網絡流量分析技術的威脅檢測研究

前言：尋找寫作靈感？中文期刊網用心挑選的網絡流量分析技術的威脅檢測研究，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要:隨著網絡技術的快速發展,伴隨而來的是愈來愈多的新型網絡威脅,傳統安全防護體系也瀕臨失效,基于全流量威脅檢測逐漸成為新型威脅檢測的有效途徑。在實戰過程中,依靠傳統的分析方式，傳統安全設備通常無法對新型網絡威脅的各個階段進行有效的檢測。換個角度來看攻防實戰，真相往往隱藏在網絡流量中。本文采用網絡流量實時采集的思路，通過動態行為分析和網絡流量分析技術實現新型網絡威脅行為檢測，有效解決了新型網絡威脅的發現難題。

關鍵詞:網絡威脅；威脅檢測；動態行為分析；網絡流量分析

信息服務在人們的日常生活中深刻地影響了全球經濟、文化交往和國家軍事。由于網絡安全因素在設計上缺乏考慮，決定了網絡安全威脅是客觀性存在的[1]。因此，在互聯網信息服務提供智能和便利的同時，網絡安全問題不斷突出，安全局勢日趨嚴峻。單一網絡攻擊演變為復雜的、多方式組合的高級威脅，黑客則更是形成了有組織性的團隊，嚴重地影響到網絡正常秩序，甚至是國家安全。

1網絡威脅

如今，網絡威脅層出不窮，尤其是新型攻擊方式，各種攻擊類型的手段越來越智能。同時，網絡威脅不斷變化，隨著復雜度的提高，信息系統的數字化建設和管理對企業的網絡安全部門來說是一個巨大挑戰。要做好網絡威脅的檢測，則必須對網絡威脅的類別和特征有更深的了解與研究。

1.1網絡威脅分類。網絡威脅可分為兩類：一類是主動攻擊性威脅，如網絡監聽和黑客攻擊等，這些威脅均為對方通過互聯網連接造成的；另一類是被動威脅，通常是用戶從某種方式訪問不當信息，從而受到攻擊。

1.2網絡威脅和攻擊性趨勢特點。（1）連通性、擴散性及分布更加廣泛。攻擊代碼與互聯網緊密結合,利用互聯網連通性進行傳播,如廣域網、局域網和通信工具等。（2）擴散速度快且具有更強的欺騙力。針對路由或DNS的攻擊，幾分鐘內就會傳播到千萬個機器，這也是當前網絡安全信息戰的策略之一。一些新型網絡威脅具有擴散性和欺騙性的特點，甚至在一些程序里也暗藏著。

2傳統安全防護體系

隨著安全形勢愈演愈烈，《中華人民共和國網絡安全法》、2019年《信息安全技術網絡安全等級保護基本要求》(GB-T22239-2019）的，讓企業開始重視企業自身的安全建設。但安全建設仍是基于傳統的縱深防御體系，這些企業甚至還沒認識到傳統防御體系已經無法應對當前的安全形勢。傳統安全防御體系是串葫蘆式架構，從終端至互聯網邊界，部署終端殺毒軟件、上網行為管理、日志審計、堡壘機、IPS、IDS和防火墻等，這些產品遍布網絡2～7層，用于進行數據分析。其中，威脅檢測產品IDS、IPS的檢測模式是CIDF檢測模型，該模型最核心的思想就是利用特征庫對網絡流量中的攻擊行為進行檢測，同時遍歷各個安全設備的告警，尋找其內在關聯關系。這種模型具備快速發現攻擊行為的優勢，但缺陷也十分明顯，攻擊行為的檢測范圍完全依靠自身的特征庫。反觀新型網絡威脅，其采用的攻擊手法和技術都是未知漏洞（0day）和未知惡意代碼等，甚至攻擊者利用某些手段進行證據銷毀。這種情況下，依賴CIDF檢測模型和傳統的分析方式的安全設備，理論上已無法預知新型網絡威脅攻擊。新型網絡威脅可以輕易繞過現有基于特征檢測的安全防護體系，因此有必要建立一套新型的網絡防御系統，而動態行為分析和網絡流量分析技術在檢測新型網絡威脅方面有著一定的優勢[2]。將傳統安全設施融入到新型網絡防御系統中,與新型網絡防御系統形成一個有機的整體，可以充分發揮整個系統的防御效能。

3威脅檢測

威脅檢測是網絡安全領域一個重要的研究內容?；ヂ摼W技術給人們通信帶來前所未有的便利，通信過程中的數據稱之為網絡流量，而對于黑客入侵過程而言，其攻擊行為會產生某些特定的數據，常見的如端口掃描、滲透、遠控指令通信以及未知威脅不斷變換的攻擊手法。這些行為數據都會藏匿于網絡流量之中，因此本文提出基于動態行為分析與網絡流量分析技術，作為威脅檢測的一種新途徑。

3.1動態行為分析技術。傳統的惡意樣本分析采用的是靜態分析技術，通過獲取需要分析的疑似惡意代碼樣本，在其未運行的情況下，進行樣本的分析包括樣本代碼構成和編寫原理等，并獲取必要的代碼特征信息，利用已有的惡意代碼特征庫進行匹配從而檢測出惡意代碼。靜態分析技術在一定程度上能快速發現和定位惡意代碼，但惡意代碼特征庫的規模大小決定了檢測的范圍，一旦出現新的未知惡意代碼，靜態分析技術就無法檢測。為解決此類問題，人們引入人工二次分析，結合專業安全人員的經驗，進行二次判斷，一定程度上能提高惡意樣本的檢出率。但面對成千上萬的未知樣本，投入大量的安全人員進行分析對于企業來說是不現實的。動態行為分析技術可以和靜態分析技術進行很好的互補，動態行為分析是相對于靜態分析而言的，動態行為分析技術通過運行未知樣本，觀察樣本運行過程中是否存在惡意行為，同時結合機器學習異常檢測技術進行判斷。靜態分析查其形，動態分析查其行，因此動態分析技術首先需要具有惡意代碼運行的環境，在實際的物理環境中運行和分析顯然是不合適的。為此，動態分析技術為此類惡意代碼提供了一個特殊的模擬運行環境沙箱，可以模擬惡意代碼在真實的物理環境運行，對惡意樣本進行細粒度的行為檢測，從行為層面進行細致分析，精準全面地分析惡意樣本屬性，對惡意代碼的惡意風險進行多維度地風險判斷，直接了解潛在夾雜威脅帶來的危害程度，從而采取快速的應急處置。動態行為分析技術中對沙箱技術的使用，可充分考慮到虛擬環境模擬技術的使用，模擬虛擬環境中各種軟硬件、Windows、Linux和Android等多種主流操作系統，構造純凈和透明虛擬化動態分析環境，借助支持ATT&CK技術來全景化展示，分析惡意代碼行為，細粒度檢測漏洞利用和惡意行為的可能性。

3.2網絡流量分析技術。對于網絡流量分析技術的研究和使用，前提是對網絡流量的透徹理解。大量攻防實戰結果表明，幾乎所有的攻擊者在入侵目標系統過程中的行為，如掃描、滲透、武器投放、遠程操控、擴散和核心信息竊取外泄等，均表現為網絡流量。對網絡流量進行分析，最常見的是使用傳統IPS、IDS等設備，采用特征匹配的方法確定威脅事件。而未知威脅均是未知特征的網絡流量數據，單純的IPS、IDS很難檢測到此類攻擊。網絡流量分析技術通過旁路部署方式，采集全量的網絡流量數據，利用網絡流量分析技術提取流量網絡層、傳輸層和應用層的信息，甚至重要的載荷信息[3]，實現網絡流量可視化、異常流量檢測和威脅溯源等。3.2.1網絡流量可視化。網絡流量可視化可以幫助安全管理員清楚地看到網絡流量中各種行為信息，感知流量中未知的網絡威脅，從流量可視、會話可視、數據分組可視、協議可視和內容可視5個方面實現網絡可視化。其中流量可視化主要展示流量組成成分，如流量中的應用、協議、IP地址、MAC地址和端口等信息；會話可視化主要展示當前會話情況，如TCP/UDP會話和并發/新建會話等，以及會話從建立到斷開的持續時間等信息；數據分組可視主要展示數據的大小，甚至可以進一步分析其數據分組頭和分組頭內容，提取數據特征作為攻擊行為的判斷依據；協議可視化主要展示當前網絡協議的流量統計，例如常見的DNS協議是網絡連接的重要組成部分，其將域名信息轉化成IP信息后實現網絡連接，而這個過程很容易被黑客利用進行DDoS攻擊和DNS劫持等，因此對于流量中的協議是否合規作為網絡威脅的一個判斷依據；內容可視主要展示當前網絡傳輸的文件內容和圖片等信息，實現內容可視可以很好的幫助安全管理員了解網絡流量中都傳輸哪些內容，內容是否敏感，避免黑客攻擊后利用網絡對外泄露敏感數據。3.2.2異常行為流量分析。通過建立異常行為檢測模型，對軟件/主機的網絡行為進行監測，如僵木蠕惡意軟件，與正常的軟件相比較，其行為特點在于可以在網絡之間自動地傳播與復制，通過異常行為流量分析可以有效發現此類異常行為。異常行為流量分析也可檢測如SQL注入、XSS、Webshell、命令執行和文件包含等多種Web攻擊行為，結合動態行為分析技術，還可以精準檢測PHP、ASP、JSP(X)后門文件并記錄相關行為信息。

4構建動態行為分析與網絡流量分析的威脅檢測防御體系

4.1業務需求分析。近年來網絡安全形勢愈演愈烈，網絡安全威脅的攻擊方式和范圍不斷擴大和演化，傳統的防護方式已不足以應對當前的安全威脅，傳統網絡安全威脅有增無減，攻擊手段呈復雜化演進，高級持續威脅等新型網絡攻擊愈演愈烈，目前網絡安全設備的傳統防護模式愈發乏力，因此構建動態行為分析與網絡流量分析的威脅檢測防御體系成為新途徑，全量還原攻擊面貌，實現未知威脅分析。

4.2模塊設計。動態行為分析與網絡流量分析的威脅檢測防御體系由全流量采集探針模塊、動態行為分析模塊和威脅建模模塊組成，通過全網流量采集作為輸入，實現多維度威脅數據挖掘分析，幫助安全管理員全面了解網絡流量中安全威脅。4.2.1全流量采集模塊。全流量采集模塊負責流量的采集，對流量中常見協議進行識別并還原網絡流量，包括HTTP、DNS、SMTP、POP3、IMAP、Webmail等；同時可對流量的行為記錄，包括TCP/UDP會話記錄、異常流量會話記錄、Web訪問記錄、域名解析、SQL訪問記錄、郵件行為、登錄情況、文件傳輸、FTP控制通道、SSL加密協商、Telnet行為和IM通信等行為描述，這些信息將通過加密通道傳送到威脅建模分析模塊進行統一處理。在流量采集模塊中內置的威脅檢測引擎可檢測多種網絡協議中的攻擊行為，如SQL注入、跨站請求偽造CSRF攻擊檢測、XSS、系統配置等注入型攻擊、跨站請求偽造CSRF攻擊檢測、其它類型的Web攻擊（如目錄遍歷、弱口令、權限繞過、信息泄露、文件包含和文件寫入攻擊等檢測）。同時流量采集模塊還可內置Webshell沙箱和Webshell機器學習模塊，實現精準PHP、ASP、JSP等后門檢測和相關信息記錄，能發現惡意軟件和未知威脅等。4.2.2動態行為分析模塊。動態行為分析模塊主要負責采集惡意樣本，樣本類型包括執行文件、腳本類文件、多媒體文件、移動應用文件、文檔類文件和壓縮文件等，全面覆蓋惡意樣本類型，確保惡意樣本檢測的全面性。動態行為分析模塊采取靜態檢測和動態檢測兩種模式。靜態檢測主要利用靜態檢測引擎，通過機器學習算法，對檢測的惡意樣本不斷檢測和訓練聚類形成文件緩沖池，在周期性重復驗證時能夠快速匹配已有結果，實現快速威脅檢測。動態檢測主要負責未知的惡意代碼文件運行過程檢測，可檢測惡意樣本對文件、進程、網絡、注冊表等操作相關的系統和內核調用接口行為進行監控和記錄。通過模擬文件執行環境來收集和分析文件的靜態和動態行為數據，可實現對未知惡意文件的檢測，有效避免以文件為載體的未知威脅攻擊擴散和企業核心信息資產的損失。4.2.3威脅建模分析模塊。威脅建模分析模塊基于大數據平臺架構，存儲前端模塊提交的流量日志、告警日志和動態行為分析日志，對所有數據進行快速的處理并為檢索提供支持，通過大數據技術對日志關聯性分析，實現對威脅的檢測。同時運用先進的可視化呈現技術，實現用戶在可視分析畫布上對任意線索的自定義拓線及溯源分析，該過程通過一步步的交互對當前數據進行拓線分析，最終可以將威脅攻擊的全過程推演并呈現在用戶面前。

4.3總體架構設計。如圖1所示，流量采集模塊和動態行為分析模塊為前置系統，采集需要檢測的網絡流量和惡意代碼，將分析后的威脅數據發送至統一威脅檢測分析模塊進行攻擊事件分析和溯源取證，可以有效提升管理人員對未知威脅的發現速度和效率，最大限度地降低企業受攻擊后的損失。

5應用效果

落實重大網絡安全保障工作要求，對上級單位下發的重保對象開展安全監測工作，期間發現某電視網存在多個黑鏈。經過評估分析，網站服務器可能被奪權控制，從而在多個頁面被植入黑鏈。

6結束語

面對愈演愈烈的網絡威脅，攻擊者的逃逸水平也在不斷的進步發展，僅依賴于單一威脅特征已經無法有效的發現未知威脅，難以做到真正的追蹤溯源，無法保證網絡安全。通過建立動態行為分析技術與網絡流量分析技術防御體系，從網絡流量進行挖掘可極大提升未知威脅和未知威脅的檢出效率，為保障網絡安全提供堅實的技術保障。

作者:朱京毅 羅漢斌 單位:中國移動通信集團上海有限公司