freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

试读版 | 《2020中国网络流量监测与分析产品研究报告》
2020-07-06 16:02:11

随着黑客攻击入侵技术的不断发展,在一些网络场景下入侵检测系统无法对网络威胁进行有效的发现。基于这种情况,NTA (Network Traffic Analysis)网络流量分析于2013年首次被提出,并且在2016年逐渐兴起。

此后,越来越多厂商进入流量监测与分析市场,NTA也在原本的网络流量分析的基础上,突破了技术局限性,开始强调针对高级威胁的检测和响应能力,由此,“NTA”(网络流量分析)这个描述已经不能够完全涵盖发展中的新的特征,NDR(网络检测与响应)逐渐成为NTA新的代名词。

NTA/NDR发展火热的背景下,FreeBuf咨询通过现场走访、资料整合及问卷调查的形式,调查了数百家企业,结合定量分析与定性分析,最终完成《2020中国网络流量监测与分析产品研究报告》

此外,因为本次报告在调研、数据分析、产品研究等阶段受到广大甲方、乙方厂商以及相关研究机构的关注和支持,秉持着进一步深化报告内容,提升整体质量的想法,FreeBuf 咨询携手中国信息通信研究院(以下简称信通院)安全研究所,于6月22-7月31日联合举办「2020 NTA/NDR类网络安全产品能力评测」,并以测评结果进一步丰富报告整体内容。

1594192394.png!small

注:本报告的测试结果由信通院独立提供。通过制定测试标准、搭建测试环境,信通院对国内主流的NTA/NDR产品进行了全面的测试,以产品基础能力和拓展能力为参考,充分调研产品流量采集、安全分析等方面的能力,并将逐步推进形成国内NTA/NDR国家或行业标准。

报告目录

报告试读节选

为了便于大家对《2020中国网络流量监测与分析产品研究报告》有更清晰的认知,特提供以下节选内容作为试读:

NTA/NDR应用场景:日常异常流量监测

1.高频攻击

现如今,绝大部分恶意流量都来自自动化程序,能够在短时间发起大量的请求或者攻击。例如常见的DDoS攻击或者黑灰产中高频业务访问,其中必然会产生不正常的网络流量。在应对此类攻击,可以利用机器学习训练大量正常访问时产生的行为、流量记录,当出现异常流量就进行判断是否是自动化工具导致的高频访问。

2.恶意软件入侵

恶意软件入侵是企业遭受的最常见的威胁之一,通过建立网络异常监控模型,实时监控如SMB、445、RDP、3389等特殊协议与端口,对网络流量进行识别与解析,建立流量监控模型,对特定端口、特定协议、特定资产的流量监控,并依据波峰、或异于常态的流量峰值时参考以往的监控结果,判断是否可能遭到是未知病毒入侵。

3.内网横移

企业在应对网络攻击时需要重点提防入侵者在内网扩散行为,一旦单个主机被攻破,攻击者往往会利用相同的手段或者利用恶意软件、蠕虫等手段去感染内网中其它主机。不同的内网扩散手段所体现出来的特征是不一样的,以勒索病毒为例,其在传播时首先需要通过TCP/ARP等扫描手段发现目标主机,确定其可利用的漏洞高危端口后进行攻击载荷的投递。在此期间病毒宿主主机需向外界发送不同于正常终端的大量TCP或ARP请求,其行为模式在网络层已具备明显异常特征。

4.数据外泄

随着核心数据所体现出来的价值越来越大,使其成为黑客重点窃取的目标。非正常的数据流通也会伴随着异常流量或者访问记录产生。通过对核心系统与数据访问用户、地域、时间、次数、结果等进行分析,实施检测核心数据异常访问;对数据访问路径、数据流向的监控,也能够尽早发现泄密事件。

5.僵尸网络

在基于网络的僵尸网络检测策略中,通过观察不同参数下的网络流量来捕获恶意流量,这些参数包括网络流量行为、流量模式、响应时间、网络负载和链接特征。

基于网络的方法进一步分为两种类型,主动监视和被动监视。主动监控:在主动监控僵尸网络检测策略中,为了检测恶意活动,会向网络注入新的数据包。被动监视:在被动监视中,当数据通过介质时,网络流量被嗅探。应用不同的异常检测技术对网络流量进行分析。

6.恶意挖矿

挖矿行为的识别可以通过很多方面进行判断,终端层面监控硬件资源的使用率及相关进程分析;流量层面通过识别挖矿行为的流量特征,从流量中识别出挖矿行为。stratum协议是目前主流的矿机和矿池之间的TCP通讯协议,通过对具体通信数据包进行相应特征字符串检测,以此来发现挖矿行为的存在。

7.网络蠕虫

蠕虫病毒是传播速度最快的手段之一,一台主机感染蠕虫病毒,若防护不当,会导致由于大量感染病毒的计算机不断向网络中发送数据包,使网络的效率非常低,大大影响网络的性能。可以留意应用排名,对比正常情况下,感染蠕虫病毒后HTTP占用资源会比正常更高;其次,分析每台计算机的流量情况,按源IP、目的IP、源协议端口、目的协议端口,如果某个地址所在的主机试图同网络中非常多的主机建立HTTP连接,而且查看那些地址且根本不是HTTP服务器,而且发出这些包的时间间隔非常短,为毫秒级,判定非人为发出,基本可以断定其感染了某种采用HTTP协议传播的病毒。

8.高级威胁

高级威胁呈现快速增长趋势,社会工程攻击增长率持续升高,恶意软件和社工在安全事件中的次数呈现指数级增长,以静态特征的安全手段面对高级威胁时,难以有效保护网络安全,主要表现在检测响应机制能力不够。

然而,NTA可以覆盖APT攻击链的检测,检测信息系统存在的弱点,遭受了哪些攻击,是否被远程恶意控制,是被利用进行黑产牟利,还是继续扫描内网,横向扩散,影响其他的系统,同时还检测重要敏感数据被窃取等。同时,基于基于不同的阶段检测出不同的安全事件和攻击,并通过关联分析准确定位威胁源头,给出详细的安全威胁分析、风险危害、处置建议,结合知识库了解攻击原理。

NTA/NDR应用场景:攻防演练之蓝军实践

攻防演练中,不论攻击成功与否,攻击行为的载体只可能是网络流量。因此,网络流量监测与分析技术可以说是蓝军的一张王牌,通过对正常业务与威胁行为模式进行建模,能够在第一时间发现入侵事件,甚至还原整个攻击流程。

1594022848.png!small

完整攻击链大概包括信息搜集、建立据点、权限维持、权限提升、横向移动、战果扩大、痕迹清除等七个阶段,每个阶段存在多种手法。

对抗信息搜集:告警自动化工具扫描行为。这个阶段采用自动化工具扫描的行为最为常见,NTA可对该行为进行告警。

比如,针对用 Nmap、dirbruter 等常见工具刺探信息的行为,NTA 通过识别工具的指纹(采用的字典,或请求中的 UA、cookie、URI 等首部),快速发现扫描行为:

1594023012.png!small

对抗获取据点:定位 webshell 上传。通过双向解析网络流量,对请求和应答的数据进行分析,发现其中的 webshell 上传行为,及时预警 webshell 访问行为,定位到网站服务器、路径和具体页面。甚至,将分析到的 webshell 联动防火墙、WAF 等安全防御设备进行 IP 封堵,帮助快速解决问题。

比如,下图为利用 thinkphp 5.x 的命令执行漏洞上传 webshell 的告警截图:

1594023037.png!small

对抗权限维持:识别 C2 流量。NTA 基于威胁情报和主动外联、行为模型、会话反弹等流量特征,可侦测后门反弹时使用信道,识别 C2 流量。

比如,识别 MSF、CS 这类红军常用攻击框架的 C2 流量:

1594023049.png!small

又如,识别 HTTP 这类明文隐藏信道的 C2 流量:

1594023059.png!small

对抗权限提升:发现高权操作。NTA 基于流量统计分析、基于应用元数据统计分析,通过这两种手段可实现对网络中高权操作的检测及分析。

比如,应用服务器以特权账号连接数据库的行为:

1594023079.png!small

对抗横向移动:分析内网资产/服务探测动作。攻击者在横向移动前势必先做内网资产和访问探测,NTA 可分析出内网探测动作。

比如,内网服务探测:

1594023090.png!small

对抗战果扩大:阻止数据拖取。攻击者拖取数据时,NTA 可更加敏感信息特征,发现并阻拦数据盗取行为。利用平台敏感信息识别引擎,并配合识别策略,对还原后的 HTTP 流量进行分析,判断是否含有敏感信息,及敏感信息类型。

比如,非法存放敏感信息:

1594023100.png!small

对抗痕迹清除:溯源入侵流程。NTA 通过聚合关联利用攻击链各阶段的流量,将告警之间的时序关系、因果关系进行关联分析,从而还原整个攻击流程。

攻击溯源分析对攻击行为在防护体系内外部的路径进行分析,并对相关联的行为进行相关性组合。在安全事件发生后,能够对攻击事件下钻到原始日志进行分析取证,对回溯到的攻击源,可以利用威胁信息进行验证的能力;攻击链模型对攻击事件进行溯源分析,通过将产生的安全事件按攻击过程分类,不限于信息收集、网络入侵、命令控制、横向渗透、目标达成、痕迹清理。在真实的攻击事件发生后,通过攻击链模型结合人工分析判断,找到真实攻击源的能力。

综合来看,NTA 因其先天流量优势,可对网络中全部的流量进行全量记录、实时深度监测分析,了解网络中发生的任何事情。在攻防演练中,通过对网络中流量行为的监测与分析,发现攻击行为并且快速协同进行响应,提升检测精度,减少误报率。而基于溯源分析,不仅可以还原整个攻击流程,企业还可以进一步完善自身在事前的攻击模型建模,进一步优化整体安全能力。

内容不止于此

对于NTA/NDR,企业依然存在很多困惑,而《2020中国网络流量监测与分析产品研究报告》还将带来:

一份前所未有的国内主流的NTA/NDR产品的真实、全面的测试结果

深入展现的甲方企业对于NTA/NDR产品的综合评价

聚焦金融行业,NTA/NDR产品的实际部署情况

探究NTA/NDR在攻防演练中的真实效果

……

这些将为乙方企业优化产品能力提供方向,为甲方企业选择产品提供参考的数据和结论,最终,都将在《2020中国网络流量监测与分析产品研究报告》完整版中一一呈现。

完整版报告,敬请期待!

关于 FreeBuf 咨询

FreeBuf.COM是斗象科技旗下国内网络安全行业门户,每日发布专业的安全资讯、技术剖析,分享国内外安全资源与行业洞见,是深受安全从业者与爱好者关注的网络安全网站与社区。

FreeBuf 咨询集结安全行业经验丰富的安全专家和分析师,常年对信息安全技术、行业动态保持追踪,洞悉安全行业现状和趋势,呈现最专业的研究与咨询服务。

*FreeBuf 咨询荣誉出品,未经许可严禁转载使用,欲合作请联系 FreeBuf 市场宋经理 :

电话:021-60495134/15311422102(同微信)

邮箱:dandan.song@tophant.com

本文作者:, 转载请注明来自FreeBuf.COM

# NTA # NDR # 试读 # 流量监测与分析
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑