自從互聯(lián)網(wǎng)問世以來，網(wǎng)絡(luò)攻擊和威脅一直存在。惡意的攻擊會(huì)給企業(yè)帶來物理上和經(jīng)濟(jì)上的的損失。隨著技術(shù)的發(fā)展，惡意的網(wǎng)絡(luò)攻擊不斷增加，而且越來越危險(xiǎn)。因此，防范網(wǎng)絡(luò)攻擊變得異常重要。

用傳統(tǒng)的方法檢測(cè)攻擊，通常是將數(shù)據(jù)收集下來進(jìn)行離線的歷史分析，但這樣難以對(duì)網(wǎng)絡(luò)攻擊采取及時(shí)有效的應(yīng)對(duì)。在采用離線分析的同時(shí)，我們可以利用更先進(jìn)的技術(shù)，實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)攻擊和威脅，以便對(duì)實(shí)時(shí)洞察和應(yīng)對(duì)惡意攻擊。

利用流計(jì)算平臺(tái)很好地解決這種問題。使用流計(jì)算技術(shù)，企業(yè)很容易實(shí)現(xiàn)實(shí)時(shí)的網(wǎng)絡(luò)安全分析：通過實(shí)時(shí)分析網(wǎng)絡(luò)訪問，企業(yè)能過濾無關(guān)數(shù)據(jù)，只抓取和保存有意義的數(shù)據(jù)，然后結(jié)合已有的離線分析，將能更好地定制網(wǎng)絡(luò)安全策略和防止網(wǎng)絡(luò)非法入侵。

Streams v4.1增加了Cybersecurity Toolkit，該Toolkit將網(wǎng)絡(luò)訪問分析功能構(gòu)建成模塊，以幫助開發(fā)者快速地實(shí)現(xiàn)實(shí)時(shí)網(wǎng)絡(luò)安全分析。Cybersecurity Toolkit提供三個(gè)機(jī)器學(xué)習(xí)模型：

• DomainProfiling – 基于DNS響應(yīng)流量中的域名而構(gòu)建的Profile，檢測(cè)可疑的網(wǎng)絡(luò)訪問行為。
• HostProfiling – 基于DNS響應(yīng)流量中的主機(jī)而構(gòu)建的Profile，檢測(cè)可疑的網(wǎng)絡(luò)訪問行為。
• PredictiveBlacklisting – 預(yù)測(cè)是否該將一個(gè)域加入到黑名單。

下面舉個(gè)例子說明如何使用機(jī)器學(xué)習(xí)模型分析DNS的響應(yīng)記錄。

DomainProfiling 模型

DomainProfiling Operator利用機(jī)器學(xué)習(xí)模型分析DNS響應(yīng)流量并報(bào)告域名訪問是否是可疑的。通過一定時(shí)期內(nèi)的DNS響應(yīng)記錄構(gòu)建Profile，然后利用Profile分析每次訪問是“可疑的”還是“良性的”。先來看看正常的網(wǎng)絡(luò)訪問演示：

在這個(gè)場(chǎng)景中， 30秒時(shí)間窗口內(nèi)的DNS訪問和響應(yīng)被捕獲下來。利用這些信息為每個(gè)域名構(gòu)建Profile，這樣，訪問每個(gè)域名的用戶數(shù)和訪問次數(shù)被記錄下來。這種場(chǎng)景作為網(wǎng)絡(luò)中的“正常的”或“預(yù)期的”行為。這種每個(gè)域名在30秒內(nèi)都有幾次的訪問，我們認(rèn)為是良性的（判斷時(shí)結(jié)合歷史數(shù)據(jù)分析）。

這是另一種場(chǎng)景：

在這種場(chǎng)景中，同樣是30秒的時(shí)間窗口內(nèi)的DNS訪問和響應(yīng)被捕獲下來。然而，根據(jù)Profile，a11233112.ru.ch的異常訪問馬上體現(xiàn)出來。該域名在30秒內(nèi)被4個(gè)不同用戶共25訪問，對(duì)比“正常的”30秒窗口，這種超過10倍的訪問是非常可疑的。在這種情況下，DomainProfiling operator就會(huì)報(bào)告這樣的域名是“可疑的”。

前面的例子目的是闡明如何利用DomainProfiling判斷域名的訪問是“良性的”還是“可疑的”。在實(shí)際使用中，并非對(duì)所有的DNS記錄進(jìn)行判斷，而是根據(jù)一定的規(guī)則預(yù)先進(jìn)行過濾，例如，利用黑名單和白名單進(jìn)行過濾，以確保DomainProfiling分析的準(zhǔn)確性。下圖是Streams實(shí)現(xiàn)實(shí)時(shí)網(wǎng)絡(luò)檢測(cè)的原型：

IBM在GitHub上提供了該樣例代碼，以便開發(fā)人員參考和使用。下載代碼請(qǐng)?jiān)L問//github.com/IBMStreams/streamsx.cybersecurity.starterApps

本文暫時(shí)先介紹DomainProfiling，而HostProfiling的用法與前者類似，因此不再闡述。關(guān)于PredictiveBlacklisting的原理和使用，請(qǐng)關(guān)注下期的文章。

IBM InfoSphere Streams 試用版下載地址:

詳情請(qǐng)咨詢！

客服熱線：023-66090381