CN112398844A

CN112398844A - 基于内外网实时引流数据的流量分析实现方法

Info

Publication number: CN112398844A
Application number: CN202011250022.5A
Authority: CN
Inventors: 王激华; 王彬栩; 陈建武; 杨跃平; 李鹏; 杨扬; 陈定会; 黄致远; 焦阳; 刘可龙; 吴昊; 葛凯梁
Original assignee: Innovation And Entrepreneurship Center Of State Grid Zhejiang Electric Power Co ltd; Ningbo Power Supply Co of State Grid Zhejiang Electric Power Co Ltd
Current assignee: Innovation And Entrepreneurship Center Of State Grid Zhejiang Electric Power Co ltd; Ningbo Power Supply Co of State Grid Zhejiang Electric Power Co Ltd
Priority date: 2020-11-10
Filing date: 2020-11-10
Publication date: 2021-02-23

Abstract

本申请实施例提出了基于内外网实时引流数据的流量分析实现方法，包括构建可信交换防御系统，将内网和外网进行隔离和引流，对内网和外网分别进行数据监测，判断是否有异常状况出现；如果内网和外网出现引流异常，接入第三方进行包括蜜罐诱捕的交互处理；借助数据采集器对引入的流量进行原始采集，并通过数据传输通道构建原始网络流量数据矩阵；将实时引流的数据进行两次数据采集并汇总，确定引流时的流量矩阵；将原始网络流量数据矩阵与引流时的流量矩阵进行对比，对引流的流量数据和进行特征匹配和访问统计。通过监测内外网的引流异常状况可及时对内外网引流处理，第三方交互有两种接入方式，适用于不同流量大小的状况，增强系统的安全防护能力。

Description

基于内外网实时引流数据的流量分析实现方法

技术领域

本申请属于数据分析领域，尤其涉及基于内外网实时引流数据的流量分析实现方法。

背景技术

在当今瞬息万变的信息时代，所有行业越来越依赖日益互联的各种网络，政府、金融、企业以及个人的重要信息都存储在数据中心，这将面临着网络安全带来的严峻挑战。

无论是窃取私人信息还是破坏他人声誉，无论是摧毁政府关键基础设施还是让企业处于风险之中，当今的网络犯罪分子正在不断试探网络的安全性和适应性的底线。尽管技术的发展，随着计算能力、存储能力的大幅度提升，同时“南北”向流量通过边界安全防护已经得到极大的保护，但是“东西”流量的安全，始终是安全防护最薄弱的地方。内部攻击成为了内部安全最大的风险。2017年开始的勒索病毒更是撕开了“东西”向流量防护的缺口，任意攻击破坏，给内网安全带来了极大的风险。

发明内容

为了解决现有技术中存在的缺点和不足，本申请提出的基于内外网实时引流数据的流量分析实现方法，

具体的，本实施例提出的基于内外网实时引流数据的流量分析实现方法，包括：

构建可信交换防御系统，经可信交换防御系统引入内网、外网的流量，对内网、外网的流量进行初步拦截和区域划分；

将内网和外网进行隔离和引流，对内网和外网分别进行数据监测，判断是否有异常状况出现；

如果内网和外网出现引流异常时，接入第三方进行包括蜜罐诱捕的交互处理；

经可信交换防御系统将来自内网和外网的流量引流至第三方交互式蜜罐或其他安全检测设备；

借助数据采集器对引入的流量进行原始采集，并通过数据传输通道构建原始网络流量数据矩阵；

将实时引流的数据进行两次数据采集并汇总，确定引流时的流量矩阵；

将原始网络流量数据矩阵与引流时的流量矩阵进行对比，对引流的流量数据和进行特征匹配和访问进行统计。

可选的，所述如果内网和外网出现引流异常时，接入第三方进行包括蜜罐诱捕的交互处理,包括：

内置的网卡芯片阵列基于网络层创建用于构建欺骗环境蜜罐诱捕方式；

对已构建的蜜罐诱捕方式进行诱捕优化处理。

可选的，所述对已构建的蜜罐诱捕方式进行诱捕优化处理，包括：

利用低交互式和高交互式两种蜜罐法对诱捕环境进行优化。

可选的，所述低交互式蜜罐模拟网络服务响应，模拟漏洞，控制攻击，捕获已知攻击，高交互式蜜罐提高的安全威胁可适性，增强数据获取能力、伪装性。

可选的，所述对已构建的蜜罐诱捕方式进行诱捕优化处理中每个由蜜罐产生的包都通过个性化引擎，引入操作系统特定的指纹，让Nmap/Xprobe进行识别，使用Nmap指纹库作为TCP/UDP连接的参考，使用Xprobe指纹库作为ICMP包的参考。

可选的，所述方法包括：

当引流流量的矩阵为低秩矩阵时，则表示引流时的流量矩阵为正常流量矩阵，不存在异常流量或网络攻击；

当引流流量的矩阵为稀疏矩阵时，则表示引流时的流量矩阵为异常流量矩阵，然后判断是否矩阵所有元素是否为零，当矩阵所有元素为零时，表示不存在异常流量或网络攻击，当矩阵不是所有元素都为零时，则表示可能存在异常流量或者网络攻击。

可选的，所述方法包括：

在对引流数据进行采集后，需要对两次检测的数据进行对比，当两次数据相近时则确定引流时的流量矩阵。

可选的，所述方法包括：

在进行数据矩阵对比时，也对引流的流量数据进行特征匹配，同时也对引流的流量数据的访问进行统计；

通过数据采集器，将统计后的数据进行采集。

可选的，所述方法包括：

确定不存在异常流量或网络攻击时，将引流的流量数据中的特征匹配和访问进行检测；

若未出现异常时，则表示为访问安全，若出现异常访问时，则发出警告。

可选的，所述方法包括：

确定存在异常流量或网络攻击时，将引流的流量数据中的特征匹配和访问进行检测；

若未出现异常时，则表示为访问安全，若出现异常访问时，也发出访问异常警告。

本申请提供的技术方案带来的有益效果是：

将原始网络流量数据矩阵与引流时的流量矩阵进行对比，对引流的流量数据和进行特征匹配和访问统计。通过监测内外网的引流异常状况可及时对内外网引流处理，第三方交互有两种接入方式，适用于不同流量大小的状况，增强整个系统的安全防护能力。

附图说明

为了更清楚地说明本申请的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还根据这些附图获得其他的附图。

图1为本申请实施例提出的基于内外网实时引流数据的流量分析实现方法的流程示意图。

具体实施方式

为使本申请的结构和优点更加清楚，下面将结合附图对本申请的结构作进一步地描述。

实施例一

本申请实施例提出的基于内外网实时引流数据的流量分析实现方法，如图1所示，包括：

11、构建可信交换防御系统，经可信交换防御系统引入内网、外网的流量，对内网、外网的流量进行初步拦截和区域划分；

12、将内网和外网进行隔离和引流，对内网和外网分别进行数据监测，判断是否有异常状况出现；

13、如果内网和外网出现引流异常时，接入第三方进行包括蜜罐诱捕的交互处理；

14、经可信交换防御系统将来自内网和外网的流量引流至第三方交互式蜜罐或其他安全检测设备；

15、借助数据采集器对引入的流量进行原始采集，并通过数据传输通道构建原始网络流量数据矩阵；

16、将实时引流的数据进行两次数据采集并汇总，确定引流时的流量矩阵；

17、将原始网络流量数据矩阵与引流时的流量矩阵进行对比，对引流的流量数据和进行特征匹配和访问进行统计。

在实施中，在实施中，基于内外网实时引流数据的流量分析实现方法包括如下步骤：

构建可信交换防御系统，通过可信交换防御系统将内外网的流量引入，进行初步拦截和区域划分；

第三方交互接入，将内网和外网出现引流异常时，将第三方接入进行交互处理，第三方的接入方式为两种；

蜜罐诱捕，通过内置的网卡芯片阵列基于网络层创建，占用可信交换防御系统本身的计算资源较少，利用蜜罐法构建欺骗环境；

诱捕优化，利用低交互式和高交互式两种蜜罐法对诱捕环境进行优化，提高诱捕效果，采用个性化引擎使得虚拟蜜罐更加真实；

进一步地，可信交换防御系统能主动监测网络中的流量，自动梳理出内网中各类资产的逻辑应用关系，快速、主动的创建出整个网络中的可信访问模版，管理员可以很方便的基于模版，根据需求调整可信访问策略，划分微隔离区域。可信交换防御系统以接入层交换机的角色接入网络，交换口接入真实服务器或终端，将控制节点下沉到各服务器的接入端口，实现端到端级别的微隔离功能。

进一步地，通过可信交换防御系统可以将来自内网和外网的流量引流至第三方交互式蜜罐或其他安全检测设备，以便进一步分析可疑流量，过此种方法，无需用户在网络中部署大量的交互式蜜罐。

第三方交互接入方式为：可信交换防御系统以汇聚层交换机的角色接入网络。构建欺骗环境时对可疑流量进行数据控制和数据捕获，管理欺骗环境的配置，对可疑流量进行诱捕。可信交换防御系统的攻击防御模块为2层。低交互式蜜罐模拟网络服务响应，模拟漏洞，控制攻击，捕获已知攻击，高交互式蜜罐提高的安全威胁可适性，增强数据获取能力、伪装性。每个由蜜罐产生的包都通过个性化引擎，引入操作系统特定的指纹，让Nmap/Xprobe进行识别，使用Nmap指纹库作为TCP/UDP连接的参考，使用Xprobe指纹库作为ICMP包的参考。分析欺骗环境的配置管理，通过旁路部署内部的自学习功能对内网的应用关系进行可视化展示用作维护依据，并对数据进行记录和存储。

上述方法适用于流量较大的基于内外网实时引流数据的流量分析实现方法。

步骤14至步骤17的指定内容具体包括：

将原始网络流量数据矩阵与引流时的流量矩阵进行对比，对引流的流量数据和进行特征匹配和访问进行统计；

在实施中，提及到的可信交换防御系统自动获取网络中的流量信息，判断各类网络资产之间的业务数据流量关系。

具体的，在执行采集过程中，在进行原始数据采集统计时，需要进行五次数据采集，并将采集后的数据进行统计，对汇总后的数据进行对比，并选取数据中间值。

在进行原始数据采集统计时选取中间值前，先将两端的数据进行舍弃，不将两端的数据值放入参考范围内。

另外，所述方法包括：

两次引流数据差异较大时，再进行一次数据采集；

通过第三次数据采集出的数据与前两次的数据进行对比，当有两组数据相近时，则选取相近的两次数据中的一组确定引流时的流量矩阵。

通过数据采集器，将统计后的数据进行采集。

如果在执行上述方法过程中，出现确定不存在异常流量或网络攻击时，将引流的流量数据中的特征匹配和访问进行检测；

进一步的，如果确定存在异常流量或网络攻击时，将引流的流量数据中的特征匹配和访问进行检测；

对应的，确定存在异常流量或网络攻击时，通过与原始数据对比排查，将异常流量或网络攻击标出，进行维护、防御或杀毒。

当前网络安全的防御设备，一般包括防火墙、入侵防御系统、防毒墙、Web应用防火墙等安全设备都部署在网络的出口位置或者某个网络区域的边界处，无法对内网“东西”向网络流量做过滤与访问控制。一旦攻击者利用0day漏洞或者加密协议对攻击载荷进行传输，传统的“东西”向安全设备就无法对攻击进行拦截，导致来自内网的攻击没有较好的防御手段。

仅依靠防火墙、网关、IPS、IDS、WAF、APT等传统的被动式防御手段已经难以应对当前网络人为攻击，且容易被攻击者及勒索病毒利用，扫描漏洞、打补丁的传统思路已不利于整体安全。随着等保2.0体系、可信计算体系3.0的提出，在整个安全管理理念上做出了非常深刻的变革，在这样的背景下，应运而生了可信交换防御系统。

作为可信交换防御系统，至少应具备以下属性：

面向具体的应用场景和安全要求，对重要网络资产进行重构，形成定制化的新的可信体系结构；识别(确定可信主、客体)；控制(制定可信主、客体间访问规则)；报警(审计主客体访问行为，监控主客体运行时状态)；能够迅速发现勒索病毒等恶意程序的行为，并有效及时的进行遏止，或将勒索病毒等恶意程序的风险控制在一个较小的范围内，如一个微隔离区域内；支持虚拟化云架构。

可信交换防御系统自动获取网络中的流量信息，判断各类网络资产之间的业务数据流量关系。通过一个阶段的东西向流量的自学习，并将这些信息汇总后，由策略计算绘制出一个完整的业务流模型图，辅助管理者对整个内网进行管理。

可信交换防御系统通过自主流量建模后，会根据可信访问列表建立基于白名单的访问控制策略。把普通区域、重点区域等各种逻辑网络进行隔离，避免了不安全因素的扩散，只有合理的划分了网络区域，安全策略也可以更有效的实施。可信交换防御系统会立即拦截全息捕获的非可信IP，阻止其访问真实主机；可信交换防御系统不会拦截非可信IP继续访问陷阱主机，继续让非可信IP对陷阱进行各种操作，不让非可信IP有所察觉，留存更多痕迹以便进一步观察和判断；可信交换防御系统通过旁路方式部署时，可以与第三方主流交换机进行联动，当诱捕到非可信IP后，主动推送ALC到第三方交换机进行拦截、阻断。

可信交换防御系统内置了完善的2—7层攻击防御模块，基于攻击特征的检测技术对经过系统的流量进行过滤，实时发现并拦截各种已知的攻击：系统漏洞利用、Web应用攻击、蠕虫木马等等。

可信交换防御系统为客户定位各种网络威胁，以及违反安全策略的流量，并提供详实、有效的指导措施，进而实现防护—检测—响应一体化的解决方案。通过可信交换防御系统可以将来自内网和外网的流量引流至第三方交互式蜜罐或其他安全检测设备，以便进一步分析可疑流量。通过此种方法，无需用户在网络中部署大量的交互式蜜罐，可以大大降低部署交互式蜜罐的人力、物力和财力成本。

可信交换防御系统采用快速重构可信架构。大多数据中心对外提供的服务一般来说都是属于已知的，有限的，无论是实施人员还是管理人员很容易梳理清楚。但是在内网中，信息资产的种类繁多、权限不一、各类应用之间的数据交互及流向复杂、网络中存在各种私有协议和应用，要将这些内容进行完整、准确的进行梳理，需要投入大量的人力，物力，以及各业务部门、各厂商的相互协调才能顺利完成。可想而知，要完成这样一个庞大的工作，投入的人力成本、沟通成本、时间成本无疑是非常巨大的。

通过微隔离对网络东西向进行安全管控是目前最有效的手段，而如果要进行准确的微隔离，就必须对资产进行梳理，根据业务的逻辑关系、业务之间的数据流向、协议来进行隔离，构建一个完整、准确的可信访问架构，而对于大多数管理员来说，这样的工作难度可想而知。

可信交换防御系统其中一大功能就是能够主动监测网络中的流量，自动梳理出内网中的资产以及各类资产的逻辑应用关系，使得业务流可视化，从而快速、主动的创建出整个网络中的可信访问模版，管理员可以很方便的基于模版，根据需求调整可信访问策略，划分微隔离区域。虚拟的陷阱主机不依靠传统的计算资源(CPU、内存)通过虚拟化方式创建，而是通过内置的网卡芯片阵列基于网络层创建，因此即便启用了大量的陷阱主机，占用可信交换防御系统本身的计算资源也不会超过1％。

基于微隔离功能，当微隔离区域中某台主机被植入了勒索病毒等恶意程序，勒索病毒只会在微隔离区域的范围内进行感染尝试，同时在可信白名单机制已经建立的情况下，如果勒索病毒利用的端口已经被屏蔽访问，那么勒索病毒无法造成更大的影响；如果勒索病毒利用的端口没有被屏蔽访问，那么勒索病毒也只能感染微隔离区域中开启该端口的其他主机，从而将勒索病毒的影响范围控制到最小范围。

基于全息诱捕技术，当某台主机被植入了勒索病毒等恶意程序，当勒索病毒开始感染时，必然会去尝试感染陷阱主机，此时，可信交换防御系统会立刻将该主机在接入的物理端口处进行阻断并在系统中告警。

通过上述的双重机制，可信交换防御系统可以有效的对内网中的勒索病毒等恶意程序进行有效的发现和处置。

可信交换防御系统的部署方式主要有如下四种：

接入层分布式部署(硬件推荐部署方式)：可信交换防御系统以接入层交换机的角色接入网络，交换口接入真实服务器或终端，将控制节点下沉到各服务器的接入端口，实现端到端级别的微隔离功能、全息诱捕功能，多个可信交换防御系统可以通过集群方式进行统一管控、下发策略。如下图所示：

汇聚层部署：可信交换防御系统以汇聚层交换机的角色接入网络，通过Trunk模式连接核心层与接入层，可实现接入层各主机之间的微隔离和全息诱捕功能。

多VLAN接入层部署：此部署方式适用与用户网络环境中已经在原先的交换机划分了多个VLAN，可信交换防御系统接入原交换机的下行位置，开启VLAN功能，每个VLAN包含两个物理接口，接口模式为Access，一路接入上行交换机的对应VLAN的Access口，一路连接主机。可实现接入主机之间端到端级别的微隔离功能、全息诱捕功能，多个可信交换防御系统可以通过集群方式进行统一管控、下发策略，用户无需对其原有拓扑结构进行调整。如下图所示：

旁路部署：可信交换防御系统旁路方式，可通过开启全息诱捕功能，可在所有网段部署陷阱主机进行诱捕，可将内网流量镜像至可信交换防御系统的镜像口，通过自学习功能可对内网的应用关系进行可视化展示用作维护依据。

上述实施例中的各个序号仅仅为了描述，不代表各部件的组装或使用过程中的先后顺序。

以上所述仅为本申请的实施例，并不用以限制本申请，凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

Claims

1.基于内外网实时引流数据的流量分析实现方法，其特征在于，所述方法包括：

2.根据权利要求1所述的基于内外网引流异常的第三方交互式蜜罐分析方法，其特征在于，所述如果内网和外网出现引流异常时，接入第三方进行包括蜜罐诱捕的交互处理,包括：

对已构建的蜜罐诱捕方式进行诱捕优化处理。

3.根据权利要求2所述的基于内外网引流异常的第三方交互式蜜罐分析方法，其特征在于，所述对已构建的蜜罐诱捕方式进行诱捕优化处理，包括：

利用低交互式和高交互式两种蜜罐法对诱捕环境进行优化。

4.根据权利要求3所述的基于内外网引流异常的第三方交互式蜜罐分析方法，其特征在于，所述低交互式蜜罐模拟网络服务响应，模拟漏洞，控制攻击，捕获已知攻击，高交互式蜜罐提高的安全威胁可适性，增强数据获取能力、伪装性。

5.根据权利要求2所述的基于内外网引流异常的第三方交互式蜜罐分析方法，其特征在于，所述对已构建的蜜罐诱捕方式进行诱捕优化处理中每个由蜜罐产生的包都通过个性化引擎，引入操作系统特定的指纹，让Nmap/Xprobe进行识别，使用Nmap指纹库作为TCP/UDP连接的参考，使用Xprobe指纹库作为ICMP包的参考。

6.根据权利要求1所述的基于内外网实时引流数据的流量分析实现方法，其特征在于，所述方法包括：

7.根据权利要求1所述的基于内外网实时引流数据的流量分析实现方法，其特征在于，所述方法包括：

8.根据权利要求1所述的基于内外网实时引流数据的流量分析实现方法，其特征在于，所述方法包括：

通过数据采集器，将统计后的数据进行采集。

9.根据权利要求1所述的基于内外网实时引流数据的流量分析实现方法，其特征在于，所述方法包括：

10.根据权利要求1所述的基于内外网实时引流数据的流量分析实现方法，其特征在于，所述方法包括：