康喬網(wǎng)絡(luò)攻擊檢測(cè)系統(tǒng)KQ-NADS(KangQiao-Network Attack Detect System)網(wǎng)絡(luò)攻擊檢測(cè)系統(tǒng)是一種非侵入式系統(tǒng),它從以太網(wǎng)中高速采集并存儲(chǔ)所有通訊數(shù)據(jù)包,同時(shí)進(jìn)行實(shí)時(shí)分析分類記錄所有的網(wǎng)絡(luò)用戶行為數(shù)據(jù)、網(wǎng)絡(luò)通訊數(shù)據(jù)和應(yīng)用訪問數(shù)據(jù),并將采集的數(shù)據(jù)包存儲(chǔ)到磁盤上以備將來攻擊分析取證。
康喬網(wǎng)絡(luò)攻擊檢測(cè)系統(tǒng)KQ-NADS以收集網(wǎng)絡(luò)行為數(shù)據(jù)為基礎(chǔ)數(shù)據(jù)源,檢測(cè)對(duì)特種網(wǎng)絡(luò)對(duì)象和特種網(wǎng)絡(luò)的攻擊行為。這類特種攻擊手段的攻擊檢測(cè)方法:暗網(wǎng)的態(tài)勢(shì)感知技術(shù),針對(duì)暗網(wǎng)空間中通信節(jié)點(diǎn)、服務(wù)、信息及情報(bào)等網(wǎng)絡(luò)資源進(jìn)行探測(cè)感知,描繪出暗網(wǎng)空間實(shí)時(shí)態(tài)勢(shì)圖。研究特種攻擊的形式化描述方法,并為檢測(cè)和防御特種攻擊提供新方法。
康喬網(wǎng)絡(luò)攻擊檢測(cè)系統(tǒng)KQ-NADS將運(yùn)用于各行各業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)之中,特別是政府機(jī)關(guān)、軍事機(jī)構(gòu)、經(jīng)濟(jì)部門的專用網(wǎng)絡(luò),同時(shí)也應(yīng)用于internet網(wǎng)絡(luò)上,幫助網(wǎng)絡(luò)安全管理人員檢測(cè)分析特種攻擊,極大地提高宏觀網(wǎng)絡(luò)的安全性。
康喬網(wǎng)絡(luò)攻擊檢測(cè)系統(tǒng)KQ-NADS高級(jí)網(wǎng)絡(luò)攻擊檢測(cè)引擎 :
KQ-NADS檢測(cè)引擎包括隱蔽攻擊檢測(cè)、僵尸網(wǎng)絡(luò)檢測(cè)、匿名網(wǎng)絡(luò)檢測(cè)等。隱蔽通信檢測(cè)內(nèi)置SSL/TLS攻擊檢測(cè)算法,識(shí)別基于這類協(xié)議的隱蔽攻擊流;僵尸網(wǎng)絡(luò)和匿名網(wǎng)絡(luò)攻擊檢測(cè)模塊通過研究網(wǎng)絡(luò)流的分析算法,提取僵尸網(wǎng)絡(luò)流和匿名網(wǎng)絡(luò)流進(jìn)行分析,發(fā)掘僵尸機(jī)集合及控制服務(wù)器,為僵尸網(wǎng)絡(luò)拓?fù)渲貥?gòu)、取證溯源提供基礎(chǔ)數(shù)據(jù)。
攻擊展示通過對(duì)攻擊分析層數(shù)據(jù)的有效整合,采用攻擊鏈和攻擊樹層次表示模型,對(duì)特種網(wǎng)絡(luò)(僵尸網(wǎng)、匿名網(wǎng)、跳板網(wǎng)、隱蔽通道)等攻擊的路徑及各特種網(wǎng)絡(luò)的靜態(tài)、動(dòng)態(tài)拓?fù)浣Y(jié)構(gòu)進(jìn)行展示,有效重現(xiàn)特種網(wǎng)絡(luò)的拓?fù)浼肮暨^程。
溯源取證通過分析層相關(guān)模塊采集的信息,綜合時(shí)間和空間維度分析,提取攻擊證據(jù)。
康喬網(wǎng)絡(luò)攻擊檢測(cè)系統(tǒng)KQ-NADS隱蔽攻擊檢測(cè):設(shè)計(jì)針對(duì)SSL/TLS加密服務(wù)相關(guān)攻擊的兩階段通用檢測(cè)方法。
康喬網(wǎng)絡(luò)攻擊溯源檢測(cè)系統(tǒng)KQ-NADS采用基于協(xié)議結(jié)構(gòu)與狀態(tài)轉(zhuǎn)移深度驗(yàn)證的識(shí)別方法。從協(xié)議的結(jié)構(gòu)、格式和語(yǔ)法深度驗(yàn)證入手,并引入?yún)f(xié)議狀態(tài)轉(zhuǎn)移驗(yàn)證來全面檢查協(xié)議的合規(guī)性,將偽裝SSL/TLS的私有加密和仿冒協(xié)議識(shí)別出來。
(1)根據(jù)協(xié)議規(guī)范驗(yàn)證否是合法的消息類型、消息內(nèi)部的格式是否符合協(xié)議規(guī)范。
(2)基于有限狀態(tài)自動(dòng)機(jī)的協(xié)議狀態(tài)轉(zhuǎn)移驗(yàn)證。將協(xié)議的狀態(tài)轉(zhuǎn)移通過有限狀態(tài)自動(dòng)機(jī)表示出來,判斷消息出現(xiàn)的順序是否符合協(xié)議握手流程規(guī)范。
康喬網(wǎng)絡(luò)攻擊檢測(cè)系統(tǒng)KQ-NADS深度檢測(cè),針對(duì)通過粗檢測(cè)的SSL/TLS會(huì)話集,基于證書和服務(wù)器可信度對(duì)潛在的惡意加密服務(wù)進(jìn)一步檢測(cè)。
定義: SSL會(huì)話的異常指數(shù)(Anomaly Indicator, AI):AI=CCD+DRP.
康喬網(wǎng)絡(luò)攻擊檢測(cè)系統(tǒng)KQ-NADS證書可信度CCD: 依賴于SSL連接中服務(wù)器證書的屬性,屬性包括每個(gè)證書鏈的根CA證書是否合法可信,自簽名與否、通用名、機(jī)構(gòu)名、地區(qū)名稱、國(guó)家名出現(xiàn)與否,通用名是否匿名化以及有效期長(zhǎng)短等。
服務(wù)器聲譽(yù)DRP: 取決于服務(wù)器名稱對(duì)應(yīng)的域名在AlexaToplOO萬(wàn)站點(diǎn)中的排名情況以及服務(wù)器IP的反向DNS查詢情況。排名靠前的站點(diǎn)服務(wù)器聲譽(yù)高,但會(huì)受到DNS反向解析結(jié)果的影響。
若一個(gè)SSL/TLS會(huì)話是出方向的(outbound),并且服務(wù)器不在黑名單中,那么就計(jì)算SSL會(huì)話的異常指數(shù)(Anomaly Indicator, AI),并據(jù)此判斷是否是惡意攻擊通道。
康喬網(wǎng)絡(luò)攻擊檢測(cè)系統(tǒng)KQ-NADS暗網(wǎng)分析
在深入研究被動(dòng)流分析策略基礎(chǔ)上,設(shè)計(jì)一種基于深度學(xué)習(xí)的指紋攻擊方法,對(duì)暗網(wǎng)分析并溯源,提高分析的準(zhǔn)確性和普適性;通過指紋攻擊,發(fā)現(xiàn)一個(gè)用戶訪問的某個(gè)網(wǎng)站的基本特征,如包長(zhǎng)、包方向等。基于疊加自編碼器結(jié)構(gòu)(下圖)的深度學(xué)習(xí)對(duì)指紋進(jìn)行識(shí)別。疊加自編碼器
康喬網(wǎng)絡(luò)攻擊檢測(cè)系統(tǒng)KQ-NADS基于堆疊式自編碼的深度學(xué)習(xí)感知檢測(cè)模型。首先,康喬網(wǎng)絡(luò)應(yīng)用性能檢測(cè)系統(tǒng)來建立訓(xùn)練數(shù)據(jù)。通過主動(dòng)訪問預(yù)先定義的暗網(wǎng)用戶高概率訪問的網(wǎng)站,反復(fù)捕捉流量數(shù)據(jù);統(tǒng)計(jì)其包長(zhǎng)度、方向?qū)傩蕴卣鳎L(zhǎng)度序列向量、包方向序列向量,作為(疊加)自動(dòng)編碼器的輸入。
其次,從被測(cè)流量中抽取暗網(wǎng)用戶流量,建立包長(zhǎng)度序列向量、包方向序列向量,作為疊加自編碼器的輸入,將輸出序列向量,用KNN算法進(jìn)行指紋匹配,鑒別暗網(wǎng)用戶對(duì)特定網(wǎng)站的訪問特征。
最后,根據(jù)暗網(wǎng)用戶對(duì)網(wǎng)站訪問的空間和時(shí)間的聚類分析,以有效挖掘暗網(wǎng)用戶分布,發(fā)現(xiàn)暗網(wǎng)拓?fù)浣Y(jié)構(gòu)。
康喬網(wǎng)絡(luò)攻擊檢測(cè)系統(tǒng)KQ-NADS僵尸網(wǎng)絡(luò)監(jiān)測(cè)
在分析比較多種僵尸網(wǎng)絡(luò)檢測(cè)技術(shù)了基礎(chǔ)上,針對(duì)僵尸網(wǎng)絡(luò)的本質(zhì)特性,即僵尸程序和命令與控制服務(wù)器(或?qū)Φ赛c(diǎn))通信并執(zhí)行惡意行為,提出一種準(zhǔn)確性高的僵尸網(wǎng)絡(luò)通用檢測(cè)算法。算法首先使用預(yù)過濾規(guī)則對(duì)捕獲的流量進(jìn)行過濾,去掉與僵尸網(wǎng)絡(luò)無(wú)關(guān)的流量以減少分析量,其次對(duì)過濾后的流量屬性進(jìn)行統(tǒng)計(jì),再基于改進(jìn)的X-means的兩步聚類算法,對(duì) C&C 信道的流量屬性進(jìn)行分析與聚類,實(shí)現(xiàn)可疑流的檢測(cè)。算法如下。
(1)康喬網(wǎng)絡(luò)攻擊檢測(cè)系統(tǒng) KQ-NADS流量預(yù)處理由于聚類算法無(wú)法很好地處理噪聲數(shù)據(jù),而受僵尸程序感染的主機(jī)所產(chǎn)生的流量中除了僵尸網(wǎng)絡(luò)C&C 信道所產(chǎn)生的流量,還大部分是正常網(wǎng)絡(luò)的流量,預(yù)先過濾掉與僵尸網(wǎng)絡(luò)流量不相關(guān)的流量。
(2)康喬網(wǎng)絡(luò)攻擊檢測(cè)系統(tǒng) KQ-NADS流聚合 對(duì)具有相同協(xié)議五元組的流進(jìn)行流聚合;
(3)康喬網(wǎng)絡(luò)攻擊檢測(cè)系統(tǒng) KQ-NADS流分析根據(jù)這些流量的平均流個(gè)數(shù)、平均每個(gè)流包含數(shù)據(jù)包個(gè)數(shù)、平均數(shù)據(jù)包長(zhǎng)度、每小時(shí)流個(gè)數(shù)等屬性進(jìn)行統(tǒng)計(jì)對(duì)比。將這些屬性作為聚類指標(biāo)實(shí)現(xiàn)僵尸網(wǎng)絡(luò)流檢測(cè)。
(4)康喬網(wǎng)絡(luò)攻擊檢測(cè)系統(tǒng) KQ-NADS流聚類檢測(cè) 采用改進(jìn)的X-means兩步聚類算法,對(duì) C&C 信道的流量屬性進(jìn)行分析與聚類。
