-
迪普科技威胁感知大数据平台安全实践——隐匿隧道攻击检测及防范技术
- 时间:2024-04-26 13:16:43
大家好,今天Win10系统之家小编给大家分享「迪普科技威胁感知大数据平台安全实践——隐匿隧道攻击检测及防范技术」的知识,如果能碰巧解决你现在面临的问题,记得收藏本站或分享给你的好友们哟~,现在开始吧!
什么是隐匿隧道攻击?
在实际的网络中,通常会通过各种边界设备、软/硬件防火墙甚至入侵检测系统来检查对外连接情况,如果发现异样,就会对通信进行阻断。如果发起方将数据包按照边界设备所允许的数据包类型或端口进行封装,然后穿过边界设备与对方进行通信,当封装的数据包到达目的地时,将数据包还原,并将还原后的数据包发送到相应服务器上。这种技术称为隧道技术。
在黑客实际入侵过程中,攻击者在开始与被控制主机通信时,通过利用DNS、ICMP等合法协议来构建隐匿隧道来掩护其传递的非法信息,这类攻击称为隐匿隧道攻击。
隐匿隧道攻击引发的典型安全事件
Google极光攻击
Google Aurora(极光)攻击是一个十分著名的APT攻击。Google的一名雇员点击即时消息中的一条恶意链接,该恶意链接的网站页面载入含有shellcode的JavaScript程序码造成IE浏览器溢出,进而执行FTP下载程序,攻击者通过与受害者主机建立SSL隐匿隧道链接,持续监听并最终获得了该雇员访问Google服务器的帐号密码等信息,从而引发了一系列事件导致这个搜索引擎巨人的网络被渗入数月,并且造成各种系统的数据被窃取。
美国E公司数据泄露事件
E公司是是美国三大个人信用服务中介机构之一,攻击者通过利用隐匿隧道攻击规避了其强访问控制设备、防火墙、入侵检测系统等边界防护措施,导致超过1.47亿个人征信记录被暴露。
隐匿隧道攻击特点
隐匿隧道攻击最典型的特点在于其隐蔽性。为避免非法通信行为被边界设备拦截,攻击者通常会将非法信息进行封装,表面上看似是正常业务流量,实则“危机四伏”。由于大部分边界设备的流量过滤机制依赖于端口和协议,网络攻击检测机制依赖于流量特征,从而无法对这类精心构造的非法信息进行拦截。因此,攻击者可通过与被入侵主机建立隐匿隧道通信连接,达到传递非法信息的目的,如病毒投放、信息窃取、信息篡改、远程控制、利用被入侵主机挖矿等。
常见的隐匿隧道攻击类型
随着目前安全防护措施的不断完善,使用HTTP通信时被阻断的几率不断增大,攻击者开始选择更为安全隐蔽的隧道通信技术,如DNS、ICMP、各种协议over HTTP隧道等。由于DNS、ICMP等协议是大部分主机所必须使用的协议,因此基于DNS协议、ICMP协议构建隐匿隧道通信的方式逐渐成为隐匿隧道攻击的主流技术。
■ DNS隐匿隧道攻击
DNS隧道是将其他协议的内容封装在DNS协议中,然后以DNS请求和响应包完成传输数据(通信)的技术。当前网络世界中的DNS是一项必不可少的服务,所以防火墙和入侵检测设备出于可用性和用户友好的考虑将很难做到完全过滤掉DNS流量,因此,攻击者可以利用它实现诸如远程控制,文件传输等操作,众多研究表明DNS Tunneling在僵尸网络和APT攻击中扮演着至关重要的角色。
DNS隐匿隧道构建
■ ICMP隐匿隧道攻击
ICMP隧道是指将TCP连接通过ICMP包进行隧道传送的一种方法。由于数据是利用PING请求/回复报文通过网络层传输,因此并不需要指定服务或者端口。这种流量是无法被基于代理的防火墙检测到的,因此这种方式可能绕过一些防火墙规则。
ICMP隐匿隧道构建
迪普科技解决方案
网络安全威胁感知大数据平台高效检测隐匿隧道攻击
由于攻击者将非法数据进行封装,利用正常的协议构建隐匿隧道进行非法通信,攻击特征极不明显,因此可轻易躲过现网中基于规则特征检测网络攻击的安全防护措施;而传统的隐匿隧道攻击检测技术大多依赖于简单的统计规则进行检测,如统计请求频率、判断请求数据包大小等,依靠单一维度的检测、分析机制,导致隐匿隧道攻击检测的误报率非常高。
针对隐匿隧道攻击,迪普科技安全算法团队通过收集大量的不同协议的隐匿隧道流量样本进行分析测算,构建出多种隐匿隧道攻击检测模型, 并成功应用到迪普科技网络安全威胁感知大数据平台,如针对DNS隐匿隧道,通过匹配报文中所呈现出的域名信息、域名后缀信息、response应答信息,以及请求频率、请求数据包大小等内容进行综合评估分析;针对ICMP隐匿隧道攻击,通过匹配数据包发送频率、type值、应答信息、payload大小及内容等进行综合分析。有效提升隐匿隧道攻击检测效率,隐匿隧道攻击检出率高达98%以上!
隐匿隧道攻击高效检出
隐匿隧道攻击防范指南
■ 定期采用主流杀毒软件进行查杀,对出现的未知软件及时进行清除。
■ 对有关出站或入站DNS查询的长度、类型或大小等建立规则。
■ 借助网络安全分析设备对用户和(或)系统行为进行分析,可自动发现异常情况,例如访问新域时,尤其是访问方法和频率异常时。
■ 处于生产区的服务器主机在必要时禁止ICMP协议。
以上就是关于「迪普科技威胁感知大数据平台安全实践——隐匿隧道攻击检测及防范技术」的全部内容,本文讲解到这里啦,希望对大家有所帮助。如果你还想了解更多这方面的信息,记得收藏关注本站~
本文②来♂源Win10系统之家www.GHost580.neT!
相关文章
-
中创新航:获院士“点名”——One-Stop技术引领电池技术创新
在刚刚结束的2022年中国电动汽车百人会论坛上,中国科学院院士欧阳明高指出:“2021年以来,在新一轮动力电池技术变革中,中国动力电池企业突破传统技术局限,创新技术日益多元化。这其中,One-Stop是电池结构创新最为典型... -
近日,上海挚达科技发展有限公司,致力加强集团数智管控,携手蓝凌建设财务共享管理基础,搭建智能财务报账平台。挚达科技2010年成立上海杨浦创智天地,是全国领先的以充电和车联网为入口的新能源汽车智能网联科技及应用... -
BCS2020技术峰会:内生安全框架推动网络安全技术体系升级
8月12日,2020北京网络安全大会(BCS2020)技术峰会正式召开。来自中、美、以等全球顶级的网络安全技术专家,共同分享了行业前沿最新的产品技术研究成果和实践,并探讨“内生安全框架”对推动网络安全技术体系升级的重要意义。
本次技术峰会重磅嘉宾云集,包括北京赛博英杰科技董事长谭晓生,美国PaloAltoNetworksField公司CTO“零信任之父”JohnKinde... -
腾讯安全亮相2020中国电子政务安全大会,创新实践获双料大奖
在政务数字化纵深发展的新风口下,政务数字平台的安全底座建设成为当务之急。9月17日,在中国信息协会主办的2020第二届中国电子政务安全大会主论坛上,腾讯安全基于在电子政务领域的创新实践,斩获“2020中国电子政务领域信创特殊贡献”奖;同时,腾讯网络入侵防护系统——腾讯天幕,也凭借在安全算力算法上的创新实践,入选“2020中国电子政务领域自主可控创新产品”,并将作为优秀成果被收录到《2...
