自從互聯(lián)網(wǎng)問世以來，網(wǎng)絡(luò)攻擊和威脅一直存在。惡意的攻擊會給企業(yè)帶來物理上和經(jīng)濟上的的損失。隨著技術(shù)的發(fā)展，惡意的網(wǎng)絡(luò)攻擊不斷增加，而且越來越危險。因此，防范網(wǎng)絡(luò)攻擊變得異常重要。

用傳統(tǒng)的方法檢測攻擊，通常是將數(shù)據(jù)收集下來進行離線的歷史分析，但這樣難以對網(wǎng)絡(luò)攻擊采取及時有效的應(yīng)對。在采用離線分析的同時，我們可以利用更先進的技術(shù)，實時檢測網(wǎng)絡(luò)攻擊和威脅，以便對實時洞察和應(yīng)對惡意攻擊。

利用流計算平臺很好地解決這種問題。使用流計算技術(shù)，企業(yè)很容易實現(xiàn)實時的網(wǎng)絡(luò)安全分析：通過實時分析網(wǎng)絡(luò)訪問，企業(yè)能過濾無關(guān)數(shù)據(jù)，只抓取和保存有意義的數(shù)據(jù)，然后結(jié)合已有的離線分析，將能更好地定制網(wǎng)絡(luò)安全策略和防止網(wǎng)絡(luò)非法入侵。

Streams v4.1增加了Cybersecurity Toolkit，該Toolkit將網(wǎng)絡(luò)訪問分析功能構(gòu)建成模塊，以幫助開發(fā)者快速地實現(xiàn)實時網(wǎng)絡(luò)安全分析。Cybersecurity Toolkit提供三個機器學(xué)習(xí)模型：

• DomainProfiling – 基于DNS響應(yīng)流量中的域名而構(gòu)建的Profile，檢測可疑的網(wǎng)絡(luò)訪問行為。
• HostProfiling – 基于DNS響應(yīng)流量中的主機而構(gòu)建的Profile，檢測可疑的網(wǎng)絡(luò)訪問行為。
• PredictiveBlacklisting – 預(yù)測是否該將一個域加入到黑名單。

下面舉個例子說明如何使用機器學(xué)習(xí)模型分析DNS的響應(yīng)記錄。

DomainProfiling 模型

DomainProfiling Operator利用機器學(xué)習(xí)模型分析DNS響應(yīng)流量并報告域名訪問是否是可疑的。通過一定時期內(nèi)的DNS響應(yīng)記錄構(gòu)建Profile，然后利用Profile分析每次訪問是“可疑的”還是“良性的”。先來看看正常的網(wǎng)絡(luò)訪問演示：

在這個場景中， 30秒時間窗口內(nèi)的DNS訪問和響應(yīng)被捕獲下來。利用這些信息為每個域名構(gòu)建Profile，這樣，訪問每個域名的用戶數(shù)和訪問次數(shù)被記錄下來。這種場景作為網(wǎng)絡(luò)中的“正常的”或“預(yù)期的”行為。這種每個域名在30秒內(nèi)都有幾次的訪問，我們認(rèn)為是良性的（判斷時結(jié)合歷史數(shù)據(jù)分析）。

這是另一種場景：

在這種場景中，同樣是30秒的時間窗口內(nèi)的DNS訪問和響應(yīng)被捕獲下來。然而，根據(jù)Profile，a11233112.ru.ch的異常訪問馬上體現(xiàn)出來。該域名在30秒內(nèi)被4個不同用戶共25訪問，對比“正常的”30秒窗口，這種超過10倍的訪問是非常可疑的。在這種情況下，DomainProfiling operator就會報告這樣的域名是“可疑的”。

前面的例子目的是闡明如何利用DomainProfiling判斷域名的訪問是“良性的”還是“可疑的”。在實際使用中，并非對所有的DNS記錄進行判斷，而是根據(jù)一定的規(guī)則預(yù)先進行過濾，例如，利用黑名單和白名單進行過濾，以確保DomainProfiling分析的準(zhǔn)確性。下圖是Streams實現(xiàn)實時網(wǎng)絡(luò)檢測的原型：

IBM在GitHub上提供了該樣例代碼，以便開發(fā)人員參考和使用。下載代碼請訪問//github.com/IBMStreams/streamsx.cybersecurity.starterApps

本文暫時先介紹DomainProfiling，而HostProfiling的用法與前者類似，因此不再闡述。關(guān)于PredictiveBlacklisting的原理和使用，請關(guān)注下期的文章。

IBM InfoSphere Streams 試用版下載地址:

詳情請咨詢！

客服熱線：023-66090381