利用流計(jì)算實(shí)時檢測網(wǎng)絡(luò)威脅
自從互聯(lián)網(wǎng)問世以來,網(wǎng)絡(luò)攻擊和威脅一直存在。惡意的攻擊會給企業(yè)帶來物理上和經(jīng)濟(jì)上的的損失。隨著技術(shù)的發(fā)展,惡意的網(wǎng)絡(luò)攻擊不斷增加,而且越來越危險(xiǎn)。因此,防范網(wǎng)絡(luò)攻擊變得異常重要。
用傳統(tǒng)的方法檢測攻擊,通常是將數(shù)據(jù)收集下來進(jìn)行離線的歷史分析,但這樣難以對網(wǎng)絡(luò)攻擊采取及時有效的應(yīng)對。在采用離線分析的同時,我們可以利用更先進(jìn)的技術(shù),實(shí)時檢測網(wǎng)絡(luò)攻擊和威脅,以便對實(shí)時洞察和應(yīng)對惡意攻擊。
利用IBM Streams流計(jì)算平臺很好地解決這種問題。使用流計(jì)算技術(shù),企業(yè)很容易實(shí)現(xiàn)實(shí)時的網(wǎng)絡(luò)安全分析:通過實(shí)時分析網(wǎng)絡(luò)訪問,企業(yè)能過濾無關(guān)數(shù)據(jù),只抓取和保存有意義的數(shù)據(jù),然后結(jié)合已有的離線分析,將能更好地定制網(wǎng)絡(luò)安全策略和防止網(wǎng)絡(luò)非法入侵。
Streams v4.1增加了Cybersecurity Toolkit,該Toolkit將網(wǎng)絡(luò)訪問分析功能構(gòu)建成模塊,以幫助開發(fā)者快速地實(shí)現(xiàn)實(shí)時網(wǎng)絡(luò)安全分析。Cybersecurity Toolkit提供三個機(jī)器學(xué)習(xí)模型:
- DomainProfiling – 基于DNS響應(yīng)流量中的域名而構(gòu)建的Profile,檢測可疑的網(wǎng)絡(luò)訪問行為。
- HostProfiling – 基于DNS響應(yīng)流量中的主機(jī)而構(gòu)建的Profile,檢測可疑的網(wǎng)絡(luò)訪問行為。
- PredictiveBlacklisting – 預(yù)測是否該將一個域加入到黑名單。
下面舉個例子說明如何使用機(jī)器學(xué)習(xí)模型分析DNS的響應(yīng)記錄。
DomainProfiling 模型
DomainProfiling Operator利用機(jī)器學(xué)習(xí)模型分析DNS響應(yīng)流量并報(bào)告域名訪問是否是可疑的。通過一定時期內(nèi)的DNS響應(yīng)記錄構(gòu)建Profile,然后利用Profile分析每次訪問是“可疑的”還是“良性的”。先來看看正常的網(wǎng)絡(luò)訪問演示:
在這個場景中, 30秒時間窗口內(nèi)的DNS訪問和響應(yīng)被捕獲下來。利用這些信息為每個域名構(gòu)建Profile,這樣,訪問每個域名的用戶數(shù)和訪問次數(shù)被記錄下來。這種場景作為網(wǎng)絡(luò)中的“正常的”或“預(yù)期的”行為。這種每個域名在30秒內(nèi)都有幾次的訪問,我們認(rèn)為是良性的(判斷時結(jié)合歷史數(shù)據(jù)分析)。
這是另一種場景:
在這種場景中,同樣是30秒的時間窗口內(nèi)的DNS訪問和響應(yīng)被捕獲下來。然而,根據(jù)Profile,a11233112.ru.ch的異常訪問馬上體現(xiàn)出來。該域名在30秒內(nèi)被4個不同用戶共25訪問,對比“正常的”30秒窗口,這種超過10倍的訪問是非常可疑的。在這種情況下,DomainProfiling operator就會報(bào)告這樣的域名是“可疑的”。
前面的例子目的是闡明如何利用DomainProfiling判斷域名的訪問是“良性的”還是“可疑的”。在實(shí)際使用中,并非對所有的DNS記錄進(jìn)行判斷,而是根據(jù)一定的規(guī)則預(yù)先進(jìn)行過濾,例如,利用黑名單和白名單進(jìn)行過濾,以確保DomainProfiling分析的準(zhǔn)確性。下圖是Streams實(shí)現(xiàn)實(shí)時網(wǎng)絡(luò)檢測的原型:
IBM在GitHub上提供了該樣例代碼,以便開發(fā)人員參考和使用。下載代碼請?jiān)L問https://github.com/IBMStreams/streamsx.cybersecurity.starterApps
本文暫時先介紹DomainProfiling,而HostProfiling的用法與前者類似,因此不再闡述。關(guān)于PredictiveBlacklisting的原理和使用,請關(guān)注下期的文章。
IBM InfoSphere Streams 試用版下載地址: http://bigdata.evget.com/product/201.html
更多大數(shù)據(jù)與分析相關(guān)行業(yè)資訊、解決方案、案例、教程等請點(diǎn)擊查看>>>
詳情請咨詢在線客服!
客服熱線:023-66090381