迪普科技自安全網絡之“一視”：內網病毒傳播可視化

■ 傳統(tǒng)網絡安全建設思路背景

傳統(tǒng)網絡安全建設理念中大多數在出口、業(yè)務區(qū)、數據中心部署大量安全設備，采用高筑城墻的方式實現(xiàn)安全防護，但以WannaCry為代表的眾多新型內網新型威脅已從被動單點攻擊向主動擴散傳播的方向演變，借助無防護內網通道擴散至每個網絡端點，極易造成終端大規(guī)模感染和業(yè)務中斷，且運維管理人員無法進行快速溯源和精確排查。

■ 以勒索病毒為代表的新型內網威脅

從2017年美國NSA武器庫被Shadow Brokers攻破后，隨著系統(tǒng)漏洞、腳本代碼等一系列工具的公布，病毒制作已愈發(fā)平民化和流水化。不法分子利用眾多的攻擊工具制造著各種各樣的攻擊載荷，通過加載在現(xiàn)有的傳播模塊上進行大范圍傳播。以勒索病毒為例，其在傳播時首先需要通過TCP/ARP等掃描手段發(fā)現(xiàn)目標主機，確定其可利用的漏洞高危端口后進行攻擊載荷的投遞。在此期間病毒宿主主機需向外界發(fā)送不同于正常終端的大量TCP或ARP請求，其行為模式在網絡層已具備明顯異常特征。

■ 基于網絡行為模型的病毒傳播識別機制

迪普科技深入研究多種網絡病毒的傳播原理，整合多種病毒的網絡傳播行為形成智能分析模塊并內置于交換機算法中，在保障正常流量線速轉發(fā)的基礎上，將TCP、 ARP等關鍵報文抽調至CPU進行建模匹配，即實現(xiàn)了轉發(fā)與分析平面分離，正常的網絡轉發(fā)并不會受到自安全交換機安全功能的影響，滿足了網絡接入快速轉發(fā)和安全識別的雙重需求。

■ 照亮內網暗角落

與只負責網絡轉發(fā)的傳統(tǒng)網絡不同的是，自安全交換機通過行為模型檢測可清晰展示網絡當中存在的“暗流量”，幫助運維管理人員實現(xiàn)內網威脅的快速溯源定位和一鍵安全隔離。且與傳統(tǒng)殺毒軟件以特征庫匹配查殺方式不同是，盡管病毒攻擊載荷不斷變化，由于其傳播擴散的目的性決定了其傳播流量模型的相對固化，自安全交換機可在網絡層面實現(xiàn)對內網異常流量的有效感知和及時預警，配合殺毒軟件實現(xiàn)內網威脅的精準查殺，進一步降低內網安全風險。

（免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現(xiàn)的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。 ）