絡(luò)安全解決方案因數(shù)據(jù)被各安全設(shè)備切割分離，存在下表所示的問題，很難實現(xiàn)全局的分析。物理矛盾描述問題系統(tǒng)級別分離多臺多種設(shè)備共同完成全網(wǎng)不同類型的攻擊行為監(jiān)控。不同設(shè)備之間數(shù)據(jù)很難做到聯(lián)動?？臻g分離單臺安全設(shè)備受部署位置及處理能力限制，僅能處理部分流量（比如，100Gbps）；不同設(shè)備之間數(shù)據(jù)很難做到聯(lián)動，防外不防內(nèi)。僅關(guān)注下行的攻擊流量，上行方向的流量無法進(jìn)行控制，即防外不防內(nèi)。時間分離按照固定的時間粒度（比如，每秒）對超過設(shè)定閾值的攻擊行為進(jìn)行記錄，不夠靈活。無法實現(xiàn)時間段或跨時間段的攻擊行為分析，如無法按照時、天、周等時間粒度進(jìn)行分析。條件分離設(shè)定固定閾值，當(dāng)攻擊源IP對同一目標(biāo)的并發(fā)連接數(shù)超過設(shè)定閾值時，記錄異常日志并采取預(yù)定的防護(hù)措施。無法按需調(diào)整閾值，不夠靈活。數(shù)據(jù)源用網(wǎng)絡(luò)設(shè)備自帶的Sflow/NetFlow格式的數(shù)據(jù)進(jìn)行替代，可充分發(fā)揮大數(shù)據(jù)平臺“1+1”>2的優(yōu)勢，實現(xiàn)全方位、全要素、全過程的主動分析。1）三“全”，構(gòu)建安全閉環(huán)全方位：實現(xiàn)了網(wǎng)內(nèi)+網(wǎng)外+邊界及流量+流量異常行為全方位的管控；全要素：管控對象覆蓋攻擊源、受攻擊目標(biāo)、脆弱性端口；全過程：實現(xiàn)了事前預(yù)測+事中分析+事后溯源全過程的網(wǎng)絡(luò)異常行為管控。2）一“轉(zhuǎn)變”，化被動為主動轉(zhuǎn)變思路，主動做好歷史數(shù)據(jù)統(tǒng)計及風(fēng)險預(yù)測，提前做好安全部署，為下一步?jīng)Q策部署提供更可靠的依據(jù)。數(shù)據(jù)分析——用在線檢測分析模型替代離線的分析模型圖：在線檢測分析模型（1）在線檢測：網(wǎng)絡(luò)流量數(shù)據(jù)基于時間序列的行為挖掘1）主要參數(shù)主要參數(shù)：采樣率、通信請求的時間間隔、通信請求次數(shù)、閾值。參數(shù)關(guān)系：實際異常通信請求次數(shù)=采樣率*某個時間間隔異常通訊請求次數(shù)。2）判定規(guī)則用流量行為規(guī)則替代傳統(tǒng)的“知識”庫，建立點、線、面多元的時變分析體系，可全面提升新型攻擊分析能力。點：單點追蹤攻擊源或受攻擊目標(biāo)；線：基于時間序列，對分析目標(biāo)向前溯源，向后預(yù)測，可挖掘整個攻擊鏈條，對下一步攻擊行為進(jìn)行預(yù)測；面:對分析目標(biāo)的當(dāng)前及歷史攻擊數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，還原整個攻擊畫像。3）閾值對各種異常行為檢測組件設(shè)置檢測閾值，經(jīng)歷了直接控制->間接控制->引入反饋機制->自我控制完整的進(jìn)化過程，最終通過智能化算法實現(xiàn)相關(guān)閾值的自動調(diào)整！數(shù)據(jù)展現(xiàn)——定性+定量的可視化展現(xiàn)除傳統(tǒng)的定性分析外，我們還可對具體的行為進(jìn)行量化，包括數(shù)據(jù)匯總、數(shù)據(jù)排行、占比分析等，還可對數(shù)據(jù)以實時動態(tài)的餅圖、趨勢圖等進(jìn)行進(jìn)一步的可視化展現(xiàn)，可對攻擊行為進(jìn)行自動風(fēng)險評級，并按照風(fēng)險級別的高低進(jìn)行排列等等。通過詳實的分析結(jié)果、多樣的分析方式、實時動態(tài)的展示方式，有效的幫助用戶對整個網(wǎng)絡(luò)的運行狀態(tài)及網(wǎng)絡(luò)的攻擊態(tài)勢進(jìn)行準(zhǔn)確把握。（二）應(yīng)用效果對比 基于流量大數(shù)據(jù)的工業(yè)互聯(lián)網(wǎng)異常行為檢測分析解決方案序號分析項目傳統(tǒng)解決方案存在問題解決方案方案評價1新型攻擊發(fā)現(xiàn)采用包特征庫、威脅情報庫，對威脅行為進(jìn)行特征匹配。需要頻繁更新最新的特征庫，庫更新滯后，對新型攻擊感知滯后。自研的流量異常行為規(guī)則庫替代傳統(tǒng)的特征庫，由“術(shù)”上升到“道”的層面，從網(wǎng)絡(luò)流量行為的規(guī)律層面來發(fā)現(xiàn)網(wǎng)絡(luò)中存在的異常事件。大部分情況下無需對規(guī)則庫進(jìn)行更新。同時，平臺不但無需依賴威脅情報庫，而且還能持續(xù)地產(chǎn)出大量的、可供第三方使用的威脅情報庫。2分布式協(xié)同攻擊

發(fā)現(xiàn)無-充分發(fā)揮大數(shù)據(jù)平臺1+1>2的優(yōu)勢，打破時空局限，對流量大數(shù)據(jù)進(jìn)行跨時間跨設(shè)備的網(wǎng)絡(luò)異常行為分析。徹底解決分布式協(xié)同攻擊問題。3脆弱性端口發(fā)現(xiàn)采用漏洞掃描工具定期對全網(wǎng)端口開放情況進(jìn)行排查。工作量大、運行周期長，無法感知全局網(wǎng)絡(luò)脆弱端口的動態(tài)變化。建立脆弱性端口庫，通過對流量大數(shù)據(jù)實時監(jiān)控，動態(tài)識別全網(wǎng)脆弱性端口開放情況?？蓪崟r掌控網(wǎng)絡(luò)中脆弱性端口的活躍情況，還能對與脆弱性端口交互的源頭進(jìn)行精準(zhǔn)溯源。4溯源分析跨平臺多級查詢分析。溯源涉及的系統(tǒng)/設(shè)備層級多、難度大，驗證流程繁瑣甚至無法驗證。發(fā)現(xiàn)問題、分析問題、溯源取證等都在單個平臺上完成，涵蓋了多款傳統(tǒng)安全產(chǎn)品的核心功能，無需跨平臺多級查詢。對發(fā)現(xiàn)的每個異常事件，均可直接下鉆溯源到該事項所對應(yīng)的明細(xì)數(shù)據(jù)，可直接作為立案取證的依據(jù)！5DDos、CC攻擊

溯源分析通過抗DDos防火墻等設(shè)備進(jìn)行抓包，然后再通過網(wǎng)絡(luò)包分析攻擊進(jìn)行分析。難度大，驗證流程繁瑣甚至無法驗證。具備實時溯源分析功能。可對任意時點、任意IP的流量情況進(jìn)行溯源分析，得出流量特征、攻擊來源IP具體分布情況等。 基于流量大數(shù)據(jù)的工業(yè)互聯(lián)網(wǎng)異常行為檢測分析解決方案 四、方案價值—以大數(shù)據(jù)洞悉風(fēng)險，構(gòu)建工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全綠色生態(tài)方案的核心競爭優(yōu)勢在于能夠用輕量級的安全投入構(gòu)建網(wǎng)絡(luò)攻擊行為實時在線檢測分析平臺，解決了傳統(tǒng)安全設(shè)備投入成本及運維成本高、實施周期長、新型攻擊感知能力不足等問題，從流量行為特征的角度發(fā)現(xiàn)傳統(tǒng)防御體系發(fā)現(xiàn)不了的攻擊行為。其價值在于能夠以平臺為布局把控點，站在一個區(qū)域、一個行業(yè)、一個部門、一個單位的至高點，對轄區(qū)內(nèi)的整體網(wǎng)絡(luò)安全行為進(jìn)行全局管控，可按照風(fēng)險級別的高低，對內(nèi)外部的網(wǎng)絡(luò)安全風(fēng)險來源進(jìn)行管控，可對網(wǎng)絡(luò)安全態(tài)勢進(jìn)行分析及預(yù)測，能夠以點帶面，建立有利于工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)健康發(fā)展的網(wǎng)絡(luò)環(huán)境條件，構(gòu)建工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全綠色生態(tài)。其對網(wǎng)絡(luò)安全策略的顛覆和網(wǎng)絡(luò)安全價值的重新定義，將有力回應(yīng)國家網(wǎng)絡(luò)安全長期戰(zhàn)略布局。

六、實例分析—“看得見”的風(fēng)險實例分析一（1）攻擊視角：對具有網(wǎng)絡(luò)攻擊行為的IP進(jìn)行分析。圖1圖1為攻擊視角高風(fēng)險列表。取第一條***.27.157.9進(jìn)行深入分析，該IP為某運營商的IP，發(fā)現(xiàn)***.27.157.9在頻繁批量的掃描445、139等端口，并嘗試對整個網(wǎng)段進(jìn)行嗅探掃描，實施木馬連接。如下圖2所示：圖2對***.27.157.9進(jìn)行進(jìn)一步威脅診斷，圖3為該IP的攻擊頻次圖，同時發(fā)現(xiàn)該IP大量脆弱性端口均為開啟狀態(tài)，如常見的服務(wù)端口（3389、139、數(shù)據(jù)庫端口等）圖3選取其中的一條記錄并展開詳情，如圖4所示，發(fā)現(xiàn)該IP（***.27.157.9）在批量連接445端口，在采樣率為4096的情況下，對采樣后的數(shù)據(jù)進(jìn)行統(tǒng)計，該IP累計觸發(fā)規(guī)則1781次，峰值最高148次；圖4選取其中的一條記錄并展開詳情，如圖5所示，該IP在批量連接139端口，在采樣率為4096的情況下，對采樣后的數(shù)據(jù)進(jìn)行統(tǒng)計，該IP累計觸發(fā)規(guī)則1056次，峰值最高142次。圖5選取其中的一條記錄并展開詳情，如圖6所示，該IP在批量嗅探掃描開放端口，在采樣率為4096的情況下，對采樣后的數(shù)據(jù)進(jìn)行統(tǒng)計，該IP累計觸發(fā)規(guī)則165次，峰值最高63次。圖6（2）防御視角：從需要防護(hù)的目標(biāo)IP入手進(jìn)行分析。上圖為防御視角高風(fēng)險列表。取第二條***.204.173.44行分析，發(fā)現(xiàn)該IP正被大量的被進(jìn)行木馬連接，最大值為42次，如下圖所示：（3）除以上的分析維度外，我們還可以從脆弱性的維度進(jìn)行分析，如下圖所示，這里就不再具體展開。（4）協(xié)議端口態(tài)勢分析（5）端口態(tài)勢分析（6）網(wǎng)絡(luò)邊界分析

實例分析二（1）發(fā)現(xiàn)問題圖一：異常行為監(jiān)控（攻擊視角）進(jìn)入異常行為監(jiān)控界面，發(fā)現(xiàn)大量網(wǎng)絡(luò)攻擊行為，然而在用戶部署的安全設(shè)備日志中并未發(fā)現(xiàn)。我們選其中一個攻擊源IP進(jìn)行問題診斷，該IP經(jīng)核查是用戶新上架的服務(wù)器在使用。（2）分析問題圖二：IP威脅診斷從圖中可以看出該IP是近期內(nèi)剛被控制。為進(jìn)一步了解情況，我們點擊異常事件詳情及脆弱性端口詳情展開進(jìn)一步