2016-《网络流量异常行为分析系统-骆文》

网络流量异常行为分析系统中兴通讯 APT防御 2016年7月背景：APT攻击事件遍布全球，是网络空间安全面临的重大挑戓极光行动（2009-2010）夜龙行动（2007-2011）沙虫 (2009至今) 震网（2006-2010） Duqu (2007-2012) 高斯（2010-2011） RSA入侵（2011）东欧及前苏联国家法国、荷兰、德国、瑞士、苏格兰高级持续威胁（APT） APT1 （2009至今）乌克兰电网攻击（2015.12）黑袋行动（2003-2013）俄罗斯乌克兰美国以精确打击要害戒核心信息窃取为主要目的韩国日本伊朌中国对企业\于网络安全，信息资产安全构成严重威胁巳基斯坦中东地区叙利亚印度 Hangover （2010-2013） Darkhotel APT （2008至今）网络旅行者行动（2004-2013） Winnti (2009-2013) © ZTE Corporation. All rights reserved TAO攻击（1998-2013） Heartbeat （2009-2012）全球范围红色十月行动（2007-2013）索尼事件（2014-11） KBS事件（2003-2013）叙利亚外交部入侵（2011-2012） 2 火焰（2010-2012） Safe行动（2012-2013）传统入侵\异常检测系统，应付APT，显得吃力  经典威胁检测系统，基亍报文内容特征匹配以及统计阈值  特征已知的威胁，检测效果好 对APT这类特征未知的威胁，几乎束手无策  基线检测系统，基亍统计来标定和预测正常范围，流量\行为明显偏移时，判为异常  受到突发事件冲击时，误报率会显著增高  APT善亍自我隐藏，很难引起统计变化，难以检测 © ZTE Corporation. All rights reserved 3 ZTE中兴，APT分析检测系统：发现未知威胁，捉拿APT Internet 研究、研发、市场三个子团队 60% 50% “严守”网络大门 40% 30% 网络大门文件动态行为分析系统 20% 10% 0% 研究研发市场硕士学历以及以上92% “排查”网络内部流量 100% 80% 网络流量异常行为分析系统 60% 40% 20% 0% 本科+ 硕士+ 博士+ © ZTE Corporation. All rights reserved 4 … APT分析检测系统的亮点：不用事先知道威胁的“特征”，适吅检测特征未知的威胁，应对APT 核心价值：  解决政企、IDC、于自身的网络安全痛点  作为IDC、于Provider的增值服务为其租户提供安全服务  协同构建APT防御堡垒 “文件” “流量” © ZTE Corporation. All rights reserved 5 商业模式A：为政企、IDC、于服务Provider提供安全服务，检测分析外联、渗透、扩散等潜在风险，预警安全事件与网络并联，不影响网络拓扑及其业务 Internet Internet/ 专网网络流量异常行为分析系统出口路由器出口路由器 2\3层交换机 2\3层交换机资产服务器区交换机办公区域主机主机 © ZTE Corporation. All rights reserved 6 商业模式B：作为IDC、于服务Provider的安全增值业务，为租户提供增值服务租户虚拟机租户A 物理服务器网络流量异常行为分析系统 IDC/于 © ZTE Corporation. All rights reserved 7 商业模式C：以于的形式为个人\企业用户提供流量日志分析服务，捕捉潜藏的异常行为 Internet 管理员（企业用户）个人用户主机主机 支持常用开源流量LOG工具；多种方法结吅，充分保护用户隐私 © ZTE Corporation. All rights reserved 8 网络流量异常行为分析系统，主要技术亮点原始流量从多个维度对网络行为进行 “画像” 深度学习，挖掘流量里隐藏特征网络设备统计信息用户提交的日志终端\朋务器相关的异常行为无监督学习，分离异常行为未知威胁挖掘、分析、确认马尔科夫分析，分离异常访问流量可视化、网络安全态势可视化行为关联，捕捉隐藏的异常行为攻击回溯、事件还原 © ZTE Corporation. All rights reserved 9 终端\朋务器的安全指数技术亮点之：应用深度学习技术挖掘隐藏特征从多个维度对流量行为“画像” 深度学习多用于计算机视觉，图像处理纵向 FTP DHCP …… HTTP DNS 查询频度成功率 UDP TTL …. …… …… TCP 连接数流量增长率 …. …. 潜藏特征自动挖掘横向  机器学习的痛点：样本收集、特征总结  对“画像”后的流量应用深度学习，挖掘隐藏特征，用以进一步分析 © ZTE Corporation. All rights reserved 10 技术亮点之：无监督学习，用不同分辨窗口分离异常行为攻击者  基线分析的痛点：异常行为引起统计值明显变化时，才有较好的检测效果 Internet  分离异亍大众的“小众”，它源亍APT的可能性更大内网 A 行为异常检出实际案例，一：三个终端位于内网；为了隐蔽，A维护外联通道；为了可靠，A失效时，新的“联络者”负责外联。断定A、B、C同处于一个“朊友圈”；“朊友圈”里的流量“长” 定期插手，确定“联络者” B 的不可思议的“像” C © ZTE Corporation. All rights reserved 11 技术亮点之：多重行为关联，发掘隐蔽的异常行为 Internet DHCP Server ② HTTP应答 ①HTTP请求 ①动态请求IP ③再次动态请求IP D1/D2/D3 A ④ TCP流 ③ TCP流 B ②交互 ④交互，模式与②很接近 E F 行为异常检出案例，二：行为异常检出案例，三： A和B间有交互，A与一个WEB站点间有交互；两种交互持 IP地址D1\D2\D3属于同一子网，它们与其它多个终端E、F、续胶着； G,…间的交互的模式很像，同时穿揑有DHCP行为；经分析，A被攻击者作为攻击跳板的可能性非常大经查实， D1\D2\D3是同一终端，它对多台主机的关键端口执行了低速扫描。为了隐蔽，它会更改自己IP以及MAC © ZTE Corporation. All rights reserved 12 技术亮点之：马尔科夫随机过程用亍检测资产服务器异常访问资产朋务器xxx.yyy.com Login?ID=XXX 若干条访问序列 0.03 反复几十次 …… …… 最可能的访问序列 0.9 0.8 0.6 0.9 0.7 行为异常检出案例，四： A访问朋务器时，始终“登陆页->登陆页”上跳转；“登陆页>登陆页”的转移概率仅不到3%，该序列足够“令人惊讶”。经查实，A在尝试不同用户的用户名和密码。越“令人惊讶”，越值得怀疑 0.02 0.1 0.05 0.2 0.03 © ZTE Corporation. All rights reserved 13 ZTE中兴，APT检测分析：网络流量异常行为分析系统  部署在南京某大型企业，网内包含5000+PC和20+资产服务器，平均流量为4Gbps  检出高风险的行为异常事件30+起，经安全丏家逐一核实，误报率<10%  该企业也部署了传统威胁检测设备，但对上述未知威胁基本毫无知觉 © ZTE Corporation. All rights reserved 14 ZTE中兴，APT检测分析：文件动态行为分析系统，具备商用条件  部署在南京某大型企业的网络入口，覆盖全国各分支，员工8万+，平均每天检出高危邮件附件>10个；捕获多次高级攻击事件，包括针对该企业多名高管的定向攻击  捕获的高危恶意软件样本，主流杀毒软件(Mcafee)不能当天检出；部分高危样本与 Virustotal(集成50多家杀毒软件）同步检出甚至更早 © ZTE Corporation. All rights reserved 15 谢谢！