首页 > 传媒 > 关键词 > 大数据平台最新资讯 > 正文

迪普科技威胁感知大数据平台安全实践——隐匿隧道攻击检测及防范技术

2020-08-10 16:50 · 稿源:站长之家用户投稿

什么是隐匿隧道攻击?

在实际的网络中,通常会通过各种边界设备、软/硬件防火墙甚至入侵检测系统来检查对外连接情况,如果发现异样,就会对通信进行阻断。如果发起方将数据包按照边界设备所允许的数据包类型或端口进行封装,然后穿过边界设备与对方进行通信,当封装的数据包到达目的地时,将数据包还原,并将还原后的数据包发送到相应服务器上。这种技术称为隧道技术。

在黑客实际入侵过程中,攻击者在开始与被控制主机通信时,通过利用DNS、ICMP等合法协议来构建隐匿隧道来掩护其传递的非法信息,这类攻击称为隐匿隧道攻击

隐匿隧道攻击引发的典型安全事件

Google极光攻击

Google Aurora(极光)攻击是一个十分著名的APT攻击。Google的一名雇员点击即时消息中的一条恶意链接,该恶意链接的网站页面载入含有shellcode的JavaScript程序码造成IE浏览器溢出,进而执行FTP下载程序,攻击者通过与受害者主机建立SSL隐匿隧道链接,持续监听并最终获得了该雇员访问Google服务器的帐号密码等信息,从而引发了一系列事件导致这个搜索引擎巨人的网络被渗入数月,并且造成各种系统的数据被窃取。

美国E公司数据泄露事件

E公司是是美国三大个人信用服务中介机构之一,攻击者通过利用隐匿隧道攻击规避了其强访问控制设备、防火墙、入侵检测系统等边界防护措施,导致超过1. 47 亿个人征信记录被暴露。

隐匿隧道攻击特点

隐匿隧道攻击最典型的特点在于其隐蔽性。为避免非法通信行为被边界设备拦截,攻击者通常会将非法信息进行封装,表面上看似是正常业务流量,实则“危机四伏”。由于大部分边界设备的流量过滤机制依赖于端口和协议,网络攻击检测机制依赖于流量特征,从而无法对这类精心构造的非法信息进行拦截。因此,攻击者可通过与被入侵主机建立隐匿隧道通信连接,达到传递非法信息的目的,如病毒投放、信息窃取、信息篡改、远程控制、利用被入侵主机挖矿等。

常见的隐匿隧道攻击类型

随着目前安全防护措施的不断完善,使用HTTP通信时被阻断的几率不断增大,攻击者开始选择更为安全隐蔽的隧道通信技术,如DNS、ICMP、各种协议over HTTP隧道等。由于DNS、ICMP等协议是大部分主机所必须使用的协议,因此基于DNS协议、ICMP协议构建隐匿隧道通信的方式逐渐成为隐匿隧道攻击的主流技术。

■ DNS隐匿隧道攻击

DNS隧道是将其他协议的内容封装在DNS协议中,然后以DNS请求和响应包完成传输数据(通信)的技术。当前网络世界中的DNS是一项必不可少的服务,所以防火墙和入侵检测设备出于可用性和用户友好的考虑将很难做到完全过滤掉DNS流量,因此,攻击者可以利用它实现诸如远程控制,文件传输等操作,众多研究表明DNS Tunneling在僵尸网络和APT攻击中扮演着至关重要的角色。

DNS隐匿隧道构建

■ ICMP隐匿隧道攻击

ICMP隧道是指将TCP连接通过ICMP包进行隧道传送的一种方法。由于数据是利用PING请求/回复报文通过网络层传输,因此并不需要指定服务或者端口。这种流量是无法被基于代理的防火墙检测到的,因此这种方式可能绕过一些防火墙规则。

ICMP隐匿隧道构建

迪普科技解决方案

网络安全威胁感知大数据平台高效检测隐匿隧道攻击

由于攻击者将非法数据进行封装,利用正常的协议构建隐匿隧道进行非法通信,攻击特征极不明显,因此可轻易躲过现网中基于规则特征检测网络攻击的安全防护措施;而传统的隐匿隧道攻击检测技术大多依赖于简单的统计规则进行检测,如统计请求频率、判断请求数据包大小等,依靠单一维度的检测、分析机制,导致隐匿隧道攻击检测的误报率非常高。

针对隐匿隧道攻击,迪普科技安全算法团队通过收集大量的不同协议的隐匿隧道流量样本进行分析测算,构建出多种隐匿隧道攻击检测模型, 并成功应用到迪普科技网络安全威胁感知大数据平台,如针对DNS隐匿隧道,通过匹配报文中所呈现出的域名信息、域名后缀信息、response应答信息,以及请求频率、请求数据包大小等内容进行综合评估分析;针对ICMP隐匿隧道攻击,通过匹配数据包发送频率、type值、应答信息、payload大小及内容等进行综合分析。有效提升隐匿隧道攻击检测效率,隐匿隧道攻击检出率高达98%以上!

隐匿隧道攻击高效检出

隐匿隧道攻击防范指南

■ 定期采用主流杀毒软件进行查杀,对出现的未知软件及时进行清除。

■ 对有关出站或入站DNS查询的长度、类型或大小等建立规则。

■ 借助网络安全分析设备对用户和(或)系统行为进行分析,可自动发现异常情况,例如访问新域时,尤其是访问方法和频率异常时。

■ 处于生产区的服务器主机在必要时禁止ICMP协议。

免责声明:“站长之家”的传媒资讯页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与我们联系删除或处理。稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性,更不对您的投资构成建议。我们不鼓励任何形式的投资行为、购买使用行为。

  • 相关推荐
  • 大家在看
  • 联想大数据平台、国产操作系统麒麟配对成功!自主可控

    从联想官方获悉,近日,由联想自主研发的软件产品——联想大数据平台LeapHD与银河麒麟高级服务器操作系统完成兼容性测试,达到了通用兼容性要求,及性能、可靠性要求,能够满足用户的

  • 又被“大数据杀熟”了?

    这是 7 月国内跨省旅游开放后的第一个节假日,又遇上国庆中秋连休 8 天。携程数据显示,预计今年国庆中秋 8 天长假旅游人次可能达到 6 亿。

  • 时速250公里!马斯克称拉斯维加斯环形隧道几乎完工

    在2020年大部分的时间里,马斯克一直主导者特斯拉刷屏和Space X火箭的发射,以至于让人忘了,另一家由马斯克拥有的运输企业The Boring Company(无聊公司)也一直在迅速发展。据外

  • OTA频发的“大数据杀熟”,想要治你不容易?

    九月初的时候,因为对国庆假期比较期待,一来本着“假期机票紧张”的想法,一来有着机票“越早定越便宜”的心理,便早早地在某宝旗下的某猪预定了全家往返的机票,后面就是一心等着假期到来,合家欢出游了。

  • 秒级追踪+爆款预测,魔方数据成直播大数据黑马

    魔方数据(iambox)是致力于快手全领域流量追踪分析的大数据服务平台,为用户提供快手直播广场即时数据分析、直播数据动态大屏呈现、爆款视频趋势追踪、数据定制化等服务,助力快手账号运营优化,辅助流量变现、电商带货。同时为广告主、商业合作等用户提供可靠的数据支持,帮助发掘优质账号、播主、机构。 自上线以来,魔方数据持续深耕快手大数据挖掘分析,以更及时、更真实、更可靠,更多维度的数据追踪分析功能,成为快手大数据

  • Egregor勒索软件背后的攻击者泄露了据称来自于Ubisoft 公司的数据

    ​Egregor勒索软件背后的攻击者攻击了游戏开发团队Crytek,并泄露了大量据称窃取自育碧娱乐软件公司(Ubisoft)文件系统中的数据。

  • 斗鱼为转发攻击虎牙失实文章等行为致歉

    9月21日消息,斗鱼官微今日发布致歉声明,称此前在官方微博账号与官方微信公众号转发了《直播界黑公关事件曝光:虎牙再陷泥潭被指攻击斗鱼》、刊载《向黑公关SAYNO!》等失实文章,并向公众传播“虎牙公司是所谓黑公关”的虚假、误导性信息。上述虚假、误导性内容在网络上公开传播,直接侵害了广州虎牙信息科技有限公司及虎牙直播平台的商业信誉,产生了负面的影响。斗鱼的行为已被法院认定构成不正当竞争。据悉,2018年

  • 老虎证券:snowflake ipo仅是开始 大数据和云红利还待释放

    本文发布于老虎证券社区《锐问》,老虎社区是老虎证券旗下的股票交易软件 Tiger Trade 的社区板块,致力于打造“离交易更近的美股港股英股社区”,有温度的股票交流社区。9月16日,Snowflake 正式在纽交所挂牌上市,首日暴涨111%,公司此前一再上调发行价格,并且吸引巴菲特首次投资IPO企业。《锐问》专访信天创投合伙人蒋宇捷,和他聊聊关于Snowflake和Tob项目的投资逻辑。蒋宇捷专注于企业服务、金融科技等投资领域,此前投资案?

  • 10.1旅游省心了:国家严禁大数据杀熟、差评不能删除

    马上就是10.1长假了,这次有8天时间,胆子大的可以凑够16天超长假期,这也是疫情之后第一个几乎没限制的长假,很多人都会选择去旅游。随着热度回升,以往的糟心事,比如机票杀熟、虚假宣传等估

  • 信用飞布局大数据风控,杜绝乱收费

    近年来全球新一轮信息革命全面爆发,以互联网、大数据、人工智能等为代表的数字科技的技术创新和融合的应用,对经济转型、社会发展、大众生活和国际竞争都产生了重要影响。充分利用好和发挥好数字科技发展强大的渗透、溢出、带动和引领等作用,加快推进互联网、大数据、人工智能等数字科技和实体经济的深度融合,大力发展数字经济,推动经济发展质量变革、效率变革、动力变革,已经成为经济高质量发展的重要路径选择。信用飞是数?

  • 聚数据人才,助产业腾飞——2020 CCF大数据与计算智能大赛北京起航

    10 月 13 日,中国计算机学会(CCF)主办的2020 CCF大数据与计算智能大赛(2020 CCF BDCI)在北京正式启幕。本次大赛将携手高校、名企、专家及DataFountain平台等多方力量,关注技术发展与人才培养,助力推动我国大数据技术及产业生态发展。为进一步扩大参与规模及影响力,2020 CCF BDCI联合CCF大数据专家委员会、CCF自然语言处理专业委员会、CCF数据库专业委员会、CCF高性能计算专业委员会、CCF人工智能与模式识别专业委员会、CCF

  • 苏宁换季大数据:秋衣秋裤同比增长175.23%

    昨日,苏宁发布换季大数据,10月9日至16日,卫衣、T恤、短裙分别同比增长21.91%、12.31%和5.68%。

  • 大数据杀熟明令禁止 央视调查发现差异化定价仍存在

    在旅游平台订酒店、订机票,老用户比新用户多花钱,这就是所谓的“大数据杀熟”。从10月1日起,文化和旅游部公布的《在线旅游经营服务管理暂行规定》正式施行,规定明确了在线旅游经

  • 《人民日报》痛批大数据“杀熟”:价格透明化是基本准则、必须要严惩

    你遇到过大数据“杀熟”的情况吗,对于这种行为,《人民日报》今天还进行了痛批。《人民日报》刊文称,不论是传统的线下经济,还是互联网时代的线上经济,价格公开透明始终是基本的

  • 便利蜂大数据:电影票房与进店人次等成“正向关系”

    便利蜂运用大数据对“双节”期间的电影排片时间和影院周边进店人次进行对照分析。数据显示,在北京、天津、南京、上海这几座城市,电影票房与便利蜂的进店人次、销售情况等,成“正向关系”。

  • “张江杯”大数据竞赛创新应用赛落幕 蜜度信息城感通获应用大奖

    9月21至9月22日,2020“张江杯”长三角地区大数据竞赛创新应用赛决赛在浦东新区大数据中心举行。上海蜜度信息技术有限公司“城感通”获最佳应用奖。本届大赛以“建功新时代、当好领头羊”为主题,展示了大数据时代科技创新成就和科技战疫成效,为浦东加快建设现代化经济体系、实现经济高质量发展发挥领头羊作用。创新应用竞赛作为本届大赛的“重头戏”,聚焦大数据的前沿技术和城市建设热点话题,吸引了防疫大数据、养老大数据、金

  • Twitter确认宕机,但没有证据表明存在网络攻击或安全漏洞

    据外媒报道,日前,许多Twitter用户突然无法访问该服务平台。虽然老Twitter用户还记得这个社交媒体网站的“failwhale(故障的鲸鱼)”经常出现的时候,但现阶段它通常是稳定的,最近一次重大问题则是因7月份的安全漏洞而出现过。

  • 七牛云数据科学系列论坛嘉宾马洪宾:大数据分析的云原生趋势

    七牛云「云加数据,智驱未来」数据科学系列论坛嘉宾马洪宾:大数据分析的云原生趋势9 月 10 日晚,七牛云主办的「云加数据,智驱未来」数据科学系列论坛如期举行。在直播中,Kyligence 创始合伙人 & 研发副总裁马洪宾为我们带来了主题为《大数据分析的云原生趋势》的精彩分享。嘉宾简介马洪宾,Kyligence 创始合伙人 & 研发副总裁,Apache Kylin 核心开发者及项目管理委员会成员 (PMC)。专注于大数据相关的基础架构和平台设计。在?

  • 街电十一订单消费大数据出炉,引领行业发展链接用户精彩生活

    据测算,刚刚过去的国庆长假,国内出游人数达到6. 37 亿人次,全国出游场景和本地生活场景均呈现利好消费态势。作为生活消费的“晴雨表”,共享充电宝领军品牌街电近日公布了其双节期间各消费场景订单租借数据。街电大数据显示,双节期间街电日均租借订单量均大幅高于今年五一同期,其中影院和旅游消费表现尤为突出,影院场景的日均租借订单量较五一同期增长 44 倍,旅游景区日均租借订单量也较五一同期实现翻番。作为广泛渗透各种

  • 赶紧更新!Firefox漏洞允许攻击者在同一WiFi劫持移动浏览器

    Mozilla已经修复了一个漏洞,攻击者可以使用该漏洞在同一个WiFi网络上劫持所有安卓版火狐浏览器,迫使用户访问恶意网站,比如钓鱼网页。

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议
  • 热门标签

热文

  • 3 天
  • 7天