基于流量大数据的工业互联网异常行为检测分析解决方案

以大数据洞悉风险，构建工业互联网网络安全绿色生态——基于流量大数据的工业互联网异常行为检测分析解决方案勒索病毒生产线停摆，1万片晶圆损毁，2018年2019年2010年2011年WannaCry勒索病毒(及其变种)致部分中石油加油站2015年系统遭受攻击，严重影响当地居民生活供水2010年以来，工业互联网不断遭到网络安全威胁的攻击，导致大规模的断损失严重的特点。其重要原因之一：网络贯穿整个工业体系，网络互联互通，是工业系统正常运转的“血液”,一旦遭受控制或攻击，工业系统将面临大面积瘫痪的风险，因此做好工业互联网网络攻击监测与分析不容忽视。工业云平台与应用工业云平台与应用供应链管理层企业/工厂运营决策优化现场设备层工业外网络工业内网络目前市面上99%以上的攻击检测方案如情报库、基于包特征库的网络攻击行为检测、漏洞库等都只是停留在对已经发生的网络攻击建立离线模型，即使用固定的模型进行匹配检测，对于未知的新型网络攻击无法控制，往往不知不觉或后知后觉。离线分析模型存在以下局限性：●需要已知所有历史数据●系统变化时要重新完善模型●使用时模型是固定的●无法解决时变问题对于你不知道的攻击威胁，或是新型的网络攻击，我们要建立能够适应时变的攻击检测模型，进行在线实时检测分析。(一)解决方案：构建基于大数据驱动的实时在线攻击检测体系数据分析数据分析攻击行为监测信号处理流量实时分析替换为咸胁分析(防御视角)数据源用网络设备自带的Sflow/NetFlow格式的数据进行替代，具备以下两(1)降低设备的投入及运维成本，缩短项目实施周期传统的数据源依赖于大量的安全设备、流量探针等所产生的日志，硬件投入可大幅降低设备的投入及运维成本，缩短项目实施周期!(2)全局分析——实现全流量的数据分析通常的网络安全解决方案因数据被各安全设备切割分离，存在下表所示的问物理矛盾描述系统级别分离多台多种设备共同完成全网不同类型的攻击行为监控。不同设备之间数据很难做到空间分离单台安全设备受部署位置及处理能力限制，仅能处理部分流量(比如，100Gbps);不同设备之间数据很难做到联动，防外不防内。仅关注下行的攻击流量，上行方向的流量无法进行控制，即防外不防内。时间分离按照固定的时间粒度(比如，每秒)对超过设定阈值的攻击行为进行记录，不够灵活。无法实现时间段或跨时间段的攻击行为分析，如无法按照时、天、周等时间粒度进行分条件分离设定固定阈值，当攻击源IP对同一目标的并发连接数超过设定阈值时，记录异常日志并采取预定的防护措施。无法按需调整阈值，不够灵数据源用网络设备自带的Sflow/NetFlow格式的数据进行替代，可充分发挥大数据平台“1+1”>2的优势，实现全方位、全要素、全过程的主动分析。1)三“全”,构建安全闭环全方位：实现了网内+网外+边界及流量+流量异常行为全方位的管控；全要素：管控对象覆盖攻击源、受攻击目标、脆弱性端口；全过程：实现了事前预测+事中分析+事后溯源全过程的网络异常行为管控。2)一“转变”,化被动为主动转变思路，主动做好历史数据统计及风险预测，提前做好安全部署，为下一步决策部署提供更可靠的依据。2、数据分析——用在线检测分析模型替代离线的分析模型(1)在线检测：网络流量数据基于时间序列的行为挖掘1)主要参数主要参数：采样率、通信请求的时间间隔、通信请求次数、阈值。参数关系：实际异常通信请求次数=采样率*某个时间间隔异常通讯请求次数。2)判定规则用流量行为规则替代传统的“知识”库，建立点、线、面多元的时变分析体系，可全面提升新型攻击分析能力。对下一步攻击行为进行预测；面：对分析目标的当前及历史攻击数据进行关联分析，还原整个攻击画像。3)阈值对各种异常行为检测组件设置检测阈值，经历了直接控制->间接控制->引入反馈机制->自我控制完整的进化过程，最终通过智能化算法实现相关阈值的自动 调整!(二)应用效果对比分析项目存在问题1采用包特征库、威胁情报库，对威胁行为进行特征匹配。需要频繁更新最新的特征库，库更新滞后，对新型攻击感知自研的流量异常行为规则库替代传统的特征库，由“术”上升到“道”的层面，从网络流量行为的规律层面来发现网络中存在的异常事大部分情况下无需对规则库进行更新。同时，平台不但无需依赖威胁情报库，而且还能持续地产出大量的、可供第三方使用的成胁情报库。2无充分发挥大数据平台1+1>2的优势，打破时空局限，对流量大数据进行跨时间跨设备的网络异常行为分析。彻底解决分布式协同攻击问题。3采用漏洞扫描工具定期对全网端口开放情况进行排查。工作量大、运行周期长，无法感知全局网络脆弱端口的动态建立脆弱性端口库，通过对流量大数据实时监控，动态识别全网脆弱性端口开放情况。可实时掌控网络中脆弱性端口的活跃情况，还能对与脆弱性端口交互的源头进行精准溯源。4跨平台多级查询分析。溯源涉及的系统/设备层级多、难度大，验证流程繁琐甚至无法验证。发现问题、分析问题、溯源取证等都在单个平台上完成，涵盖了多款传统安全产品的核心功能，无需跨平台多级查询。对发现的每个异常事件，均可直接下钻溯源到该事项所对应的明细数据，可直接作为立案取证的依据!5通过抗DDoz防火墙等设备进行抓包，然后再通过网络包分析攻击进行分析。难度大，验证流程繁琐甚至无法验证。具备实时溯源分析功能。可对任意时点、任意IP的流量情况进行溯源分析，得出流量特征、攻击来源IP具体分布情况等。基于流量大数据的工业互联网异常行为检测分析解决方案方案的核心竞争优势在于能够用轻量级的安全投入构建网络攻击行为实时在线检测分析平台，解决了传统安全设备投入成本及运维成本高、实施周期长、新型攻击感知能力不足等问题，从流量行为特征的角度发现传统防御体系发现不了的攻击行为。其价值在于能够以平台为安全行为进行全局管控，可按照风险级别的高低，对内外部的网络安全风险来源进行管控，可对网络安全态势进行分析及预测，能够以点带面，建立有利于工业互联网产业健康发展的网络环境条件，构建工业互联网网络安全绿色生态。其对网络安全策略的颠覆和网络安全价值的重新定义，将有力回应国家网络安全长期战略布局。基于流量大数据的工业互联网异常行为检测分析解决方案实例分析一自危未加入日名中1自信40498高危witMP图1为攻击视角高风险列表。取第一条***.27.157.9进行深入分析，该IP为某运营商的口标P周层发次照峰值均值不走端口主动扫泄多病口8555B411主动扫摧同照477不只需口4774143133a)对***.27.157.9进行进一步威胁诊断，图3为该IP的攻击频次图，同时发现该IP大量脆弱性端口均为开启状态，如常见的服务端口(3389、139、数据库端口等)基于流量大数据的工业互联网异常行为检测分析解决方案b)选取其中的一条记录并展开详情，如图4所示，发现该IP(***.27.157.9)在批量连接445端口，在采样率为4096的情况下，对采样后的数据进行统计，该IP累计触发规则1781次，峰值最高148次；c)选取其中的一条记录并展开详情，如图5所示，该IP在批量连接139端口，在采样率为4096的情况下，对采样后的数据进行统计，该IP累计触发规则1056次，峰值最高142次。基于流量大数据的工业互联网异常行为检测分析解决方案d)选取其中的一条记录并展开详情，如图6所示，该IP在批量嗅探扫描开放端口，在采样率为4096的情况下，对采样后的数据进行统计，该IP累计触发规则165次，峰值最高63次。(2)防御视角：从需要防护的目标IP入手进行分析。进行木马连接，最大值为42次，如下图所示：基于流量大数据的工业互联网异常行为检测分析解决方案口标P原口标端口发次数量大日零均性222222222222(4)协议端口态势分析45协以既卧态财分析45协以既卧态财分析· (5)端口态势分析(6)网络边界分析基于流量大数据的工业互联网异常行为检测分析解决方案(1)发现问题图一：异常行为监控(攻击视角)进入异常行为监控界面，发现大量网络攻击行为，然而在用户部署的安全设备日志中并未发现。我们选其中一个攻击源IP进行问题诊断，该IP经核查是用户新上架的服务器在使用。(2)分析问题哄中呀帅灰铜鹿酸是短期内刚收从图中可以看出该IP是近期内刚被控制。为进一步了解情况，我们点击异常事件详情及