大规模网络安全监测平台 [邹涛]

【猪哥靓】
1 ℃
2019-09-30

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

大规模网络安全监测平台国家计算机网络应急技术处理协调中心（CNCERT/CC）2005年3月25日NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina要点¾Why？9为什么需要一个这样的平台?¾What？9我们需要的是一个什么样的平台?¾Effect！9平台在实际中发挥的作用!NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina要点¾Why？9需求与意义¾What？9我们需要的是一个什么样的平台?¾Effect！9平台在实际中发挥的作用!NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina平台建设的需求与意义¾互联网的安全直接关系到国家各种关键基础设施的安全，从而直接影响到整个国家的政治、经济、军事和社会的安全。¾近年来，计算机安全事件，尤其是大规模蠕虫事件呈现不断增长的趋势。¾大规模新型网络蠕虫，可以在极短的时间（几十分钟，甚至十几分钟）内造成世界范围的大面积网络或者应用瘫痪，从而导致不可估量的损失。NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina平台建设的需求与意义¾响应时间是关键9传统方法：数天时间；9协调制度的方式（建立专门的组织和固定的联系渠道）：几小时之内；9但仍然不能满足当前网络安全的实际需要。¾历史教训92001年CodeRed/Nimda事件急需建设一个国家级的大规模网络安全监测平台NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina要点¾Why？9需求与意义¾What？9平台的实现9平台的能力9工作流程¾Effect！9平台在实际中发挥的作用!NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina平台的实现¾特点：大规模9分布式的数据获取、数据来源的多源性采样的合理性？数据获取与分析之间的关联性•数据类型影响分析方法•分析过程中必须考虑数据采样的统计分布特点9数据分析与处理的综合性关联分析、统计分析数据/信息融合NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina平台的实现¾构建平台的几种方案9蜜罐honeypot真实IPÆ获得真实样本未分配的IPÆ扫描（JPCERT—ISDAS）9NetflowIpsrc、Ipdst、srcPort、dstPort、protocol、TOS、IfindexTopN！应用：异常流量的检测与分析、通过源和目的IP追踪异常9其他……NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina平台的能力¾从时间顺序上看9已知特征或者模式安全事件的监测模式匹配9未知安全事件的发现与预警流量监测¾从事件规模上看9宏观大规模安全事件的监测9微观中等规模、小规模重大安全事件的发现能力宏观与微观的矛盾，处理能力是瓶颈NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina工作流程¾分布式的数据获取¾高效的数据预处理¾综合性的数据分析9关联分析+验证Æ安全事件的确认9IP定位Æ准确的定位：攻击者、受害者9IP定位+GISÆ感染范围和速度9综合分析Æ控制效果、对网络的影响情况¾多样化的、直观的结果显示9表格、曲线、态势图NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina要点¾Why？9需求与意义¾What？9我们需要的是一个什么样的平台?¾Effect！9平台在实际中发挥的作用!NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina917网络安全监测平台集中监控中心NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina实际效能¾已经发现和处理过多次安全事件9冲击波9震荡波9Witty9木马9MyDoom9……NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina实例.流量：LSASS系列蠕虫震荡波等利用LSASS漏洞的蠕虫爆发前后(445端口流量/IP协议流量)变化趋势图0.00%0.50%1.00%1.50%2.00%2.50%3.00%3.50%时间4-21_84-23_84-25_84-27_84-29_85-1_85-3_85-5_85-7_85-9_85-11_85-13_85-15_85-17_85-19_85-21_85-23_85-25_85-27_85-29_85-31_8震荡波蠕虫爆发大选杀手和博巴克斯蠕虫相继出现高波蠕虫出现NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina实例.流量：Witty蠕虫Witty蠕虫爆发时源端口4000的流量变化（2004年3月）05010015020025019日0点19日3点19日6点19日9点19日12点19日15点19日18点19日21点20日0点20日3点20日6点20日9点20日12点20日15点20日18点20日21点21日0点21日3点21日6点21日9点21日12点21日15点21日18点21日21点22日0点22日3点时间(s)流量(M)峰值流量194M/sNationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina实例.特征：木马中国大陆地区被植入木马地址按省地区分布图（2004年）山东5%天津3%其他11%江苏3%北京44%辽宁14%广东5%新疆4%山西4%内蒙古4%河南3%对中国大陆地区木马攻击主机地址按国家和地区分布图（2004年）其他14%美国18%台湾省23%香港17%俄联邦11%韩国6%日本5%加拿大4%德国2%NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina实例.特征：恶意代码监测398IIS-DECODE510398IIS-DECODE193118IIS-DECODE3824125IIS-Worm.CodeRed.c73208IIS-unicode263296systempath53297systempath43324IIS-DECODE433415shellcommand21524175643Worm.Win32.WelChia.Scan1源节点数发现次数病毒名名次¾时间：2004年6月11日NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina2004年6月3日~5日PCT协议远程缓冲区溢出漏洞数据CNCERT/CCGIS显示系统—蠕虫传播进程NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina实例.流量：蠕虫引起流量异常¾2004年3月9日下午发现9整个流量涨幅较大9并且UDP数据超过TCP和HTTP的流量¾定为异常9启动进一步分析9发现大量报文目的端口为1434¾报文分析确认为SQLSLAMMERNationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina蠕虫形成的数据报文分布属性¾SQLSLAMMER攻击报文的分析结果：9目的地址十分分散9源地址相对比较集中9UDP，目的端口1434¾Witty蠕虫由于其自身特点，表现得更加明显NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina实例.分布：DDoS形成的分布属性¾2004年4月16日发现ICMPtype=0流量上升异常¾进一步分析，发现Ping回答数据量不正常，对报文属性分析认为是对目的地址（美国）的一次PingFlood攻击PING回答数据0200040006000800010000120001400016000180002000015-7:0015-9:0015-11:0015-13:0015-15:0015-17:0015-19:0015-21:0015-23:0016-1:0016-3:0016-5:0016-7:0016-9:0016-11:0016-13:00NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina其他实例¾……¾请参阅2004年CNCERT/CC网络安全工作报告¾或访问：谢谢！@cert.org.cn