<sub id="prnn1"><b id="prnn1"><i id="prnn1"></i></b></sub><big id="prnn1"><mark id="prnn1"></mark></big>

      <p id="prnn1"><mark id="prnn1"></mark></p>

      <p id="prnn1"></p>

        您現在的位置:首頁 > 產品中心 > 康喬網絡攻擊檢測系統KQ-NADS
        康喬網絡攻擊檢測系統KQ-NADS

        康喬網絡攻擊檢測系統KQ-NADS(KangQiao-Network Attack Detect System)網絡攻擊檢測系統是一種非侵入式系統,它從以太網中高速采集并存儲所有通訊數據包,同時進行實時分析分類記錄所有的網絡用戶行為數據、網絡通訊數據和應用訪問數據,并將采集的數據包存儲到磁盤上以備將來攻擊分析取證。


        康喬網絡攻擊檢測系統KQ-NADS以收集網絡行為數據為基礎數據源,檢測對特種網絡對象和特種網絡的攻擊行為。這類特種攻擊手段的攻擊檢測方法:暗網的態勢感知技術,針對暗網空間中通信節點、服務、信息及情報等網絡資源進行探測感知,描繪出暗網空間實時態勢圖。研究特種攻擊的形式化描述方法,并為檢測和防御特種攻擊提供新方法。


        康喬網絡攻擊檢測系統KQ-NADS將運用于各行各業的計算機網絡系統之中,特別是政府機關、軍事機構、經濟部門的專用網絡,同時也應用于internet網絡上,幫助網絡安全管理人員檢測分析特種攻擊,極大地提高宏觀網絡的安全性。


        康喬網絡攻擊檢測系統KQ-NADS高級網絡攻擊檢測引擎 :


        KQ-NADS檢測引擎包括隱蔽攻擊檢測、僵尸網絡檢測、匿名網絡檢測等。隱蔽通信檢測內置SSL/TLS攻擊檢測算法,識別基于這類協議的隱蔽攻擊流;僵尸網絡和匿名網絡攻擊檢測模塊通過研究網絡流的分析算法,提取僵尸網絡流和匿名網絡流進行分析,發掘僵尸機集合及控制服務器,為僵尸網絡拓撲重構、取證溯源提供基礎數據。


        攻擊展示通過對攻擊分析層數據的有效整合,采用攻擊鏈和攻擊樹層次表示模型,對特種網絡(僵尸網、匿名網、跳板網、隱蔽通道)等攻擊的路徑及各特種網絡的靜態、動態拓撲結構進行展示,有效重現特種網絡的拓撲及攻擊過程。


        溯源取證通過分析層相關模塊采集的信息,綜合時間和空間維度分析,提取攻擊證據。


        康喬網絡攻擊檢測系統KQ-NADS隱蔽攻擊檢測:設計針對SSL/TLS加密服務相關攻擊的兩階段通用檢測方法。


        康喬網絡攻擊溯源檢測系統KQ-NADS采用基于協議結構與狀態轉移深度驗證的識別方法。從協議的結構、格式和語法深度驗證入手,并引入協議狀態轉移驗證來全面檢查協議的合規性,將偽裝SSL/TLS的私有加密和仿冒協議識別出來。


        (1)根據協議規范驗證否是合法的消息類型、消息內部的格式是否符合協議規范。


        (2)基于有限狀態自動機的協議狀態轉移驗證。將協議的狀態轉移通過有限狀態自動機表示出來,判斷消息出現的順序是否符合協議握手流程規范。

        康喬網絡攻擊檢測系統KQ-NADS深度檢測,針對通過粗檢測的SSL/TLS會話集,基于證書和服務器可信度對潛在的惡意加密服務進一步檢測。


        定義: SSL會話的異常指數(Anomaly Indicator, AI):AI=CCD+DRP.


        康喬網絡攻擊檢測系統KQ-NADS證書可信度CCD: 依賴于SSL連接中服務器證書的屬性,屬性包括每個證書鏈的根CA證書是否合法可信,自簽名與否、通用名、機構名、地區名稱、國家名出現與否,通用名是否匿名化以及有效期長短等。


        服務器聲譽DRP: 取決于服務器名稱對應的域名在AlexaToplOO萬站點中的排名情況以及服務器IP的反向DNS查詢情況。排名靠前的站點服務器聲譽高,但會受到DNS反向解析結果的影響。


        若一個SSL/TLS會話是出方向的(outbound),并且服務器不在黑名單中,那么就計算SSL會話的異常指數(Anomaly Indicator, AI),并據此判斷是否是惡意攻擊通道。


        康喬網絡攻擊檢測系統KQ-NADS暗網分析


        在深入研究被動流分析策略基礎上,設計一種基于深度學習的指紋攻擊方法,對暗網分析并溯源,提高分析的準確性和普適性;通過指紋攻擊,發現一個用戶訪問的某個網站的基本特征,如包長、包方向等;诏B加自編碼器結構(下圖)的深度學習對指紋進行識別。疊加自編碼器


        康喬網絡攻擊檢測系統KQ-NADS基于堆疊式自編碼的深度學習感知檢測模型。首先,康喬網絡應用性能檢測系統來建立訓練數據。通過主動訪問預先定義的暗網用戶高概率訪問的網站,反復捕捉流量數據;統計其包長度、方向屬性特征,建立包長度序列向量、包方向序列向量,作為(疊加)自動編碼器的輸入。


        其次,從被測流量中抽取暗網用戶流量,建立包長度序列向量、包方向序列向量,作為疊加自編碼器的輸入,將輸出序列向量,用KNN算法進行指紋匹配,鑒別暗網用戶對特定網站的訪問特征。


        最后,根據暗網用戶對網站訪問的空間和時間的聚類分析,以有效挖掘暗網用戶分布,發現暗網拓撲結構。


        康喬網絡攻擊檢測系統KQ-NADS僵尸網絡監測


        在分析比較多種僵尸網絡檢測技術了基礎上,針對僵尸網絡的本質特性,即僵尸程序和命令與控制服務器(或對等點)通信并執行惡意行為,提出一種準確性高的僵尸網絡通用檢測算法。算法首先使用預過濾規則對捕獲的流量進行過濾,去掉與僵尸網絡無關的流量以減少分析量,其次對過濾后的流量屬性進行統計,再基于改進的X-means的兩步聚類算法,對 C&C 信道的流量屬性進行分析與聚類,實現可疑流的檢測。算法如下。


        (1)康喬網絡攻擊檢測系統  KQ-NADS流量預處理由于聚類算法無法很好地處理噪聲數據,而受僵尸程序感染的主機所產生的流量中除了僵尸網絡C&C 信道所產生的流量,還大部分是正常網絡的流量,預先過濾掉與僵尸網絡流量不相關的流量。


        (2)康喬網絡攻擊檢測系統  KQ-NADS流聚合 對具有相同協議五元組的流進行流聚合;


        (3)康喬網絡攻擊檢測系統  KQ-NADS流分析根據這些流量的平均流個數、平均每個流包含數據包個數、平均數據包長度、每小時流個數等屬性進行統計對比。將這些屬性作為聚類指標實現僵尸網絡流檢測。


        (4)康喬網絡攻擊檢測系統  KQ-NADS流聚類檢測 采用改進的X-means兩步聚類算法,對 C&C 信道的流量屬性進行分析與聚類。




        上一條:康喬工控安全系統 KQ-ICSS          下一條:康喬網絡應用性能檢測系統KQ-NAPD
        CopyRight 2013-2023 成都康喬電子有限責任公司 版權所有 蜀ICP備19033228號-1
        欧美老妇人xxxx

            <sub id="prnn1"><b id="prnn1"><i id="prnn1"></i></b></sub><big id="prnn1"><mark id="prnn1"></mark></big>

            <p id="prnn1"><mark id="prnn1"></mark></p>

            <p id="prnn1"></p>