智能下一代防火墙智能功能介绍-异常行为检测-HillstoneNetworks.PDF

智能下一代防火墙智能功能介绍-异 常行为检测 Hillstone Networks Inc. 2015 年 08 月 21 日 内容提交人 审核人 更新内容 日期 韩继 王辉 V1 2015-09-01 目录 1 方案背景3 2 需求分析3 3 解决方案4 4 实现方式7 4.1 网络拓扑7 4.2 部署方式7 4.2.1 智能下一代防火墙边界部署7 4.2.2 部署配置7 5 建设效果16 1 方案背景 特征过多 ： 每天产生的新恶意软件样本数量多达16万 ；黑客通过大量的方法来瓦解特征策 略，如插入无用的字符串或改变恶意软件时间的顺序来改变特征 ；变形和多态攻击 可在单次攻击中多次对代码进行少量更改 ；黑客会通过常用防病毒和入侵防御的解 决方案来测试他们的软件，以确保不被检测到 感染途径广泛 ： 网络途径 ，85%的恶意软件感染都来源于网站，据统计每天有30,000个新站点受 到感染 ： 下载盗版电影，软件或音乐 ；微博上的缩写网址 ；安装来路不明的防病毒软件 ；手 机上使用定位网站和服务 ；将恶意软件暗中插入到微博、QQ等流行网络应用的网 站上 ；外部媒介途径：USB、随身WiFi等 2 需求分析 很多用户已经花费很多钱在安全防护上，能够起到一定的效果；但是，随着黑客技术的 提高，其利用大量先进的攻击策略，规避传统安全解决方案的检测，使内网用户遭受未 知威胁攻击，会导致窃取用户数据和隐私： （1 ）便携电脑在外部感染威胁后进入网络内部 （2 ）通过U 盘、随身 WIFI 等绕过防火墙进入内网 （3 ）通过移动终端植入 （4 ）像学校这类用户，无法强制内网用户安装杀毒软件保证内网的安全，或者即使安 装了杀毒软件，不及时更新也会感染恶意软件 （5 ）像税务、海关用户，内网服务器是IBM 小型机或是 HP unix 系统，无法安装杀毒 软件，更容易感染恶意软件 （6 ）像企业、政府用户，领导的PC 一般都不受控制，难免会遭受变种恶意软件 …… 传统方案缺陷 ： 终端防病毒 （杀毒软件） ： 1. 无法控制用户安装和更新杀毒软件 2. 特殊系统的服务器无法安装杀毒软件 3. 即便有杀毒软件，新型和变种的恶意软件也无法查杀 基于签名技术防病毒网关： 1. 多态和变形技术可以逃逸防病毒网关的检测 2、特征库的更新需要时间，造成响应延时 3、防病毒网关能够过滤的应用协议有限 沙箱： 1. 既定的操作系统上对有限的文件类型，进行非实时的检测 2、恶意软件开发人员对这项技术已经非常了解 3 解决方案 山石网科智能下一代防火墙的基于业务行为机器学习，建立动态安全模型。通过先进的 算法更准确预测当前的行为 ，发现隐蔽式的网络攻击，如CC 攻击、慢速 DDOS、大量 数据窃取等。采用新的 adaptive learning 算法替代原来的 baseline 算法，可动态根 据不同网络使用情况准确计算预测值。自动检测当前状态与预测值差异，一旦发现异常 实时告警。 建模算法优势 Adaptive learning 算法更准确的计算预测值，能够更准确描绘流量的趋势。对于突发 的正常行为可以进行很好的判断，减少误报。 异常行为检测工作流程： 1. 获取当前异常行为检测对象的模型 2. 根据客户的配置及服务器类型大致推举模型 3. 获取异常的参量 4. 进行对比并参考攻击类型及其行为推测攻击