?引言

隨著商業(yè)銀行數(shù)據(jù)中心逐漸向開放化轉(zhuǎn)型，在提升用戶體驗，支撐場景金融發(fā)展的同時，其對外開放的服務(wù)特性也加大了網(wǎng)絡(luò)安全管控風險，同時日益復(fù)雜的IT架構(gòu)也增加了信息系統(tǒng)漏洞和安全缺陷的幾率。隨著網(wǎng)絡(luò)安全環(huán)境日益復(fù)雜嚴峻，銀行面對大量不可預(yù)知的資產(chǎn)探查、掃描攻擊和踩點等惡意行為，單獨依靠人工或者單個系統(tǒng)很難做到面面俱到；而攻擊方往往只需抓住一個漏洞，就可以攻破系統(tǒng)、突破邊界。本文主要展示如何簡單快速地通過網(wǎng)絡(luò)流量分析統(tǒng)計方法來分析并發(fā)現(xiàn)這些攻擊行為。

應(yīng)用于網(wǎng)絡(luò)端口掃描檢測

1、端口掃描攻擊介紹?

攻擊者入侵滲透的第一步就是掌握目標的資產(chǎn)并找到防守薄弱點作為突破口，各類網(wǎng)絡(luò)端口掃描是最常見最簡單有效一種手段。

端口掃描是一種有效探查互聯(lián)網(wǎng)開放端口的手段，攻擊者將請求發(fā)送到目標服務(wù)器的IP地址，以發(fā)現(xiàn)提供服務(wù)的端口，然后利用服務(wù)中的漏洞進行下一步攻擊。端口掃描攻擊通常是重大網(wǎng)絡(luò)攻擊的序曲。掃描會短時間會發(fā)起大量的SYN包端口掃描，有可能會造成以下幾種安全設(shè)備的告警：

（1）網(wǎng)絡(luò)防火墻設(shè)備

大量并發(fā)的syn請求會對防火墻新建會話性能造成較大壓力，引起防火墻會話數(shù)高報警，但是由于訪問目標分散，半連接會話存續(xù)時間短，整體流量小，防火墻上不會留下任何日志記錄，幾乎無法進行定位。

（2）DDOS抗拒絕服務(wù)攻擊設(shè)備

DDOS攻擊防護設(shè)備通常具備如syn flood等各類攻擊檢測能力，為減少誤報，通常需要安全運營人員持續(xù)進行優(yōu)化調(diào)整，通常策略設(shè)置方式為針對單個系統(tǒng)或目標服務(wù)器IP設(shè)置具有一定容忍度的syn flood閾值，如果設(shè)置過大可能會出現(xiàn)部分掃描行為不會觸發(fā)DDOS告警。

（3）其它安全類設(shè)備

由于設(shè)備自身的防護機制，一般情況下對于較為敏感的安全設(shè)備，如果被外部掃描到確實可能會觸發(fā)相關(guān)安全告警，以此來及時發(fā)現(xiàn)攻擊者掃描行為，收集相關(guān)攻擊信息。有些攻擊者為了避免被發(fā)現(xiàn)，通常會將掃描速率降到極低的程度，花費數(shù)天的時間慢慢收集信息，以防止被發(fā)現(xiàn)，此類掃描行為的特征是流量低、會話少、行為隱蔽，難以被發(fā)現(xiàn)。

除了端口安全掃描，還有基于UDP協(xié)議的DNS掃描、SIP服務(wù)掃描等等，因為不像TCP協(xié)議有建鏈過程，使得這種掃描更難被發(fā)現(xiàn)。

2、流量統(tǒng)計分析方法?

網(wǎng)絡(luò)端口掃描低流量、無會話、源目的地址分散的特性使得傳統(tǒng)的流量分析手段無法做到及時發(fā)現(xiàn)和阻斷，但是通過研究分析其原理，我們不難總結(jié)出流量統(tǒng)計數(shù)據(jù)的特征，幾乎所有的端口掃描工具都是基于TCP的半連接方式，速度快，流量小，其基本原理如下：

圖1 掃描原理

掃描器向服務(wù)器端口發(fā)起SYN包建立連接，服務(wù)器如果返回SYN ACK則說明服務(wù)器端口存活，如果服務(wù)器端口不活則不會有任何返回。在這種模型下，一般會在掃描流量數(shù)據(jù)中存在兩種特征：一是出現(xiàn)大量無響應(yīng)的SYN數(shù)據(jù)包；二是單個IP地址會訪問大量的“IP+端口”的業(yè)務(wù)組合（正常用戶一般只會用到網(wǎng)站對外發(fā)布的少量幾個服務(wù)）。

針對特征一，將一段時間周期內(nèi)SYN數(shù)據(jù)報文總數(shù)和SYN ACK數(shù)據(jù)報文總數(shù)進行分析，如果發(fā)現(xiàn)兩者差值出現(xiàn)明顯上升，就說明存在端口掃描事件的發(fā)生。

圖2 特征一（Syn-syn/ack）

通過將這段時間內(nèi)的單個客戶端Syn-syn/ack數(shù)量進行排名，即可發(fā)現(xiàn)疑似掃描客戶端的真實地址。

圖3 客戶端分析排名?

針對特征二，對于掃描客戶端的判斷更為直接，我們把一個“IP+端口”算做一個應(yīng)用，正常客戶端，哪怕是互聯(lián)網(wǎng)模擬監(jiān)控探測的節(jié)點，訪問的“應(yīng)用數(shù)量”也不應(yīng)超過網(wǎng)站真正發(fā)布的互聯(lián)網(wǎng)應(yīng)用數(shù)量，如果統(tǒng)計發(fā)現(xiàn)單個客戶端IP在某一段時間范圍內(nèi)（例如1小時、3小時、當天或者一周等）訪問的“應(yīng)用數(shù)量”遠超過正式發(fā)布的互聯(lián)網(wǎng)門戶、小程序和移動APP應(yīng)用數(shù)量，那么這個客戶端IP地址基本可以確認存在異常訪問；結(jié)合特征一提到的Syn-syn/ack分析方法進行驗證，即可快速確認這些IP地址全都屬于掃描，非正常用戶客戶端行為。

為此，我們專門設(shè)計了基于流量數(shù)據(jù)的自動統(tǒng)計表格：

圖4 特征二掃描客戶端統(tǒng)計表?

篩選條件為一天之內(nèi)，應(yīng)用數(shù)量大于已發(fā)布應(yīng)用數(shù)量的5倍，新建會話數(shù)少于10的客戶端，可以發(fā)現(xiàn)表格中列舉的所有客戶端都具備發(fā)起大量SYN包只有很少回包的特點，可以判斷為異常掃描客戶端，無需再進行人工抓包分析，并適當結(jié)合情報情況進行批量封禁。以上篩選條件較嚴，可以100%確認為掃描客戶端并結(jié)合封禁工具可以實現(xiàn)自動封禁。

該方法簡單易行，僅通過兩個條件即可確認掃描地址，同時可以在比較大的時間范圍進行搜索統(tǒng)計，即使是像慢速掃描這樣隱藏較深的探測攻擊，在該方法下也會現(xiàn)出原形。

另外，雖然Syn-syn/ack指標無法直接發(fā)現(xiàn)UDP/ICMP協(xié)議的掃描，但在統(tǒng)計表中也可以快速發(fā)現(xiàn)(Syn-syn/ack為0但是應(yīng)用數(shù)量極大（圖5），通過分析數(shù)據(jù)包可以看出來是SIP掃描或者其他UDP掃描（圖6）。

圖5 UDP/ICMP掃描客戶端?

圖6 UDP掃描人工抓包確認?

應(yīng)用于DNS flood攻擊檢測?

除了檢測網(wǎng)絡(luò)端口掃描攻擊外，DNS掃描也可以被網(wǎng)絡(luò)流量統(tǒng)計方法發(fā)現(xiàn)。DNS是典型的基于UDP協(xié)議的應(yīng)用，只要負責網(wǎng)站域名到IP地址的關(guān)聯(lián)關(guān)系查詢，可以說非常重要，是攻擊者非常喜歡的攻擊目標。

通常攻擊方希望通過向網(wǎng)站的DNS權(quán)威服務(wù)器發(fā)起大量的DNS查詢請求，造成權(quán)威服務(wù)器性能的瓶頸。但是由于DNS的緩存機制，攻擊者如果嘗試發(fā)起大量注冊域名的查詢，那么大部分會由運營商遞歸域名服務(wù)器的緩存結(jié)果中直接返回，查詢請求無法到達真正的權(quán)威服務(wù)器，因此DNS flood攻擊通常的做法是隨機構(gòu)造權(quán)威域的子域名進行查詢，讓遞歸服務(wù)器的緩存無法生效，從而使請求全部透傳到權(quán)威服務(wù)器。

從上述攻擊行為分析中可以看出來，這種攻擊方式必然會出現(xiàn)單個客戶端IP查詢大量的隨機域名，統(tǒng)計單個IP查詢的域名數(shù)量即可定位攻擊源，如下圖。

圖9 客戶端異常遍歷域名場景

由于DNS flood客戶端大部分為運營商遞歸服務(wù)器，封禁可能影響部分用戶正常解析使用，我們可以繼續(xù)分析該地址的歷史訪問曲線來評估封禁該地址可能造成的影響。如果權(quán)威服務(wù)器性能足夠的話，建議關(guān)注即可。

應(yīng)用于HTTP攻擊檢測

在應(yīng)用層攻擊檢測方面，網(wǎng)絡(luò)流量統(tǒng)計方法依然可以發(fā)揮作用。應(yīng)用層面的攻擊，攻擊者通常會多次試探不同的URL及參數(shù)，嘗試服務(wù)可能存在的漏洞。因此，統(tǒng)計單個客戶端訪問的URL數(shù)量即可快速定位攻擊者。

圖10顯示單個客戶端訪問URL數(shù)量排名，可以明顯看出異?？蛻舳藝L試了極大量的URL訪問，對客戶端訪問明細進行確認可以驗證其異常行為（圖11）。該方法對URL目錄遍歷同樣有效。

圖10 客戶端訪問URL數(shù)量排名

圖11 客戶端異常行為確認

總結(jié)

基于流量統(tǒng)計數(shù)據(jù)的分析技術(shù)可彌補傳統(tǒng)攻擊檢測技術(shù)的不足，實現(xiàn)網(wǎng)絡(luò)攻擊威脅的提前預(yù)警和隱蔽攻擊者的發(fā)現(xiàn)，該方法一個顯著的優(yōu)勢是無需觀察單個的應(yīng)用系統(tǒng)，基于整體流量統(tǒng)計數(shù)據(jù)進行網(wǎng)絡(luò)威脅攻擊源的發(fā)現(xiàn)，為網(wǎng)絡(luò)安全防御能力的提升提供了新的思路。?