基于流量大数据的工业互联网异常行为检测分析解决方案

基于流量大数据的工业互联网异常行为检测分析解决方案第页以大数据洞悉风险，构建工业互联网网络安全绿色生态——基于流量大数据的工业互联网异常行为检测分析解决方案一、背景分析—网络安全将成为工业互联网支撑业务发展的基础2010年以来，工业互联网不断遭到网络安全威胁的攻击，导致大规模的断水断电等，生产业务遭受了极大的冲击，损失金额达到数亿，呈现面广、影响大、损失严重的特点。其重要原因之一：网络贯穿整个工业体系，网络互联互通，是工业系统正常运转的“血液”，一旦遭受控制或攻击，工业系统将面临大面积瘫痪的风险，因此做好工业互联网网络攻击监测与分析不容忽视。图：工业互联网网络分布二、问题分析—恐惧来源未知，如何“看见”未知的新型攻击目前市面上99%以上的攻击检测方案如情报库、基于包特征库的网络攻击行为检测、漏洞库等都只是停留在对已经发生的网络攻击建立离线模型，即使用固定的模型进行匹配检测，对于未知的新型网络攻击无法控制，往往不知不觉或后知后觉。图：离线分析模型离线分析模型存在以下局限性：需要已知所有历史数据系统变化时要重新完善模型使用时模型是固定的无法解决时变问题

三、解决方案—建立时变的检测分析模型，让新型攻击“无所遁形”对于你不知道的攻击威胁，或是新型的网络攻击，我们要建立能够适应时变的攻击检测模型，进行在线实时检测分析。（一）解决方案：构建基于大数据驱动的实时在线攻击检测体系数据采集——数据源用网络设备自带的Sflow/NetFlow格式的数据进行替代数据源用网络设备自带的Sflow/NetFlow格式的数据进行替代，具备以下两个方面的优势：（1）降低设备的投入及运维成本，缩短项目实施周期传统的数据源依赖于大量的安全设备、流量探针等所产生的日志，硬件投入成本高，项目实施周期长，设备运维投入高。采用网络设备自带的Sflow/NetFlow格式的数据，无需依赖于其它安全设备，除系统本身，不需要引入其他新的设备，可大幅降低设备的投入及运维成本，缩短项目实施周期！（2）全局分析——实现全流量的数据分析通常的网络安全解决方案因数据被各安全设备切割分离，存在下表所示的问题，很难实现全局的分析。物理矛盾描述问题系统级别分离多台多种设备共同完成全网不同类型的攻击行为监控。不同设备之间数据很难做到联动。空间分离单台安全设备受部署位置及处理能力限制，仅能处理部分流量（比如，100Gbps）；不同设备之间数据很难做到联动，防外不防内。仅关注下行的攻击流量，上行方向的流量无法进行控制，即防外不防内。时间分离按照固定的时间粒度（比如，每秒）对超过设定阈值的攻击行为进行记录，不够灵活。无法实现时间段或跨时间段的攻击行为分析，如无法按照时、天、周等时间粒度进行分析。条件分离设定固定阈值，当攻击源IP对同一目标的并发连接数超过设定阈值时，记录异常日志并采取预定的防护措施。无法按需调整阈值，不够灵活。数据源用网络设备自带的Sflow/NetFlow格式的数据进行替代，可充分发挥大数据平台“1+1”>2的优势，实现全方位、全要素、全过程的主动分析。1）三“全”，构建安全闭环全方位：实现了网内+网外+边界及流量+流量异常行为全方位的管控；全要素：管控对象覆盖攻击源、受攻击目标、脆弱性端口；全过程：实现了事前预测+事中分析+事后溯源全过程的网络异常行为管控。2）一“转变”，化被动为主动转变思路，主动做好历史数据统计及风险预测，提前做好安全部署，为下一步决策部署提供更可靠的依据。数据分析——用在线检测分析模型替代离线的分析模型图：在线检测分析模型（1）在线检测：网络流量数据基于时间序列的行为挖掘1）主要参数主要参数：采样率、通信请求的时间间隔、通信请求次数、阈值。参数关系：实际异常通信请求次数=采样率*某个时间间隔异常通讯请求次数。2）判定规则用流量行为规则替代传统的“知识”库，建立点、线、面多元的时变分析体系，可全面提升新型攻击分析能力。点：单点追踪攻击源或受攻击目标；线：基于时间序列，对分析目标向前溯源，向后预测，可挖掘整个攻击链条，对下一步攻击行为进行预测；面:对分析目标的当前及历史攻击数据进行关联分析，还原整个攻击画像。3）阈值对各种异常行为检测组件设置检测阈值，经历了直接控制->间接控制->引入反馈机制->自我控制完整的进化过程，最终通过智能化算法实现相关阈值的自动调整！数据展现——定性+定量的可视化展现除传统的定性分析外，我们还可对具体的行为进行量化，包括数据汇总、数据排行、占比分析等，还可对数据以实时动态的饼图、趋势图等进行进一步的可视化展现，可对攻击行为进行自动风险评级，并按照风险级别的高低进行排列等等。通过详实的分析结果、多样的分析方式、实时动态的展示方式，有效的帮助用户对整个网络的运行状态及网络的攻击态势进行准确把握。（二）应用效果对比 基于流量大数据的工业互联网异常行为检测分析解决方案序号分析项目传统解决方案存在问题解决方案方案评价1新型攻击发现采用包特征库、威胁情报库，对威胁行为进行特征匹配。需要频繁更新最新的特征库，库更新滞后，对新型攻击感知滞后。自研的流量异常行为规则库替代传统的特征库，由“术”上升到“道”的层面，从网络流量行为的规律层面来发现网络中存在的异常事件。大部分情况下无需对规则库进行更新。同时，平台不但无需依赖威胁情报库，而且还能持续地产出大量的、可供第三方使用的威胁情报库。2分布式协同攻击

发现无-充分发挥大数据平台1+1>2的优势，打破时空局限，对流量大数据进行跨时间跨设备的网络异常行为分析。彻底解决分布式协同攻击问题。3脆弱性端口发现采用漏洞扫描工具定期对全网端口开放情况进行排查。工作量大、运行周期长，无法感知全局网络脆弱端口的动态变化。建立脆弱性端口库，通过对流量大数据实时监控，动态识别全网脆弱性端口开放情况。可实时掌控网络中脆弱性端口的活跃情况，还能对与脆弱性端口交互的源头进行精准溯源。4溯源分析跨平台多级查询分析。溯源涉及的系统/设备层级多、难度大，验证流程繁琐甚至无法验证。发现问题、分析问题、溯源取证等都在单个平台上完成，涵盖了多款传统安全产品的核心功能，无需跨平台多级查询。对发现的每个异常事件，均可直接下钻溯源到该事项所对应的明细数据，可直接作为立案取证的依据！5DDos、CC攻击

溯源分析通过抗DDos防火墙等设备进行抓包，然后再通过网络包分析攻击进行分析。难度大，验证流程繁琐甚至无法验证。具备实时溯源分析功能。可对任意时点、任意IP的流量情况进行溯源分析，得出流量特征、攻击来源IP具体分布情况等。 基于流量大数据的工业互联网异常行为检测分析解决方案 四、方案价值—以大数据洞悉风险，构建工业互联网网络安全绿色生态方案的核心竞争优势在于能够用轻量级的安全投入构建网络攻击行为实时在线检测分析平台，解决了传统安全设备投入成本及运维成本高、实施周期长、新型攻击感知能力不足等问题，从流量行为特征的角度发现传统防御体系发现不了的攻击行为。其价值在于能够以平台为布局把控点，站在一个区域、一个行业、一个部门、一个单位的至高点，对辖区内的整体网络安全行为进行全局管控，可按照风险级别的高低，对内外部的网络安全风险来源进行管控，可对网络安全态势进行分析及预测，能够以点带面，建立有利于工业互联网产业健康发展的网络环境条件，构建工业互联网网络安全绿色生态。其对网络安全策略的颠覆和网络安全价值的重新定义，将有力回应国家网络安全长期战略布局。

六、实例分析—“看得见”的风险实例分析一（1）攻击视角：对具有网络攻击行为的IP进行分析。图1图1为攻击视角高风险列表。取第一条***.27.157.9进行深入分析，该IP为某运营商的IP，发现***.27.157.9在频繁批量的扫描445、139等端口，并尝试对整个网段进行嗅探扫描，实施木马连接。如下图2所示：图2对***.27.157.9进行进一步威胁诊断，图3为该IP的攻击频次图，同时发现该IP大量脆弱性端口均为开启状态，如常见的服务端口（3389、139、数据库端口等）图3选取其中的一条记录并展开详情，如图4所示，发现该IP（***.27.157.9）在批量连接445端口，在采样率为4096的情况下，对采样后的数据进行统计，该IP累计触发规则1781次，峰值最高148次；图4选取其中的一条记录并展开详情，如图5所示，该IP在批量连接139端口，在采样率为4096的情况下，对采样后的数据进行统计，该IP累计触发规则1056次，峰值最高142次。图5选取其中的一条记录并展开详情，如图6所示，该IP在批量嗅探扫描开放端口，在采样率为4096的情况下，对采样后的数据进行统计，该IP累计触发规则165次，峰值最高63次。图6（2）防御视角：从需要防护的目标IP入手进行分析。上图为防御视角高风险列表。取第二条***.204.173.44行分析，发现该IP正被大量的被进行木马连接，最大值为42次，如下图所示：（3）除以上的分析维度外，我们还可以从脆弱性的维度进行分析，如下图所示，这里就不再具体展开。（4）协议端口态势分析（5）端口态势分析（6）网络边界分析

实例分析二（1）发现问题图一：异常行为监控（攻击视角）进入异常行为监控界面，发现大量网络攻击行为，然而在用户部署的安全设备日志中并未发现。我们选其中一个攻击源IP进行问题诊断，该IP经核查是用户新上架的服务器在使用。（2）分析问题图二：IP威胁诊断从图中可以看出该IP是近期内刚被控制。为进一步了解情况，我们点击异常事件详情及脆弱性端口详情展开进一步