PDF《网络流量异常行为分析系统》

10 技术亮点之:应用深度学习技术挖掘隐藏特征 ? 机器学习的痛点:样本收集、特征总结 ? 对"画像"后的流量应用深度学习,挖掘隐藏特征,用以进一步分析 TCP UDP DNS HTTP DHCP FTP 纵向 横向 …… 连接数 流量 增长率 …. …… 查询频度 成功率 TTL …. …… 从多个维度对流量行为"画像" …. 深度学习多用于计算机视觉,图像处理 潜藏特征自动挖掘 ? ZTE Corporation. All rights reserved

11 技术亮点之:无监督学习,用不同分辨窗口分离异常行为 ? 基线分析的痛点:异常行为引起统计值明显变化时, 才有较好的检测效果 ? 分离异亍大众的"小众",它源亍APT的可能性更大 行为异常检出实际案例,一: 三个终端位于内网;

为了隐蔽,A维护外联通道;

为了可靠,A失 效时,新的"联络者"负责外联. 断定A、B、C同处于一个"朊友圈";

"朊友圈"里的流量"长" 的不可思议的"像" A B C 定期插手,确定"联络者" 内网 Internet 攻击者 ? ZTE Corporation. All rights reserved

12 技术亮点之:多重行为关联,发掘隐蔽的异常行为 A Internet ①HTTP请求 ② HTTP应答 B ③ TCP流④TCP流D1/D2/D3 DHCP Server ①动态请求IP E ②交互 ③再次动态请求IP F ④交互,模式与②很接近 行为异常检出案例,二: A和B间有交互,A与一个WEB站点间有交互;

两种交互持 续胶着;

经分析,A被攻击者作为攻击跳板的可能性非常大 行为异常检出案例,三: IP地址D1\D2\D3属于同一子网,它们与其它多个终端E、F、 G,…间的交互的模式很像,同时穿I有DHCP行为;

经查实, D1\D2\D3是同一终端,它对多台主机的关键端口执 行了低速扫描.为了隐蔽,它会更改自己IP以及MAC ? ZTE Corporation. All rights reserved

13 技术亮点之:马尔科夫随机过程用亍检测资产服务器异常访问 行为异常检出案例,四: A访问朋务器时,始终"登陆页->登陆页"上跳转;

"登陆页- >登陆页"的转移概率仅不到3%,该序列足够"令人惊讶". 经查实,A在尝试不同用户的用户名和密码. Login?ID=XXX 0.03 反复几十次 …… …… 资产朋务器xxx.yyy.com 若干条访问序列最可能的访问序列 0.8 0.6 0.9 0.7 0.9 0.1 0.05 0.2 0.03 0.02 越"令人惊讶",越值得怀疑 ? ZTE Corporation. All rights reserved

14 ZTE中兴,APT检测分析:网络流量异常行为分析系统 ? 部署在南京某大型企业,网内包含5000+PC和20+资产服务器,平均流量为4Gbps ? 检出高风险的行为异常事件30+起,经安全D家逐一核实,误报率10个;

捕获多次高级攻击事件,包括针对该企业多名高管的定向攻击 ? 捕获的高危恶意软件样本,主流杀毒软件(Mcafee)不能当天检出;

部分高危样本与 Virustotal(集成50多家杀毒软件)同步检出甚至更早 谢谢!