引言随着商业银行数据中心逐步向开放转型,在提升用户体验、支持场景金融发展的同时,其开放的服务特性也增加了网络安全管控风险,而日益复杂的IT架构也增加了信息系统漏洞和安全漏洞出现的概率。随着网络安全环境的日益复杂和严峻,银行面临着大量不可预知的资产检测、扫描攻击和位置戳记。可以突破体制,突破界限。本文主要介绍如何通过网络流量分析的统计方法,简单快速地分析和发现这些攻击行为。在网络端口扫描检测中的应用1.端口扫描攻击简介攻击者入侵的第一步是掌握目标资产,寻找防御薄弱点作为突破口。各种网口扫描是最常用、最简单、最有效的手段。端口扫描是检测互联网开放端口的有效方法。攻击者向目标服务器的IP地址发送请求,寻找提供服务的端口,然后利用服务中的漏洞进行下一次攻击。端口扫描攻击往往是重大网络攻击的前奏。扫描会在短时间内发起大量的SYN包端口扫描,可能会引起以下几类安全设备的告警:(1)网络防火墙设备上大量并发的SYN请求会把很多对防火墙创建的新会话的性能压力,导致防火墙会话但是由于访问目标分散,半连接会话持续时间短,整体流量小,没有日志记录留在防火墙上,并且几乎不可能找到它们。(2)DDOS抗拒绝服务攻击设备DDOS攻击防护设备通常具有synfloods等各种攻击检测能力。为了减少误报,安全运营商通常需要不断优化和调整。通常,策略设置方法是针对单个系统或目标服务器IP设置,对synflood阈值有一定的容忍度。如果设置过大,某些扫描行为可能不会触发DDOS警报。(3)其他安全设备由于设备本身的保护机制,一般来说,对于比较敏感的安全设备,如果被外部扫描,确实可能会触发相关的安全告警,以便及时发现攻击者的扫描行为,收集相关的攻击。信息。为了避免被发现,一些攻击者通常将扫描率降低到极低的水平,并花费几天的时间慢慢收集信息以防止被发现。这种扫描行为的特点是流量小,会话少,行为隐蔽,不易被发现。除了端口安全扫描,还有基于UDP的DNS扫描、SIP服务扫描等,因为不像TCP协议,有一个链接建立的过程,使得这种扫描更难被发现。2.流量统计分析方法网口扫描的低流量、无会话、源目的地址分散等特点,使得传统的流量分析方法无法及时发现和拦截,但通过对其原理的研究分析,我们不难总结出流量统计数据的特点,几乎所有的端口扫描工具都是基于TCP的半连接模式,速度快,流量小。ACK表示服务器端口是alive的,如果server端口不是active,则没有回传。这种模式下,扫描流量数据一般有两个特点:一是大量无响应的SYN包;另一种是单个IP??地址会访问大量的“IP+端口”服务组合(普通用户一般只会使用网站发布的少量服务)。针对特征1,分析一定时间内SYN数据包的总数和SYNACK数据包的总数。如果发现两者的差异明显增大,说明有端口扫描事件。图2Feature1(Syn-syn/ack)通过对单个client在此期间的syn-syn/acks次数进行排序,可以找到疑似扫描client的真实地址。图3客户端分析排名对于特征2,扫描客户端的判断更为直接。我们把一个“IP+端口”算作一个应用。普通客户端,即使是被互联网模拟监控的节点,访问的“应用数量”也不应该超过网站实际发布的互联网应用数量。如果统计显示访问的“应用数量”某个时间段内(如1小时、3小时、一天或一周等)单个客户端IP远远超过官方发布的互联网门户、小程序、手机APP应用数量,则该客户端IP地址可以基本确认存在异常访问;结合特征1中提到的Syn-syn/ack分析方法进行验证,可以快速确认这些IP地址都属于扫描,而不是正常的用户客户端行为。为此,我们专门设计了一个基于流量数据的自动统计表:图4Feature2Scanclient统计表过滤条件为一天内申请数大于p数的5倍已发布的应用程序,且新会话数小于10的客户端,可以发现表中列出的所有客户端都具有发起大量SYN包,返回包很少的特点。可以判断为异常扫描客户端,无需人工抓包分析,根据情报情况分批拦截。以上筛选条件比较严格,可以100%确定为扫描客户端,结合拦截工具,可以实现自动拦截。这种方法简单易行。扫描地址只能通过两个条件来确定。同时可以在比较大的时间范围内进行搜索统计。变形了。另外,syn-syn/ack指标虽然不能直接检测UDP/ICMP协议的扫描,但也可以在统计表中快速查到(syn-syn/ack为0但申请数量巨大(图5)、通过分析数据包可以看出是SIP扫描或者其他UDP扫描(图6)图5UDP/ICMP扫描客户端图6UDP扫描手动抓包确认应用于DNSflood攻击检测另外为了检测网络端口扫描攻击,DNS扫描也可以通过网络流量统计的方法来发现,DNS是一个典型的基于UDP协议的应用,只要负责查询网站域名和IP地址的关系,就可以可以说非常重要,是攻击者非常喜欢的攻击目标,通常攻击者希望通过向网站的DNS权威服务器发起大量的DNS查询请求,造成au的性能瓶颈权威服务器。但是由于DNS的缓存机制,如果攻击者试图发起大量的注册域名查询,大部分都会被运营商递归。直接返回结果,查询请求无法到达真正的权威服务器。因此,DNSFlood攻击的普遍做法是随机构造权威域的子域名进行查询,使递归服务器的缓存无法生效,从而将所有请求透传给权威服务器。从上面的攻击行为分析可以看出,这种攻击方式必然会导致单个客户端IP查询大量随机域名,通过统计域名数量可以定位攻击源单个IP查询,如下图。图9客户端异常穿越域名场景由于大部分DNS泛洪客户端都是运营商的递归服务器,封禁可能会影响部分用户的正常解析和使用。我们可以继续分析该地址的历史访问曲线,以评估封禁该地址可能带来的影响。如果权威服务器性能够用,建议关注。应用于HTTP攻击检测在应用层攻击检测方面,网络流量统计方法还是可以发挥作用的。对于应用层攻击,攻击者通常会多次测试不同的URL和参数来尝试服务可能存在的漏洞,因此可以通过统计单个客户端访问的URL数量来快速定位攻击者。图10显示了单个客户端访问URL数量的排名。可以明显看出异常客户端尝试了非常多的url。确认可以验证其异常行为(图11)。这种方法对URL目录遍历也有效。图10客户端访问的URL排名图11客户端异常行为确认优点是无需观察单个应用系统,基于整体流量统计发现网络威胁攻击源,为改进提供了新的思路网络安全防御能力。
