谈到网络流量分析,很多刚入行的小伙伴或许有些茫然。技术百科中对这个概念是这样解释的:
网络流量分析是出于性能、安全性或者常规网络操作和管理的目的,记录、检查和分析网络流量的过程。
说的更直白一点就是,出于管理性的目的,而对网络流量进行分析的过程。网络流量由网络行为产生,网络行为就是用户访问信息系统所产生的行为或者导致的一系列结果或变化,这其中就包含攻击者的攻击行为。
所以安全上讲的网络流量分析,就是从众多的网络行为当中,根据特征找出攻击者的攻击行为,并对其进行分析的活动。
如何对网络流量进行分析呢?通常分为手动和自动两种方式。手动方式是将捕获到的数据包,利用Wireshark、Tcpdump等数据包分析软件进行协议读取,根据数据包特征人工判定问题的方式。
这种方式由于需要人工判定,所以要求分析人员对数据包结构,协议原理,问题机理比较熟悉,要求相对较高。
自动方式是利用全流量分析系统,通过传感器采集数据全流量,根据预先定义好的特征库与数据特征进行匹配,筛选出目标数据,用分析平台进行信息呈现的分析方式。
根据流量分析的目的不同,流量分析系统又分成网络流量分析系统,网络流量威胁分析系统。这两种分析系统侧重点不同,网络流量分析系统,侧重于网络协议及数据包结构的分析,而网络流量威胁分析则是在网络流量分析的基础上,通过规则匹配来识别攻击行为。
网络流量分析关注的是网络性能,例如数据吞吐量,数据流量,协议类型,应用端口,业务延时等等。网络流量威胁分析关注的是规则、威胁情报与攻击数据特征的匹配度,并将匹配的数据以告警和知识库的方式呈现出来。
无论是网络流量分析系统,还是网络流量威胁分析系统,都有两大共同的核心功能——搜索和存储。存储是把数据存储在硬盘上,便于事后分析、研判和信息回溯。搜索是通过语法在海量数据中寻找感兴趣的数据片段,发现那些被粗颗粒度规则所忽略的数据细节。
上面的描述也许有些抽象,一个很好的例子就是大街上的监控摄像头。摄像头将视线范围内的所有状况记录在硬盘上,好比流量分析的存储环节,安保人员实时监测或者事后回溯发现可疑情况,好比流量分析的监测及分析环节。不同的是摄像头的视频数据分析往往需要投入大量的人力,而流量监测更多的利用大数据及自动化分析的人工智能。
如今信息系统面临着比以往更多的安全威胁。把业务部署在互联网上,进一步增加了信息系统风险的暴漏面。拿互联网web系统来,一个高危漏洞就有可能为攻击者打开一条从外部进入到内网的通道。
比如说,系统开发百分之百会使用到的开源软件。开源软件漏洞层出不群,一个系统今天没有安全缺陷,也许明天新的缺陷就被公开了。无时不刻都处于变化之中,这也是网络安全难做的原因之一。
所以安全防御者始终要心怀敬畏,在了解系统的同时提高警惕,关注组件信息,及时查漏补缺。
如何能够对正在发生的攻击行为进行高效快速的发现和处置呢?网络流量威胁分析系统以规则的方式对攻击行为进行定义,对流量进行检索匹配,一旦发现命中的攻击流量,就进行告警,使得安全管理人员可以及时采取有效措施,阻断攻击行为。
此外,网络流量威胁分析系统还可以将多个资产的攻击告警组合成场景化的攻击事件,进行立体化的呈现,使我们能如侦探一般,抽丝剥茧,顺藤摸瓜,完整的还原攻击链条,确定安全事件的细节。
比如,系统是否被渗透?如果有被渗透,攻击者做了什么?是否涉及到关键资产?安全事件是何时发生的?怎么样发生的?为什么会发生?谁是幕后黑手?什么信息被泄露了或被盗取了?对企业运营会产生什么影响?这些问题都可以通过网络流量威胁分析系统解决。
网络流量分析为安全防御提供了一种方法,可以对攻击行为更快地止损、调查、取证,然后根据应急处理方案执行响应和防护。据统计,目前网络流量威胁分析系统已经成为大型攻防演练活动的标准配置,在应对实时攻击和做好安全防御方面发挥了重要的作用。
后续,我们将陆续推出专题,详细介绍流量分析部署和使用技巧,欢迎持续关注。如果您对我们的栏目有什么意见或建议,请在公众号留言,我们将及时回复。
监制:船长 策划:格纸 文案:铁子 美工:青柠
原文始发于微信公众号(我是安服):浅析流量分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论