征文 | 杨博涵：浅谈全流量安全分析系统POC测试

☝戳链接了解本期征文详情

杨博涵

交通银行股份有限公司安全部门技术工程师，负责安全防护体系建设相关工作，CISSP。

言归正传，首先阐述一下笔者对全流量系统的定位。在笔者的安全认知中，全流量系统与WAF、IPS等同属流量侧安全产品但定位存在差异：

一、WAF、IPS等系统要串行，投产难度大，全流量系统可旁路，投产难度小；

二、WAF、IPS等系统在自适应安全框架中主要划归防御象限，全流量系统划归检测象限；

三、WAF、IPS等系统归属传统安全，全流量系统是所谓的新一代技术产品；

四、WAF、IPS等系统基于规则与特征库，全流量系统增加了人工智能成分。

因此全流量系统是企业落实“态势感知”、“数据驱动安全”、“SOC”等概念时，最容易部署的一个产品，同时也是一个挖掘企业风险较为有效的途径。

全流量系统一般包含数据采集模块、数据存储模块、安全分析模块，共三个基本组成部分，但根据POC测试经验，建议甲方在计划采购全流量系统时，可要求乙方公司补充两个模块——文件沙箱和威胁情报模块，可以提高分析效果。目前主流厂商的全流量系统产品都包含这五个模块，但是整合能力存在差异（这一点可以从POC测试时硬件服务器的数量看出端倪）。

在POC测试前，建议完成如下几个准备工作，以便于提高测试效果：

一、在企业真实环境部署测试设备，提供真实的流量镜像数据给全流量系统，并运行测试设备3-5天，测试结束后消磁或格式化；

二、在全流量系统中完善企业的资产信息；

三、准备测试样本和pcap数据包，有条件的企业搭建攻击机和靶机；

四、请被测试公司罗列系统功能清单；

五、对于不方便测试的内容，请被测试公司准备相关文档，如压测报告，syslog日志文档，API接口文档等。

在POC测试过程中，重点关注几个内容：

一、基于企业3-5天的真实数据，全流量系统检测出了哪些风险；

二、流量协议的解析、还原、展示能力；

三、网络攻击威胁检测能力；

四、可视化呈现数据能力；

五、沙箱系统的文件检测能力；

六、威胁情报的置信度；

七、数据导出能力。

相关细节和功能点比较多，一时难以表述完整，同时为了规避描述笔者测试过的乙方产品，笔者以问题清单的模式描述测试细节，能基本满足这88个问题要求的乙方全流量系统才能算达到了及格水平，希望这88个问题能有助于乙方产品实现功能的完善。

甲方的同仁可以参考问题清单去测试相关产品，尽量使用攻击机、靶机模式测试（测试结果能把售前工程师测得怀疑人生），PCAP包测试次之，根据乙方产品的真实表现判定其能力水平。

四月主题：《一个人的安全》