康乔网络攻击检测系统KQ-NADS(KangQiao-Network Attack Detect System)网络攻击检测系统是一种非侵入式系统,它从以太网中高速采集并存储所有通讯数据包,同时进行实时分析分类记录所有的网络用户行为数据、网络通讯数据和应用访问数据,并将采集的数据包存储到磁盘上以备将来攻击分析取证。
康乔网络攻击检测系统KQ-NADS以收集网络行为数据为基础数据源,检测对特种网络对象和特种网络的攻击行为。这类特种攻击手段的攻击检测方法:暗网的态势感知技术,针对暗网空间中通信节点、服务、信息及情报等网络资源进行探测感知,描绘出暗网空间实时态势图。研究特种攻击的形式化描述方法,并为检测和防御特种攻击提供新方法。
康乔网络攻击检测系统KQ-NADS将运用于各行各业的计算机网络系统之中,特别是政府机关、军事机构、经济部门的专用网络,同时也应用于internet网络上,帮助网络安全管理人员检测分析特种攻击,极大地提高宏观网络的安全性。
康乔网络攻击检测系统KQ-NADS高级网络攻击检测引擎 :
KQ-NADS检测引擎包括隐蔽攻击检测、僵尸网络检测、匿名网络检测等。隐蔽通信检测内置SSL/TLS攻击检测算法,识别基于这类协议的隐蔽攻击流;僵尸网络和匿名网络攻击检测模块通过研究网络流的分析算法,提取僵尸网络流和匿名网络流进行分析,发掘僵尸机集合及控制服务器,为僵尸网络拓扑重构、取证溯源提供基础数据。
攻击展示通过对攻击分析层数据的有效整合,采用攻击链和攻击树层次表示模型,对特种网络(僵尸网、匿名网、跳板网、隐蔽通道)等攻击的路径及各特种网络的静态、动态拓扑结构进行展示,有效重现特种网络的拓扑及攻击过程。
溯源取证通过分析层相关模块采集的信息,综合时间和空间维度分析,提取攻击证据。
康乔网络攻击检测系统KQ-NADS隐蔽攻击检测:设计针对SSL/TLS加密服务相关攻击的两阶段通用检测方法。
康乔网络攻击溯源检测系统KQ-NADS采用基于协议结构与状态转移深度验证的识别方法。从协议的结构、格式和语法深度验证入手,并引入协议状态转移验证来全面检查协议的合规性,将伪装SSL/TLS的私有加密和仿冒协议识别出来。
(1)根据协议规范验证否是合法的消息类型、消息内部的格式是否符合协议规范。
(2)基于有限状态自动机的协议状态转移验证。将协议的状态转移通过有限状态自动机表示出来,判断消息出现的顺序是否符合协议握手流程规范。
康乔网络攻击检测系统KQ-NADS深度检测,针对通过粗检测的SSL/TLS会话集,基于证书和服务器可信度对潜在的恶意加密服务进一步检测。
定义: SSL会话的异常指数(Anomaly Indicator, AI):AI=CCD+DRP.
康乔网络攻击检测系统KQ-NADS证书可信度CCD: 依赖于SSL连接中服务器证书的属性,属性包括每个证书链的根CA证书是否合法可信,自签名与否、通用名、机构名、地区名称、国家名出现与否,通用名是否匿名化以及有效期长短等。
服务器声誉DRP: 取决于服务器名称对应的域名在AlexaToplOO万站点中的排名情况以及服务器IP的反向DNS查询情况。排名靠前的站点服务器声誉高,但会受到DNS反向解析结果的影响。
若一个SSL/TLS会话是出方向的(outbound),并且服务器不在黑名单中,那么就计算SSL会话的异常指数(Anomaly Indicator, AI),并据此判断是否是恶意攻击通道。
康乔网络攻击检测系统KQ-NADS暗网分析
在深入研究被动流分析策略基础上,设计一种基于深度学习的指纹攻击方法,对暗网分析并溯源,提高分析的准确性和普适性;通过指纹攻击,发现一个用户访问的某个网站的基本特征,如包长、包方向等。基于叠加自编码器结构(下图)的深度学习对指纹进行识别。叠加自编码器
康乔网络攻击检测系统KQ-NADS基于堆叠式自编码的深度学习感知检测模型。首先,康乔网络应用性能检测系统来建立训练数据。通过主动访问预先定义的暗网用户高概率访问的网站,反复捕捉流量数据;统计其包长度、方向属性特征,建立包长度序列向量、包方向序列向量,作为(叠加)自动编码器的输入。
其次,从被测流量中抽取暗网用户流量,建立包长度序列向量、包方向序列向量,作为叠加自编码器的输入,将输出序列向量,用KNN算法进行指纹匹配,鉴别暗网用户对特定网站的访问特征。
最后,根据暗网用户对网站访问的空间和时间的聚类分析,以有效挖掘暗网用户分布,发现暗网拓扑结构。
康乔网络攻击检测系统KQ-NADS僵尸网络监测
在分析比较多种僵尸网络检测技术了基础上,针对僵尸网络的本质特性,即僵尸程序和命令与控制服务器(或对等点)通信并执行恶意行为,提出一种准确性高的僵尸网络通用检测算法。算法首先使用预过滤规则对捕获的流量进行过滤,去掉与僵尸网络无关的流量以减少分析量,其次对过滤后的流量属性进行统计,再基于改进的X-means的两步聚类算法,对 C&C 信道的流量属性进行分析与聚类,实现可疑流的检测。算法如下。
(1)康乔网络攻击检测系统 KQ-NADS流量预处理由于聚类算法无法很好地处理噪声数据,而受僵尸程序感染的主机所产生的流量中除了僵尸网络C&C 信道所产生的流量,还大部分是正常网络的流量,预先过滤掉与僵尸网络流量不相关的流量。
(2)康乔网络攻击检测系统 KQ-NADS流聚合 对具有相同协议五元组的流进行流聚合;
(3)康乔网络攻击检测系统 KQ-NADS流分析根据这些流量的平均流个数、平均每个流包含数据包个数、平均数据包长度、每小时流个数等属性进行统计对比。将这些属性作为聚类指标实现僵尸网络流检测。
(4)康乔网络攻击检测系统 KQ-NADS流聚类检测 采用改进的X-means两步聚类算法,对 C&C 信道的流量属性进行分析与聚类。
