(28人评价)
【科来】网络异常行为分析
价格 免费
会员免费学 加入学习

Dos攻击检测分析方法

分布式拒绝服务攻击是当前黑客采取的一个重
要手段,一般通过向互联网的一些重要系统(如:金融网站、政府网站发出大量数据包,使目标主机无法向外提供正常服务。
·简单的单机洪水攻击方式。
·集中大量僵尸主机发动分布式攻击。(DDOS攻击)

 

网络带宽资源耗尽型

Smurf
UDP flood
DNS放大攻击
 
计算机资源耗尽型
ping of death
syn flood

 

DNS放大攻击是一种典型的大流量的拒绝服务攻击,攻击者利用僵尸网络中大量的被控主机,伪装成被攻击主机,在特定时间点连续向多个允许递归查询的DNS服务器发送大量DNS服务请求,迫使其提供应答服务,经DNS服务器放大后的大量应答数据发送到被攻击主机,形成攻击流量,导致其无法提供正常服务甚至瘫痪。

 

 

 

[展开全文]

木马和僵尸网络分析

 

木马

道高一尺,魔高一丈

 

可疑域名被频繁解析

 

 

僵尸网络

利用大量域名《= 有算法计算特征,规避特征库

选择:动态域名、成本低、三不管顶级域名

常见的:*.cc *.ws *.info *.do

[展开全文]

蠕虫是通过网络主动复制自己传播的程序

蠕虫传播途径
邮件糯虫——Loveletter
即时通漏洞——MSN/Worm.MM
操作系统或应用网络漏洞——CodeRed,Nimda
 

蠕虫的网络行为特征
·网络层
·同大量的主机会话
·大多是发包,每个会话流量很少
· 会话层
· 会话连接很多
·大多是发出的TCP SYN包,大部分没有响应或被拒绝


·总体流量不一定很大,但发包远大于收包数量

 

 

 

[展开全文]

网络回溯分析技术

分析数据包,换原入侵过程

way

流量镜像(交换机的流量镜像)

TAP方式(分路器,分光器)

 

流量突发

reason

大数据传输(P2P,迅雷)

配置问题(路由环路、交换环路)

DOS攻击

蠕虫、病毒爆发

主机、操作系统、应用程序错误

网络设备故障

 

蠕虫传播

木马/僵尸网络

DOS攻击

渗透攻击

[展开全文]

DoS攻击监测分析方法。

DoS攻击,分布式拒绝服务攻击。

简单的单机洪水攻击方式。

集中大量僵尸主机发动分布式攻击(DDoS)

攻击类型:

网络带宽耗尽:

Smurf攻击

UDP flood攻击

DNS放大攻击

计算机资源耗尽:

ping of death

syn flood

特征:

出口入网流量/数据包突发。

应用流量突降/应用会话数量突发或突降。

 

 

[展开全文]

木马和僵尸网络分析方法:

道高一尺、魔高一丈

木马上线:

域名解析阶段:可疑域名解析请求。

上线连接阶段:可疑外网通信对象,频繁对外连接请求。

上线后:可疑长连接,周期性心跳,特征编码,隐蔽信道传输。

僵尸网络:域名隐蔽性要求更高。

 

[展开全文]

蠕虫分析方法:

传播途径:邮件蠕虫、即时通蠕虫、操作系统或应用网络漏洞。

行为特点:

扫描网络主机:

网络层:大量主机会话,大多是发包,每个会话流量很少。

会话层:会话连接很多,大多是SYN包,大部分没有响应或被拒绝。

总体流量不一定很大,但发包远大于收包数量。

蠕虫传播:

扫描阶段:TCP握手包数量异常、IP会话数异常、持续性扫描。

渗透传播阶段:同一目标多次会话、会话内容编码可疑。

[展开全文]

流量突发分析方法:

1.影响:

导致网络拥塞(利用率长时间超过70%);

产生丢包、延时、抖动、质量下降;

造成网络无法提供正常服务(利用率接近100%)。

2.原因:

 突发大数据传输,尤其是P2P应用;

网络设备配置问题(路由、交换环路等);

DoS攻击;

蠕虫、病毒爆发;

网络设备故障等等。

3.监测分析方法:

找到流量突发源头:有无明显大流量应用、主机、会话等。

进一步判断原因:网络行为分析:P2P?DoS?

数据包解码分析。

 

 

 

 

[展开全文]

DOS攻击监测分析方法

DoS攻击原理:

 

[展开全文]

网络回溯分析技术:以数据包为基础

入侵检测,行为审计:制定好规则,对网络行为进行匹配

回溯分析技术的核心作用:

了解:

1:网络和应用运行规律

2:用户网络行为

发现:

1:发现隐患征兆

2:异常通讯行为特征

证明:

1:历史数据回溯

2:数字取证依据

 

回溯分析技术获取网络流量的方式:

1:通过交换机的流量镜像功能获取网络流量

2:通过分路器,分光器直接获取网络链路上的物理信号从而获取网络流量

回溯分析技术在网络安全领域的应用:

1:提供透视网络行为和事件追溯的重要手段

2:发现并追踪定位可疑通信行为

a:流量突发

b:蠕虫传播

c:木马僵尸网络

d:dos攻击

e:渗透攻击等

3:各类安全设备警报事件分析验证:验证报警是不是误报

4:恶意样本网络行为特征分析等

 

流量突发检测分析方法:

流量突发的影响:

1:导致网络堵塞

2:产生丢包,延时,抖动,网络质量下降

3:造成网络无法提供正常服务

造成原因:

1:突发大数据传输

2:网络设备配置问题

3:DOS攻击

4:蠕虫,病毒的爆发

5:主机,操作系统,应用程序异常

6:网络设备故障等

首先流量突发源头:有无明显的大流量的应用,主机,会话

进一步判断突发流量产生的原因:

1:网络行为分析:正常应用,DOS攻击

2:仅通过流量统计参数往往不能准确判断通讯行为,就需要配合原始数据包解析协助定位.

然后定位流量突发源

 

蠕虫检测分析方法:

蠕虫是通过网络主动复制自己传播的程序

蠕虫传播途径:

1:邮件蠕虫-Loveletter

2:即时通漏洞

3:操作系统或应用程序的网络漏洞

蠕虫的网络行为特征:

1:网络层-单点跟大量主机会话,大量发包,每个会话流量很少

2:会话层:很多的TCP会话,大多数发送TCP SYN包,大部分没有响应或被拒绝

3:总体流量不一定很大,单发包远大于收包数量

蠕虫传播:

1:扫描阶段

传输层TCP握手包数量异常

网络层IP会话数异常

持续性扫描

2:渗透传播阶段

同一目标多次会话

会话内容编码可疑

 

木马和僵尸网络的监测分析方法

木马行为特征

木马上线:

1:域名解析阶段-可疑域名解析请求

2:上线链接阶段-可疑外网通信对象,频繁对外链接请求

3:上线后:可疑长链接,周期性心跳,特征编码,隐蔽信道传输

僵尸网络特征

DNS域名解析

[展开全文]

网络回溯分析技术:以数据包为基础

入侵检测,行为审计:制定好规则,对网络行为进行匹配

回溯分析技术的核心作用:

了解:

1:网络和应用运行规律

2:用户网络行为

发现:

1:发现隐患征兆

2:异常通讯行为特征

证明:

1:历史数据回溯

2:数字取证依据

 

回溯分析技术获取网络流量的方式:

1:通过交换机的流量镜像功能获取网络流量

2:通过分路器,分光器直接获取网络链路上的物理信号从而获取网络流量

回溯分析技术在网络安全领域的应用:

1:提供透视网络行为和事件追溯的重要手段

2:发现并追踪定位可疑通信行为

a:流量突发

b:蠕虫传播

c:木马僵尸网络

d:dos攻击

e:渗透攻击等

3:各类安全设备警报事件分析验证:验证报警是不是误报

4:恶意样本网络行为特征分析等

 

流量突发检测分析方法:

流量突发的影响:

1:导致网络堵塞

2:产生丢包,延时,抖动,网络质量下降

3:造成网络无法提供正常服务

造成原因:

1:突发大数据传输

2:网络设备配置问题

3:DOS攻击

4:蠕虫,病毒的爆发

5:主机,操作系统,应用程序异常

6:网络设备故障等

首先流量突发源头:有无明显的大流量的应用,主机,会话

进一步判断突发流量产生的原因:

1:网络行为分析:正常应用,DOS攻击

2:仅通过流量统计参数往往不能准确判断通讯行为,就需要配合原始数据包解析协助定位.

然后定位流量突发源

 

蠕虫检测分析方法:

蠕虫是通过网络主动复制自己传播的程序

蠕虫传播途径:

1:邮件蠕虫-Loveletter

2:即时通漏洞

3:操作系统或应用程序的网络漏洞

蠕虫的网络行为特征:

1:网络层-单点跟大量主机会话,大量发包,每个会话流量很少

2:会话层:很多的TCP会话,大多数发送TCP SYN包,大部分没有响应或被拒绝

3:总体流量不一定很大,单发包远大于收包数量

蠕虫传播:

1:扫描阶段

传输层TCP握手包数量异常

网络层IP会话数异常

持续性扫描

2:渗透传播阶段

同一目标多次会话

会话内容编码可疑

 

 

[展开全文]

网络回溯分析技术:以数据包为基础

入侵检测,行为审计:制定好规则,对网络行为进行匹配

回溯分析技术的核心作用:

了解:

1:网络和应用运行规律

2:用户网络行为

发现:

1:发现隐患征兆

2:异常通讯行为特征

证明:

1:历史数据回溯

2:数字取证依据

 

回溯分析技术获取网络流量的方式:

1:通过交换机的流量镜像功能获取网络流量

2:通过分路器,分光器直接获取网络链路上的物理信号从而获取网络流量

回溯分析技术在网络安全领域的应用:

1:提供透视网络行为和事件追溯的重要手段

2:发现并追踪定位可疑通信行为

a:流量突发

b:蠕虫传播

c:木马僵尸网络

d:dos攻击

e:渗透攻击等

3:各类安全设备警报事件分析验证:验证报警是不是误报

4:恶意样本网络行为特征分析等

 

流量突发检测分析方法:

流量突发的影响:

1:导致网络堵塞

2:产生丢包,延时,抖动,网络质量下降

3:造成网络无法提供正常服务

造成原因:

1:突发大数据传输

2:网络设备配置问题

3:DOS攻击

4:蠕虫,病毒的爆发

5:主机,操作系统,应用程序异常

6:网络设备故障等

首先流量突发源头:有无明显的大流量的应用,主机,会话

进一步判断突发流量产生的原因:

1:网络行为分析:正常应用,DOS攻击

2:仅通过流量统计参数往往不能准确判断通讯行为,就需要配合原始数据包解析协助定位.

定位流量突发源:

 

 

 

 

[展开全文]

蠕虫的网络行为特征:

  • 网络层
  1. 同大量的主机会话
  2. 大多是发包
  • 会话层
  1. 会话连接很多
  2. 大多是发出的TCP SYN包,大部分没有响应或被拒绝
  • 总体流量不一定很大,但是发包远大于收包量
[展开全文]

流量突发的成因:

  • 突发大数据传输,尤其是P2P应用
  • 网络设备配置问题(路由环路、交换环路)
  • Dos攻击
  • 蠕虫、病毒爆发
  • 主机、操作系统、应用程序异常
  • 网络设备故障等等

 

首先找到流量突发源头

  • 有无明显大流量的应用
  • 有无明显大流量的主机
  • 有无明显大流量的会话
[展开全文]

木马:阻止植入,特征匹配;防病毒网关;有漏洞无法阻止木马植入;木马免杀处理,绕过杀毒软件查杀;

域名解析(解析频繁)、上线连接阶段(对外连接请求频繁)、上线后(会话时长几个小时、几天;特征编码;隐蔽信道传输;)

僵尸网络:传播(蠕虫、挂马)、感染、集合、接受控制(C&C服务器下发命令)

特征:是否有算法计算的特征,会产生大量奇怪的

[展开全文]

蠕虫:可以主动复制自己在网络中传播

途径:邮件、即时通讯(QQ、微信)、操作系统漏洞、应用程序漏洞(红色代码病毒,WEB服务器出现异常)

感染蠕虫而不自知

被感染主机特点:扫描端口:目标主机的某端口;1、TCP请求无人应答,大多为发包;2、会话连接多,大多是发出的TCP SYS包   3、持续性扫描;渗透阶段:同一目标多次会话

特点:1、TCP同步包和同步确认包的差异多少,比例超过10%就可能有问题,2、随机地址,大量的数据包数量相同(少于6个包,连文件夹都看不到,有问题),微软文件共享是加密的,但部分认证是ASCII编码   字节报警,一般64B,设置为小于128B

[展开全文]

流量异常行为分析与入侵防御、入侵检测不同,流量异常行为分析是进行回溯,入侵防御、入侵检测是根据规则匹配异常,比如端口扫描异常之后不知后面发生什么事情,但是异常行为分析可以分析出来后期又发生了什么事情

科来流量分析系统

 

[展开全文]