基于流量大數(shù)據(jù)的工業(yè)互聯(lián)網(wǎng)異常行為檢測(cè)分析解決方案

基于流量大數(shù)據(jù)的工業(yè)互聯(lián)網(wǎng)異常行為檢測(cè)分析解決方案實(shí)用文檔第頁以大數(shù)據(jù)洞悉風(fēng)險(xiǎn)，構(gòu)建工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全綠色生態(tài)——基于流量大數(shù)據(jù)的工業(yè)互聯(lián)網(wǎng)異常行為檢測(cè)分析解決方案一、背景分析—網(wǎng)絡(luò)安全將成為工業(yè)互聯(lián)網(wǎng)支撐業(yè)務(wù)發(fā)展的基礎(chǔ)2010年以來，工業(yè)互聯(lián)網(wǎng)不斷遭到網(wǎng)絡(luò)安全威脅的攻擊，導(dǎo)致大規(guī)模的斷水?dāng)嚯姷?，生產(chǎn)業(yè)務(wù)遭受了極大的沖擊，損失金額達(dá)到數(shù)億，呈現(xiàn)面廣、影響大、損失嚴(yán)重的特點(diǎn)。其重要原因之一：網(wǎng)絡(luò)貫穿整個(gè)工業(yè)體系，網(wǎng)絡(luò)互聯(lián)互通，是工業(yè)系統(tǒng)正常運(yùn)轉(zhuǎn)的“血液”，一旦遭受控制或攻擊，工業(yè)系統(tǒng)將面臨大面積癱瘓的風(fēng)險(xiǎn)，因此做好工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)攻擊監(jiān)測(cè)與分析不容忽視。圖：工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)分布二、問題分析—恐懼來源未知，如何“看見”未知的新型攻擊目前市面上99%以上的攻擊檢測(cè)方案如情報(bào)庫、基于包特征庫的網(wǎng)絡(luò)攻擊行為檢測(cè)、漏洞庫等都只是停留在對(duì)已經(jīng)發(fā)生的網(wǎng)絡(luò)攻擊建立離線模型，即使用固定的模型進(jìn)行匹配檢測(cè)，對(duì)于未知的新型網(wǎng)絡(luò)攻擊無法控制，往往不知不覺或后知后覺。圖：離線分析模型離線分析模型存在以下局限性：需要已知所有歷史數(shù)據(jù)系統(tǒng)變化時(shí)要重新完善模型使用時(shí)模型是固定的無法解決時(shí)變問題

三、解決方案—建立時(shí)變的檢測(cè)分析模型，讓新型攻擊“無所遁形”對(duì)于你不知道的攻擊威脅，或是新型的網(wǎng)絡(luò)攻擊，我們要建立能夠適應(yīng)時(shí)變的攻擊檢測(cè)模型，進(jìn)行在線實(shí)時(shí)檢測(cè)分析。（一）解決方案：構(gòu)建基于大數(shù)據(jù)驅(qū)動(dòng)的實(shí)時(shí)在線攻擊檢測(cè)體系數(shù)據(jù)采集——數(shù)據(jù)源用網(wǎng)絡(luò)設(shè)備自帶的Sflow/NetFlow格式的數(shù)據(jù)進(jìn)行替代數(shù)據(jù)源用網(wǎng)絡(luò)設(shè)備自帶的Sflow/NetFlow格式的數(shù)據(jù)進(jìn)行替代，具備以下兩個(gè)方面的優(yōu)勢(shì)：（1）降低設(shè)備的投入及運(yùn)維成本，縮短項(xiàng)目實(shí)施周期傳統(tǒng)的數(shù)據(jù)源依賴于大量的安全設(shè)備、流量探針等所產(chǎn)生的日志，硬件投入成本高，項(xiàng)目實(shí)施周期長(zhǎng)，設(shè)備運(yùn)維投入高。采用網(wǎng)絡(luò)設(shè)備自帶的Sflow/NetFlow格式的數(shù)據(jù)，無需依賴于其它安全設(shè)備，除系統(tǒng)本身，不需要引入其他新的設(shè)備，可大幅降低設(shè)備的投入及運(yùn)維成本，縮短項(xiàng)目實(shí)施周期！（2）全局分析——實(shí)現(xiàn)全流量的數(shù)據(jù)分析通常的網(wǎng)絡(luò)安全解決方案因數(shù)據(jù)被各安全設(shè)備切割分離，存在下表所示的問題，很難實(shí)現(xiàn)全局的分析。物理矛盾描述問題系統(tǒng)級(jí)別分離多臺(tái)多種設(shè)備共同完成全網(wǎng)不同類型的攻擊行為監(jiān)控。不同設(shè)備之間數(shù)據(jù)很難做到聯(lián)動(dòng)。空間分離單臺(tái)安全設(shè)備受部署位置及處理能力限制，僅能處理部分流量（比如，100Gbps）；不同設(shè)備之間數(shù)據(jù)很難做到聯(lián)動(dòng)，防外不防內(nèi)。僅關(guān)注下行的攻擊流量，上行方向的流量無法進(jìn)行控制，即防外不防內(nèi)。時(shí)間分離按照固定的時(shí)間粒度（比如，每秒）對(duì)超過設(shè)定閾值的攻擊行為進(jìn)行記錄，不夠靈活。無法實(shí)現(xiàn)時(shí)間段或跨時(shí)間段的攻擊行為分析，如無法按照時(shí)、天、周等時(shí)間粒度進(jìn)行分析。條件分離設(shè)定固定閾值，當(dāng)攻擊源IP對(duì)同一目標(biāo)的并發(fā)連接數(shù)超過設(shè)定閾值時(shí)，記錄異常日志并采取預(yù)定的防護(hù)措施。無法按需調(diào)整閾值，不夠靈活。數(shù)據(jù)源用網(wǎng)絡(luò)設(shè)備自帶的Sflow/NetFlow格式的數(shù)據(jù)進(jìn)行替代，可充分發(fā)揮大數(shù)據(jù)平臺(tái)“1+1”>2的優(yōu)勢(shì)，實(shí)現(xiàn)全方位、全要素、全過程的主動(dòng)分析。1）三“全”，構(gòu)建安全閉環(huán)全方位：實(shí)現(xiàn)了網(wǎng)內(nèi)+網(wǎng)外+邊界及流量+流量異常行為全方位的管控；全要素：管控對(duì)象覆蓋攻擊源、受攻擊目標(biāo)、脆弱性端口；全過程：實(shí)現(xiàn)了事前預(yù)測(cè)+事中分析+事后溯源全過程的網(wǎng)絡(luò)異常行為管控。2）一“轉(zhuǎn)變”，化被動(dòng)為主動(dòng)轉(zhuǎn)變思路，主動(dòng)做好歷史數(shù)據(jù)統(tǒng)計(jì)及風(fēng)險(xiǎn)預(yù)測(cè)，提前做好安全部署，為下一步?jīng)Q策部署提供更可靠的依據(jù)。數(shù)據(jù)分析——用在線檢測(cè)分析模型替代離線的分析模型圖：在線檢測(cè)分析模型（1）在線檢測(cè)：網(wǎng)絡(luò)流量數(shù)據(jù)基于時(shí)間序列的行為挖掘1）主要參數(shù)主要參數(shù)：采樣率、通信請(qǐng)求的時(shí)間間隔、通信請(qǐng)求次數(shù)、閾值。參數(shù)關(guān)系：實(shí)際異常通信請(qǐng)求次數(shù)=采樣率*某個(gè)時(shí)間間隔異常通訊請(qǐng)求次數(shù)。2）判定規(guī)則用流量行為規(guī)則替代傳統(tǒng)的“知識(shí)”庫，建立點(diǎn)、線、面多元的時(shí)變分析體系，可全面提升新型攻擊分析能力。點(diǎn)：?jiǎn)吸c(diǎn)追蹤攻擊源或受攻擊目標(biāo)；線：基于時(shí)間序列，對(duì)分析目標(biāo)向前溯源，向后預(yù)測(cè)，可挖掘整個(gè)攻擊鏈條，對(duì)下一步攻擊行為進(jìn)行預(yù)測(cè)；面:對(duì)分析目標(biāo)的當(dāng)前及歷史攻擊數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，還原整個(gè)攻擊畫像。3）閾值對(duì)各種異常行為檢測(cè)組件設(shè)置檢測(cè)閾值，經(jīng)歷了直接控制->間接控制->引入反饋機(jī)制->自我控制完整的進(jìn)化過程，最終通過智能化算法實(shí)現(xiàn)相關(guān)閾值的自動(dòng)調(diào)整！數(shù)據(jù)展現(xiàn)——定性+定量的可視化展現(xiàn)除傳統(tǒng)的定性分析外，我們還可對(duì)具體的行為進(jìn)行量化，包括數(shù)據(jù)匯總、數(shù)據(jù)排行、占比分析等，還可對(duì)數(shù)據(jù)以實(shí)時(shí)動(dòng)態(tài)的餅圖、趨勢(shì)圖等進(jìn)行進(jìn)一步的可視化展現(xiàn)，可對(duì)攻擊行為進(jìn)行自動(dòng)風(fēng)險(xiǎn)評(píng)級(jí)，并按照風(fēng)險(xiǎn)級(jí)別的高低進(jìn)行排列等等。通過詳實(shí)的分析結(jié)果、多樣的分析方式、實(shí)時(shí)動(dòng)態(tài)的展示方式，有效的幫助用戶對(duì)整個(gè)網(wǎng)絡(luò)的運(yùn)行狀態(tài)及網(wǎng)絡(luò)的攻擊態(tài)勢(shì)進(jìn)行準(zhǔn)確把握。（二）應(yīng)用效果對(duì)比 基于流量大數(shù)據(jù)的工業(yè)互聯(lián)網(wǎng)異常行為檢測(cè)分析解決方案序號(hào)分析項(xiàng)目傳統(tǒng)解決方案存在問題解決方案方案評(píng)價(jià)1新型攻擊發(fā)現(xiàn)采用包特征庫、威脅情報(bào)庫，對(duì)威脅行為進(jìn)行特征匹配。需要頻繁更新最新的特征庫，庫更新滯后，對(duì)新型攻擊感知滯后。自研的流量異常行為規(guī)則庫替代傳統(tǒng)的特征庫，由“術(shù)”上升到“道”的層面，從網(wǎng)絡(luò)流量行為的規(guī)律層面來發(fā)現(xiàn)網(wǎng)絡(luò)中存在的異常事件。大部分情況下無需對(duì)規(guī)則庫進(jìn)行更新。同時(shí)，平臺(tái)不但無需依賴威脅情報(bào)庫，而且還能持續(xù)地產(chǎn)出大量的、可供第三方使用的威脅情報(bào)庫。2分布式協(xié)同攻擊

發(fā)現(xiàn)無-充分發(fā)揮大數(shù)據(jù)平臺(tái)1+1>2的優(yōu)勢(shì)，打破時(shí)空局限，對(duì)流量大數(shù)據(jù)進(jìn)行跨時(shí)間跨設(shè)備的網(wǎng)絡(luò)異常行為分析。徹底解決分布式協(xié)同攻擊問題。3脆弱性端口發(fā)現(xiàn)采用漏洞掃描工具定期對(duì)全網(wǎng)端口開放情況進(jìn)行排查。工作量大、運(yùn)行周期長(zhǎng)，無法感知全局網(wǎng)絡(luò)脆弱端口的動(dòng)態(tài)變化。建立脆弱性端口庫，通過對(duì)流量大數(shù)據(jù)實(shí)時(shí)監(jiān)控，動(dòng)態(tài)識(shí)別全網(wǎng)脆弱性端口開放情況。可實(shí)時(shí)掌控網(wǎng)絡(luò)中脆弱性端口的活躍情況，還能對(duì)與脆弱性端口交互的源頭進(jìn)行精準(zhǔn)溯源。4溯源分析跨平臺(tái)多級(jí)查詢分析。溯源涉及的系統(tǒng)/設(shè)備層級(jí)多、難度大，驗(yàn)證流程繁瑣甚至無法驗(yàn)證。發(fā)現(xiàn)問題、分析問題、溯源取證等都在單個(gè)平臺(tái)上完成，涵蓋了多款傳統(tǒng)安全產(chǎn)品的核心功能，無需跨平臺(tái)多級(jí)查詢。對(duì)發(fā)現(xiàn)的每個(gè)異常事件，均可直接下鉆溯源到該事項(xiàng)所對(duì)應(yīng)的明細(xì)數(shù)據(jù)，可直接作為立案取證的依據(jù)！5DDos、CC攻擊

溯源分析通過抗DDos防火墻等設(shè)備進(jìn)行抓包，然后再通過網(wǎng)絡(luò)包分析攻擊進(jìn)行分析。難度大，驗(yàn)證流程繁瑣甚至無法驗(yàn)證。具備實(shí)時(shí)溯源分析功能?？蓪?duì)任意時(shí)點(diǎn)、任意IP的流量情況進(jìn)行溯源分析，得出流量特征、攻擊來源IP具體分布情況等。 基于流量大數(shù)據(jù)的工業(yè)互聯(lián)網(wǎng)異常行為檢測(cè)分析解決方案 四、方案價(jià)值—以大數(shù)據(jù)洞悉風(fēng)險(xiǎn)，構(gòu)建工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全綠色生態(tài)方案的核心競(jìng)爭(zhēng)優(yōu)勢(shì)在于能夠用輕量級(jí)的安全投入構(gòu)建網(wǎng)絡(luò)攻擊行為實(shí)時(shí)在線檢測(cè)分析平臺(tái)，解決了傳統(tǒng)安全設(shè)備投入成本及運(yùn)維成本高、實(shí)施周期長(zhǎng)、新型攻擊感知能力不足等問題，從流量行為特征的角度發(fā)現(xiàn)傳統(tǒng)防御體系發(fā)現(xiàn)不了的攻擊行為。其價(jià)值在于能夠以平臺(tái)為布局把控點(diǎn)，站在一個(gè)區(qū)域、一個(gè)行業(yè)、一個(gè)部門、一個(gè)單位的至高點(diǎn)，對(duì)轄區(qū)內(nèi)的整體網(wǎng)絡(luò)安全行為進(jìn)行全局管控，可按照風(fēng)險(xiǎn)級(jí)別的高低，對(duì)內(nèi)外部的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)來源進(jìn)行管控，可對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行分析及預(yù)測(cè)，能夠以點(diǎn)帶面，建立有利于工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)健康發(fā)展的網(wǎng)絡(luò)環(huán)境條件，構(gòu)建工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全綠色生態(tài)。其對(duì)網(wǎng)絡(luò)安全策略的顛覆和網(wǎng)絡(luò)安全價(jià)值的重新定義，將有力回應(yīng)國家網(wǎng)絡(luò)安全長(zhǎng)期戰(zhàn)略布局。

六、實(shí)例分析—“看得見”的風(fēng)險(xiǎn)實(shí)例分析一（1）攻擊視角：對(duì)具有網(wǎng)絡(luò)攻擊行為的IP進(jìn)行分析。圖1圖1為攻擊視角高風(fēng)險(xiǎn)列表。取第一條***.27.157.9進(jìn)行深入分析，該IP為某運(yùn)營商的IP，發(fā)現(xiàn)***.27.157.9在頻繁批量的掃描445、139等端口，并嘗試對(duì)整個(gè)網(wǎng)段進(jìn)行嗅探掃描，實(shí)施木馬連接。如下圖2所示：圖2對(duì)***.27.157.9進(jìn)行進(jìn)一步威脅診斷，圖3為該IP的攻擊頻次圖，同時(shí)發(fā)現(xiàn)該IP大量脆弱性端口均為開啟狀態(tài)，如常見的服務(wù)端口（3389、139、數(shù)據(jù)庫端口等）圖3選取其中的一條記錄并展開詳情，如圖4所示，發(fā)現(xiàn)該IP（***.27.157.9）在批量連接445端口，在采樣率為4096的情況下，對(duì)采樣后的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)，該IP累計(jì)觸發(fā)規(guī)則1781次，峰值最高148次；圖4選取其中的一條記錄并展開詳情，如圖5所示，該IP在批量連接139端口，在采樣率為4096的情況下，對(duì)采樣后的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)，該IP累計(jì)觸發(fā)規(guī)則1056次，峰值最高142次。圖5選取其中的一條記錄并展開詳情，如圖6所示，該IP在批量嗅探掃描開放端口，在采樣率為4096的情況下，對(duì)采樣后的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)，該IP累計(jì)觸發(fā)規(guī)則165次，峰值最高63次。圖6（2）防御視角：從需要防護(hù)的目標(biāo)IP入手進(jìn)行分析。上圖為防御視角高風(fēng)險(xiǎn)列表。取第二條***.204.173.44行分析，發(fā)現(xiàn)該IP正被大量的被進(jìn)行木馬連接，最大值為42次，如下圖所示：（3）除以上的分析維度外，我們還可以從脆弱性的維度進(jìn)行分析，如下圖所示，這里就不再具體展開。（4）協(xié)議端口態(tài)勢(shì)分析（5）端口態(tài)勢(shì)分析（6）網(wǎng)絡(luò)邊界分析

實(shí)例分析二（1）發(fā)現(xiàn)問題圖一：異常行為監(jiān)控（攻擊視角）進(jìn)入異常行為監(jiān)控界面，發(fā)現(xiàn)大量網(wǎng)絡(luò)攻擊行為，然而在用戶部署的安全設(shè)備日志中并未發(fā)現(xiàn)。我們選其中一個(gè)攻擊源IP進(jìn)行問題診斷，該IP經(jīng)核查是用戶新上架的服務(wù)器在使用。（2）分析問題圖二：IP威脅診斷從圖中可以看出該IP是近期內(nèi)剛被控制。為進(jìn)一步了解情況，我們點(diǎn)擊異常事件詳情及脆弱性端口詳情展開進(jìn)一步