0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看威廉希尔官方网站 视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

虹科分享 | 加密流量分析 |为什么数据包是网络安全攻击的数字传播媒介

虹科网络可视化威廉希尔官方网站 2023-02-15 11:42 次阅读

随着世界变得更加加密,数据包仍然是数据泄露调查的关键,所以我们现在需要用新的方式来查看数据包元数据而不是实际数据包内容。使用解密密钥、中间盒或端点进行中断和检查会带来性能和隐私挑战。

但是,数据包仍然可以解锁强大的线索,即使以加密的方式,以检测和重建网络攻击的时间线,即使加密数据也是这样。虹科LiveAction使用一种称为加密流量分析或ETA的威廉希尔官方网站 ,该威廉希尔官方网站 依赖于三个级别的数据包数据来推断流内部发生的事情。

您可以从数据包中获取三种不同级别的丰富数据

1.标头信息或 NetFlow v5

查看主机何时与其他人通信、源 IP、目标 IP、源端口、目标端口、使用的协议、数据包中的字节数、时间和持续时间,以及这些之间有效负载的连接类型。

2.来自加密的元数据

分析查看加密元数据的证书和参数,观察者可以分析通信通道本身的特征,例如密码强度和类型、服务器标识以及连接是否已降级。所有这些特征都是可用的。它通过将加密分析威廉希尔官方网站 与传统流量分析和机器学习相结合来检测该连接中的复杂模式,从而提供安全性。

3.数据包动态

数据包动态是描述数据包特征的数据。它观察数据包的大小、到达间隔时间以及这些不同类型连接之间的到达时间的关系,以便在看不到有效负载的情况下对内容进行推断。

所有这些数据源都提供可见性,而无需解密有效负载。

接下来让我们看看数据包如何帮助您识别攻击者行为和常见的网络攻击。

1

暴力破解尝试

在进行暴力破解尝试时,我们希望检测远程服务使用情况以及某人连接到 RDP 或 SSH 等应用程序的频率。我们调查这些远程连接中涉及多少字节和数据包、正在进行哪些文件传输以及这些文件将传输给谁。收集到的其他信息包括新相邻主机上的新链接和文件传输。此攻击的基线指标包括扫描、重要的二进制传输以及指示恶意软件感染正在传播的行为复制。

RDP 和 SSH 都有多次握手。根据这些握手中的数据包,我们可以检测它是成功还是失败。如果发生暴力破解尝试,则引用跨不同流的成功或失败连接的历史数据包数据的能力可以指向初始访问发生的时间。实际上,情况可能会以这种方式进行:密码失败的次数过多,该 IP 被标记,并且从该 IP 成功建立连接。

这种可见性使 IT 团队能够针对这些情况创建具有更高优先级的目标警报。虽然数据包动态看不到用户名或密码,但元数据揭示了系统在响应成功或失败尝试时的反应行为。

2

网络钓鱼攻击

数据包动态和机器学习可以帮助最终用户检测网络钓鱼尝试。许多网络钓鱼计划基于URL和域来让人们点击网络钓鱼电子邮件。我们的方法着眼于进入的网络流量。钓鱼网站的数据包动态签名与互联网上的大多数传统网站明显不同。因此,数据包动态驱动的 ML 模型可以区分这两者。此模型是通过收集和比较数千个已知网络钓鱼站点的示例来构建的,这些站点已针对已知的安全网站进行了人工验证。

Facebook或银行的近似匹配像素与人眼无法区分。机器学习着眼于数据包动态和到达时间的差异、不同的下载模式和键盘交互。虹科LiveAction创建了一个监督模型,该模型训练已知的网络钓鱼数据,并在新数据进入时将其应用于新数据,以寻找检测。

3

命令和控制攻击 (C2)

在字节中查找意外加密以指示命令和控制攻击。命令和控制攻击可能会尝试利用开放和现有端口,如端口 80,传统上未加密的 HTTP 大多数在防火墙上开放。如果特定恶意软件使用加密命令和控制,则它可能会使用端口 80。我们寻找特定协议的特征熵评分,以帮助检测这是否按预期运行。

端口 443 通常是与 HTTPS 对应的加密端口。如今,大多数 Web 流量都通过端口 443,但由于它对防火墙开放,因此一些恶意软件也会使用它——欺骗机器人。恶意软件可以通过 443 发送纯文本 HTTP。总的来说,我们正在寻找错误位置的加密和应该加密的纯文本,并且可以使用数据包动态来检测这些异常。

4

识别威胁参与者行为

侦察

受感染的主机将使用主动或被动扫描在网络中搜索易受攻击的主机。PCAP允许您查找唯一的主机,异常数量的主机,端口扫描,IP扫描

横向移动

当数据传输到易受攻击的主机时,横向移动开始。文件或恶意软件已经被配置,那么下一个主机就会被感染,斌且对新主机重复该行为。我们在数据包动态中寻找复合的重复行为来识别这种运动。

数据采集

有价值的数据被传输并集中在特定的主机上,为泄露做准备。这通常以“低而慢”的速度执行,以避免检测。受感染的主机将联系其他受感染的主机,并将数据拉取到暂存点进行外泄。可以通过数据包数量、字节数、文件传输、应用程序使用情况和主机之间发送的数据等指标来确定变化趋势。这些结果可以揭示那些外泄的暂存数据。

渗漏

当暂存数据导出到网络外部的外部方时,会发生外泄。威胁参与者通常使用标准和自定义通信通道将数据发送到外部主机。可以通过查看数据包、字节、访问的域数以及发送到每个域的字节数来识别主机随时间推移的行为方式。每日传输中的更改点可能不会超过单个阈值,但随着时间的推移,它们将分析数据包元数据,以提醒组织注意行动中的数据外泄以及可能存在的指标。

无论威胁参与者如何发展,虹科LiveAction 都会跟上步伐,引入创新威廉希尔官方网站 并使用数据包来预防、检测和缓解威胁。

今日推荐

虹科网络检测和响应(NDR)解决方案——ThreatEye

保护您的整个网络——从核心到边缘再到云

先进的持续性威胁和武器化漏洞的速度远远超过了现在的网络防御者,但是传统的工具总是落后一步,并不能解决这个问题,因此你需要的是一个面向未来的安全解决方案,以此来降低风险和责任。

虹科ThreatEye是一个网络检测和响应(NDR)平台,专为网络安全而构建。虹科ThreatEye结合下一代数据收集、高级行为分析和流式机器学习进行威胁检测和安全合规性,不受加密网络流量的影响,以此来强化您的网络安全策略。


AI驱动的NDR行为分析

深度数据包动态

跨多供应商、多域和多云网络环境的150+数据包特征和行为

与数据包内容无关

机器学习

扩展的深度数据包动态实时分析

专为企业网络安全而打造

加密流量分析

检测同类产品所遗漏的内容

可操作的情报

消除加密盲区

验证端到端加密合规性

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 网络安全
    +关注

    关注

    10

    文章

    3158

    浏览量

    59733
  • 数据包
    +关注

    关注

    0

    文章

    261

    浏览量

    24390
收藏 人收藏

    评论

    相关推荐

    加密算法在网络安全中扮演什么角色?

    加密算法在网络安全中扮演着至关重要的角色,以下是它们的主要功能和作用: 保护数据机密性 : 加密算法确保只有授权用户才能访问敏感数据,防止
    的头像 发表于 12-17 16:00 69次阅读

    什么是协议分析仪和训练器

    )是一种专用硬件或软件工具,用于监视、分析和诊断计算机网络中的通信协议。它能够捕获数据包、解析协议头部信息、展示通信流量,并帮助用户识别网络
    发表于 10-29 14:33

    纯净IP:守护网络安全的重要道防线

    纯净IP,作为守护网络安全的道防线,扮演着至关重要的角色。它不仅关乎网络流量的顺畅与高效,更是确保用户数据安全、防止恶意攻击和非法访问的关键
    的头像 发表于 10-25 07:34 184次阅读

    艾体宝干货 OIDA之四:掌握数据包分析-分析的艺术

    本文是OIDA方法系列的最后一部分,重点介绍了数据包分析的“分析”阶段。这一最后阶段将剖析阶段的精炼数据转化为可操作的见解,使网络管理员和
    的头像 发表于 09-24 11:47 194次阅读
    艾体宝干货 OIDA之四:掌握<b class='flag-5'>数据包</b><b class='flag-5'>分析</b>-<b class='flag-5'>分析</b>的艺术

    国产网络安全主板在防御网络攻击中的实际应用

    在现代信息威廉希尔官方网站 迅猛发展的背景下,网络安全问题变得越来越复杂和严峻。从企业到个人用户,各类网络攻击事件频繁发生,威胁着数据安全和系统的稳定。
    的头像 发表于 09-18 10:47 294次阅读

    IP风险画像如何维护网络安全

    的重要工具。 什么是IP风险画像? IP风险画像是一种基于大数据分析和机器学习威廉希尔官方网站 的网络安全管理工具。它通过对IP地址的网络行为、流量特征、历史记录等多维度
    的头像 发表于 09-04 14:43 299次阅读

    IP定位威廉希尔官方网站 追踪网络攻击源的方法

    线索我们可以一路追查,最终定位到攻击源头。 IP定位威廉希尔官方网站 的工作流程 数据收集 通过网络安全设备,例如入侵检测系统IDS/IPS的实时监测与分析,我们能够捕获到流经
    的头像 发表于 08-29 16:14 410次阅读

    TSN抓包工具解密:数据包捕获,为什么选Profishark?

    网络管理中,网络流量分析和故障排查是重要环节,如何高效精准地进行网络流量分析和故障排查?来看看利用ProfiShark数据包捕获,让我们一起探索其中的优势和特点。一、捕获
    的头像 发表于 04-29 08:04 579次阅读
    TSN抓包工具解密:<b class='flag-5'>数据包</b>捕获,为什么选Profishark?

    艾体宝产品 | Allegro网络流量分析

    艾体宝产品 | Allegro网络流量分析
    的头像 发表于 04-29 08:04 479次阅读
    艾体宝产品 | Allegro<b class='flag-5'>网络流量分析</b>仪

    艾体宝干货 | TSN抓包工具解密:为什么选择使用 ProfiShark 进行数据包捕获?

    时间敏感网络(TSN)威廉希尔官方网站 正在成为工业控制和实时通信领域的关键威廉希尔官方网站 ,而ProfiShark作为一款高性能的数据包捕获工具,提供了在TSN网络环境中进行网络流量分析和故障排查的解决方案。
    的头像 发表于 04-25 17:41 461次阅读
    艾体宝干货 | TSN抓包工具解密:为什么选择使用 ProfiShark 进行<b class='flag-5'>数据包</b>捕获?

    干货 | 长文预警!使用ntopng和NetFlow/IPFIX检测Dos攻击(上)

    本文深入研究了网络DoS攻击的现象,并介绍了如何利用NetFlow协议进行威胁检测和分析。通过使用工具如Ntopng和Wireshark,我们可以监控网络流量并及时识别潜在的DoS
    的头像 发表于 04-15 16:04 382次阅读
    <b class='flag-5'>虹</b><b class='flag-5'>科</b>干货 | 长文预警!使用ntopng和NetFlow/IPFIX检测Dos<b class='flag-5'>攻击</b>(上)

    请问高端网络芯片如何处理数据包呢?

    随着网络芯片带宽的持续提升,其内部数据包处理单元的工作负载也随之增加。然而,如果处理单元无法与网络接口的传入速率相匹配,将无法及时处理数据包,这不仅会导致
    的头像 发表于 04-02 16:36 628次阅读
    请问高端<b class='flag-5'>网络</b>芯片如何处理<b class='flag-5'>数据包</b>呢?

    勒索病毒的崛起与企业网络安全的挑战

    数字化时代,网络安全已成为企业维护信息完整性、保障业务连续性的关键。然而,勒索病毒以其不断进化的攻击手段和商业化模式,成为全球网络安全领域最严峻的威胁之一。本文将概述勒索病毒带来的危
    的头像 发表于 03-16 09:41 485次阅读

    Allegro优化网络分析——针对以服务为中心的IT基础设施

    ,也可能造成重大损失。Allegro的网络流量分析仪可提供大量数据,以确定客户端、网络和服务器中存在问题的部分,从而更快、更轻松地解决I
    的头像 发表于 03-05 08:05 604次阅读
    Allegro优化<b class='flag-5'>网络分析</b>——针对以服务为中心的IT基础设施

    CSRF攻击的基本原理 如何防御CSRF攻击

    在当今数字化时代,随着网络应用的快速发展,网络安全问题变得日益突出,网络攻击手段也日益猖獗。在众多网络安
    的头像 发表于 01-02 10:12 2707次阅读
    CSRF<b class='flag-5'>攻击</b>的基本原理 如何防御CSRF<b class='flag-5'>攻击</b>