迪普科技自安全网络之“一视”:内网病毒传播可视化

■ 传统网络安全建设思路背景

传统网络安全建设理念中大多数在出口、业务区、数据中心部署大量安全设备,采用高筑城墙的方式实现安全防护,但以WannaCry为代表的众多新型内网新型威胁已从被动单点攻击向主动扩散传播的方向演变,借助无防护内网通道扩散至每个网络端点,极易造成终端大规模感染和业务中断,且运维管理人员无法进行快速溯源和精确排查。

■ 以勒索病毒为代表的新型内网威胁

从2017年美国NSA武器库被Shadow Brokers攻破后,随着系统漏洞、脚本代码等一系列工具的公布,病毒制作已愈发平民化和流水化。不法分子利用众多的攻击工具制造着各种各样的攻击载荷,通过加载在现有的传播模块上进行大范围传播。以勒索病毒为例,其在传播时首先需要通过TCP/ARP等扫描手段发现目标主机,确定其可利用的漏洞高危端口后进行攻击载荷的投递。在此期间病毒宿主主机需向外界发送不同于正常终端的大量TCP或ARP请求,其行为模式在网络层已具备明显异常特征。

■ 基于网络行为模型的病毒传播识别机制

迪普科技深入研究多种网络病毒的传播原理,整合多种病毒的网络传播行为形成智能分析模块并内置于交换机算法中,在保障正常流量线速转发的基础上,将TCP、 ARP等关键报文抽调至CPU进行建模匹配,即实现了转发与分析平面分离,正常的网络转发并不会受到自安全交换机安全功能的影响,满足了网络接入快速转发和安全识别的双重需求。

■ 照亮内网暗角落

与只负责网络转发的传统网络不同的是,自安全交换机通过行为模型检测可清晰展示网络当中存在的“暗流量”,帮助运维管理人员实现内网威胁的快速溯源定位和一键安全隔离。且与传统杀毒软件以特征库匹配查杀方式不同是,尽管病毒攻击载荷不断变化,由于其传播扩散的目的性决定了其传播流量模型的相对固化,自安全交换机可在网络层面实现对内网异常流量的有效感知和及时预警,配合杀毒软件实现内网威胁的精准查杀,进一步降低内网安全风险。