分類
Information Security

網路安全NTA技術基本分析

​本文章,主要參考資料為,《Market Guide for Network Traffic Analysis》by Gartner;《Network Traffic Analysis》 by awake;《NTA以及空間與時間的防禦——山石網科的安全理解》by 山石網科;2020年1月,與Gartner分析師的現場討論。如有不對及錯誤之處請及時提醒,以便本人修正。

2、NTA是什麼?

Gartner對NTA的定義

​NTA使用 機器學習 、 高階分析 和 特徵分析 來檢測企業網路上的可疑行為。NTA不斷地分析原始流量,以構建反映 正常網路行為的模型 。當NTA工具檢測到異常的流量模式時,它們會發出警報。除了監視跨越企業邊界的北/南通訊量之外,NTA解決方案還接入東西流量。

Gartner提出NTA的兩個結論

  • 在技術上,NTA使用行為分析技術,幫助企業檢測可疑流量,用以發現更多其他裝置不能發現的安全問題。
  • 在市場上,NTA市場門檻低,且市場很擁擠(原來傳統安全廠商很容易就進入)

山石關於NTA定義的解讀

​NTA是一種功能和能力,而非純粹的一個產品。NTA融合了傳統的基於規則的檢測技術,以及機器學習和其他高階分析技術,用以檢測企業網路中的可疑行為,尤其是失陷後的痕跡。NTA通過DFI和DPI技術來分析網路流量,通常部署在關鍵的網路區域對東西向和南北向的流量進行分析,而不會試圖對全網進行監測。

4、個人分析

個人對NTA的定義

首先,我先給出我對NTA的定義,大家可以先此有一些基本概念。

  1. NTA是一種功能和能力。
  2. NTA功能利用行為基線,進行安全問題分析。
  3. NTA功能某些方面與網路效能管理類似,具有對當前網路的可視性。
  4. NTA功能主流的分析方法是 對比 。
  5. NTA功能與入侵檢測功能邏輯等價,都會在邊界類盒子產品中出現。
  6. NTA功能要做的是定義網路行為,收集網路行為。
  7. NTA功能要在核心節點進行收集行為,有南北向流量、也有東西向流量。
  8. NTA功能要能有發現可疑流量的能力。
  9. NTA功能要能有展示入侵證據的能力。
  10. NTA功能要能有定義入侵事件的能力。
  11. 產品還要圍繞NTA功能提示客戶一些修復建議。

NTA定義解讀的角度一

​NTA與IDS的輸入是一致的(網路映象流量),輸出也是一致的(安全威脅事件),二者的區別在於發現威脅的方法不同。因此,我們可以理解為,NTA是補充邊界安全產品的一項技術能力,與入侵檢測能力在邏輯上是等價,兩者都是幫助企業發現威脅的技術能力。此外個人還認為,只要是在接入映象流量後,使用正常資料構建資料基線,然後以對比的方式進行安全分析,就可以算NTA能力。

  • 入侵檢測發現威脅的方式是利用特徵檢測判斷異常或者入侵行為。
  • NTA發現威脅的方式是利用多種技術構建正常行為模型,以資料基線的角度判斷異常或者入侵行為。

​在安全場景上看,即使是APT攻擊,攻擊者依然會遵循一定的方式進行:前期對IT環境的偵查、對邊界的嘗試繞過、社會工程學與釣魚的針對人攻擊、內網的擴散、後門的植入等。而NTA的的價值就在於通過對實際流量進行分析、對比,發現威脅。

​在分析能力上看,基於行為模型分析的分析技術,行為模型的質量主要依賴於模型訓練的能力,模型訓練的質量主要依賴於安全大資料的量級與質量,這點也是小安全廠商無法建立技術壁壘的因素,也就是說由於這種依賴關係,小廠商的NTA能力大概率是不如大廠商。

​當然,隨著傳統邊界安全產品在處理效能上的提升,部署也可以覆蓋南北,東西向流量。這點不是NTA獨有。

NTA定義解讀的角度二

​在密碼學中,旁道攻擊又稱側通道攻擊、邊通道攻擊(英語:Side-channel attack)是一種攻擊方式,它基於從密碼系統的物理實現中獲取的資訊而非暴力破解法或是演算法中的理論性弱點(較之密碼分析)。例如:時間資訊、功率消耗、電磁洩露或甚是聲音可以提供額外的資訊來源,這可被利用於對系統的進一步破解。某些側通道攻擊還要求攻擊者有關於密碼系統內部操作的技術性資訊,不過,其他諸如差分電力分析的方法在黑盒攻擊中效果明顯。許多卓有成效的側通道攻擊基於由保羅·科切開拓的統計學方法。

​側通道攻擊帶給我們的知識,是讓我們懂得分析問題維度是多種多樣的。隨著我們對知識點了解的更深,尋找資訊的視野與寬度就會變得更加獨特。比如判斷一個人是否在跑步,首先我們可以從畫面的角度判斷,另外還可以從地面的震動,空氣的流動,這個人的心率等其他維度進行綜合判斷。此外,如果還有時間軸的資訊,那麼有時間標註的圖片,外加上位置資訊,也可以判斷。https://googleads.g.doubleclick.net/pagead/ads?client=ca-pub-1822891735294022&output=html&h=280&adk=2052652991&adf=1545348441&pi=t.aa~a.227032608~i.85~rp.4&w=710&fwrn=4&fwrnh=100&lmt=1644850278&num_ads=1&rafmt=1&armr=3&sem=mc&pwprc=2204832630&psa=1&ad_type=text_image&format=710×280&url=https%3A%2F%2Fwww.gushiciku.cn%2Fpl%2FpY5e%2Fzh-tw&flash=0&fwr=0&pra=3&rh=178&rw=710&rpe=1&resp_fmts=3&wgl=1&fa=27&uach=WyJtYWNPUyIsIjEyLjEuMCIsImFybSIsIiIsIjk4LjAuNDc1OC44MCIsW10sbnVsbCxudWxsLCI2NCIsW1siIE5vdCBBO0JyYW5kIiwiOTkuMC4wLjAiXSxbIkNocm9taXVtIiwiOTguMC40NzU4LjgwIl0sWyJHb29nbGUgQ2hyb21lIiwiOTguMC40NzU4LjgwIl1dXQ..&dt=1644849675680&bpp=1&bdt=290&idt=1&shv=r20220209&mjsv=m202202030101&ptt=9&saldr=aa&abxe=1&cookie=ID%3D03817e540e91079b-2261bb309ed0001b%3AT%3D1644849641%3ART%3D1644849641%3AS%3DALNI_MZlnRqHBxGYLRvdz4GXS7Um_PX4gQ&prev_fmts=0x0%2C720x280%2C360x280%2C1005x124&nras=4&correlator=349663976246&frm=20&pv=1&ga_vid=1595495561.1644849641&ga_sid=1644849676&ga_hid=1071791596&ga_fc=1&u_tz=480&u_his=12&u_h=1080&u_w=1920&u_ah=1055&u_aw=1920&u_cd=24&u_sd=1&dmc=8&adx=126&ady=3931&biw=1351&bih=780&scr_x=0&scr_y=830&eid=42531397%2C21067496&oid=2&psts=AGkb-H9PyFk1IJ_jbm1OXuaFenjA75iQv2BS43ey_eDuSnjVMFMI4b2HMQ6LnZCkTyswDg5SdBuNCeZURgs%2CAGkb-H-bFKSiNz-LSBYsIKUxxXiDKflI4CEOLdx2prGErJj5teGX84P36RY8gQMGPTYRJLeJn_Qr9iophguNQyz2duyF5TQiPNf3GLhPF2sB&pvsid=3479824829917071&pem=52&tmod=715103767&uas=1&nvt=1&eae=0&fc=1408&brdim=-1564%2C165%2C-1564%2C165%2C1920%2C70%2C1366%2C891%2C1366%2C780&vis=1&rsz=%7C%7Cs%7C&abl=NS&fu=128&bc=31&ifi=4&uci=a!4&btvi=3&fsb=1&xpc=Kxh4vH2dPD&p=https%3A//www.gushiciku.cn&dtd=M

​其實做入侵檢測也是如此,分析資訊的維度不光有當前資訊的內容,還可以有承載資訊的通道,也就是Tcp流的概念。NTA的概念從這個角度也可以解釋,NTA關注的點是行為。思考類比,比如生活中的運動手環,蘋果手錶,等一些可穿戴產品都是基於行為資料來作為資料分析的依據。

​因此以生活中的行為分析為基礎,類比網路安全的行為分析。那麼得出的結論是,能直接進行資訊判斷的還應該保持,併發揮其特長;當不能進行直接分析時,我們才會進行行為分析。因此DPI技術和NTA技術是對入侵檢測能力的相互補充,而不是替代。

NTA安全場景分析

​NTA在流量側解決的問題,一定是傳統裝置不能解決的,或者說是傳統手段解決不好的問題,也就是通過DPI不能解決的問題。

​NTA解決的是異常流量行為問題,我總結了一些安全場景,如下所示。

  1. 高頻攻擊產生的異常流量
  2. 黑客入侵產生的異常流量
  3. 終端病毒產生的異常流量
  4. 高階威脅產生的異常流量
  5. 資料外洩產生的異常流量
  6. 殭屍網路產生的異常流量
  7. 惡意挖礦產生的異常流量
  8. 網路蠕蟲產生的異常流量

NTA關鍵點分析

​由於NTA要解決的安全問題,以及解決問題使用的方法。因此,個人認為要想獲得強大的NTA能力,以及在NTA側建立領先優勢,需要在三個方面下功夫。

​第一,明確安全場景,對安全場景理解的越深入,就越能夠了解到解決這類問題的基本需求,還能夠幫助我們在研發上獲得更好的結構性。從另一個方面講,明確安全場景也是對“未知攻,焉知防”的最佳實踐。https://googleads.g.doubleclick.net/pagead/ads?client=ca-pub-1822891735294022&output=html&h=280&adk=2052652991&adf=3193967769&pi=t.aa~a.227032608~i.105~rp.4&w=710&fwrn=4&fwrnh=100&lmt=1644850286&num_ads=1&rafmt=1&armr=3&sem=mc&pwprc=2204832630&psa=1&ad_type=text_image&format=710×280&url=https%3A%2F%2Fwww.gushiciku.cn%2Fpl%2FpY5e%2Fzh-tw&flash=0&fwr=0&pra=3&rh=178&rw=710&rpe=1&resp_fmts=3&wgl=1&fa=27&uach=WyJtYWNPUyIsIjEyLjEuMCIsImFybSIsIiIsIjk4LjAuNDc1OC44MCIsW10sbnVsbCxudWxsLCI2NCIsW1siIE5vdCBBO0JyYW5kIiwiOTkuMC4wLjAiXSxbIkNocm9taXVtIiwiOTguMC40NzU4LjgwIl0sWyJHb29nbGUgQ2hyb21lIiwiOTguMC40NzU4LjgwIl1dXQ..&dt=1644849675682&bpp=1&bdt=292&idt=0&shv=r20220209&mjsv=m202202030101&ptt=9&saldr=aa&abxe=1&cookie=ID%3D03817e540e91079b-2261bb309ed0001b%3AT%3D1644849641%3ART%3D1644849641%3AS%3DALNI_MZlnRqHBxGYLRvdz4GXS7Um_PX4gQ&prev_fmts=0x0%2C720x280%2C360x280%2C1005x124%2C710x280&nras=5&correlator=349663976246&frm=20&pv=1&ga_vid=1595495561.1644849641&ga_sid=1644849676&ga_hid=1071791596&ga_fc=1&u_tz=480&u_his=12&u_h=1080&u_w=1920&u_ah=1055&u_aw=1920&u_cd=24&u_sd=1&dmc=8&adx=126&ady=4618&biw=1351&bih=780&scr_x=0&scr_y=1510&eid=42531397%2C21067496&oid=2&psts=AGkb-H9PyFk1IJ_jbm1OXuaFenjA75iQv2BS43ey_eDuSnjVMFMI4b2HMQ6LnZCkTyswDg5SdBuNCeZURgs%2CAGkb-H-bFKSiNz-LSBYsIKUxxXiDKflI4CEOLdx2prGErJj5teGX84P36RY8gQMGPTYRJLeJn_Qr9iophguNQyz2duyF5TQiPNf3GLhPF2sB&pvsid=3479824829917071&pem=52&tmod=715103767&uas=1&nvt=1&eae=0&fc=1408&brdim=-1564%2C165%2C-1564%2C165%2C1920%2C70%2C1366%2C891%2C1366%2C780&vis=1&rsz=%7C%7Cs%7C&abl=NS&fu=128&bc=31&ifi=5&uci=a!5&btvi=4&fsb=1&xpc=AckNLat2Qm&p=https%3A//www.gushiciku.cn&dtd=M

​第二,明確基礎資料。這裡的基礎資料可以是輸入到人工智慧模型裡的結構化資料,也可以是安全演算法需要的資料,我們要了解基礎資料能提供的資訊以及這些資訊背後的含義。其實這點也是對安全場景理解的基礎上,再進行深入理解。

​第三,分析演算法選擇。這裡我不建議非要用機器學習演算法,我們知道機器學習演算法目前在對結構化資料理想的情況下,會表現出不錯的能力。但是對於安全資料,結構化的程度,資訊量的提供,這些都會打一個問號。當然,如果有很好的安全能力和演算法能力,那這還是可以去嘗試的。個人認為使用正常資料模板和安全場景模板這兩種方式,會比較立竿見影。從攻擊者視角思考,利用工具進行高效的攻擊是一個好的選擇。而且絕大數的攻擊者並沒有具備改變安全工具行為模式的能力,因此我們構建安全工具行為模板可以有效的進行對抗。

軟體架構基本分析

​對於在企業級市場中,中大型企業一般都會對多個關鍵點的映象流量資料進行安全檢測,因此在這種情況下,使用探針和平臺的架構是非常合理的。在探針側進行獨立的資料採集、在平臺側進行資料彙總及管理,後期也能比較方便的和其他產品聯動。

​由於NTA功能的融入,平臺側需要很大的計算能力,因此平臺側選擇大資料架構是比較合適的,大資料架構提供的資訊儲存能力、資訊檢索能力、資訊計算能力,可以有效的提升我們的異常分析能力。

關於資料基線的引申

​對於NSFOCUS使用NetFlow構建資料基線是沒問題的,但其實也可以擴大一些概念。我們不妨把NSFOCUS使用的叫NetFlow資料基線,於此同時,不難可以聯想到其他資料基線,比如http訪問資料基線、dns訪問資料基線,資料庫行為資料基線,郵件行為資料基線,以此類推,我們可以構建更多味的的資料基線,當然怎麼進行資料基線的處理則是另一回事。

5、相關資訊

DFI和DPI技術介紹

​DPI全稱為“Deep Packet Inspection”,稱為“深度包檢測”。DPI技術在分析包頭的基礎上,增加了對應用層的分析,是一種基於應用層的流量檢測和控制技術,當IP資料包、TCP或UDP資料流經過基於DPI技術的頻寬管理系統時,該系統通過深入讀取IP包載荷的內容來對OSI7層協議中的應用層資訊進行重組,從而得到整個應用程式的內容,然後按照系統定義的管理策略對流量進行整形操作。

​DFI全稱為“Deep/Dynamic Flow Inspection“,稱為”深度/動態流檢測“,與DPI進行應用層的載荷匹配不同,採用的是一種基於流量行為的應用識別技術,即不同的應用型別體現在會話連線或資料流上的狀態各有不同。 DFI技術正是基於這一系列流量的行為特徵,建立流量特徵模型,通過分析會話連線流的包長、連線速率、傳輸位元組量、包與包之間的間隔等資訊來與流量模型對比,從而實現鑑別應用型別。

資料來源:https://www.gushiciku.cn/pl/pY5e/zh-tw

作者: stevencho

從事資訊工作二十多年,對資安極具熱情,在 Network Security, Endpoint Security, 及 Mobile Security 等資安領域有超過十年以 上的經驗。曾任職精誠資訊資安產品代理部門技術經理,負責 資安產品之技術支援與大型企業導入專案。此外,他也取得了 ISO 27001 主導稽核員證書及 Check Point 的 CCSA 與 CCSE 等防 火牆產品的專業證照。