(科来软件CSNA网络分析专家 徐文勇)
随着网络技术的进步和不断发展,让大规模的监控和数据收集行为变得越来越易,最近曝光的美国“棱镜”项目监就是非常典型的此类事件。从技术的角度来看,“棱镜”项目得以实施,除了跨国公司(google、微软、思科等)、政府提供支持以外,还有一项至关重要的技术,即近年被炒得火热的“大数据”技术,情报部门通过遍布全球的监控系统、设备系统0day漏洞、网络攻击等手段从世界各地获取海量的数据,通过数据仓库、数据安全、数据分析、数据挖掘等手段将这些碎片数据拼成“大数据”并进行利用,从而获取到有价值的数据和线索。
那么,对大数据进行利用的基础和前提是什么呢?肯尼思·丘基尔在《大数据:一次将改变我们生活、工作和思考方式的革命》一书中提出:大数据的价值在于存储后的再使用。也就是说,首先是要把这些数据存下来,并在存储过程中,为这些数据建立相应的关联依据,以方便用户查询使用。再说得直白点,就是将数据保存下来,用户可以对这些数据进行回溯查询、回溯分析、回溯挖掘,跟现在流行的网络回溯分析技术相类似。
网络回溯分析以数据包(Packet)为基础,依托TB、PB级的存储空间,在存储过程中对海量的数据包进行关联,用户可以随时分类查看及调用任意时间段的数据,当发现问题时,提供一定时间范围内的回溯分析,为迅速定位问题发生原因提供了更全面的分析依据,同时为网络安全提供了强有力的数据分析保障。通常情况下,网络回溯技术及产品可以广泛用于局域网、互联网、物联网、智能电网、工业控制系统等。图1为回溯技术的功能及原理图:
图1 回溯技术的功能及原理图
如图1所示,网络回溯分析技术适用于网络管理的很多方面,那么它的优势具体体现在哪些方面呢?
分布式部署、安全事件智能感知及预警
回溯分析设备分布式部署,集中管理,同时能够针对网络全局制定统一的安全策略,也可针对下属或分支网络分别制定不同的预警条件,一旦发生告警,则可提取该时段的告警数据进行深度分析,以此提前发现并解决安全隐患,防止安全事件的进一步扩大。
安全基线预警方式包括:流量预警,邮件敏感字预 警,可疑域名预警,数据流特征值预警等,通过对安全基线的制定,能够准确判断网络的安全运行态势,及时防止可能发生的安全事件。
回溯警报以网络行为产生的数据包为依据,具有误报率低,查找源头方便等特点。
建立网络通讯模型,快速发现异常通讯
企业、通过对“大数据”的分析,可以获取用户的行为习惯、爱好,从而更高效的为用户提供服务,“棱镜”项目通过对“大数据”的分析利用,可以获取用户的联系方式、账号、行为模式、通话记录等。而利用回溯分析技术则可以对网络通讯建立模型,快速发现网络里的异常通讯和行为。
网络行为模式识别技术依靠对大量的网络数据分析,智能分析数据流的通讯行为特征并建立行为识别模型。主要针对源地址、目的地址、源端口、目地端口、协议、发送时间、接收时间、发送时间频率等信息进行综合分析,建立综合的识别模型,以作为对异常网络通讯的判断依据。
网络攻击自动分析、发现
回溯技术通过对大量的网络通讯特征,行为特征,行为模型以及OSI链路层到应用层的深入分析,系统能够检测各种网络安全通讯行为及可疑的异常通讯,包括:(1)蠕虫病毒检测及其通讯特征分析;(2)木马检测及其特征分析;(3)网络攻击行为检测(ARP攻击/TCP 端口扫描/TCP SYN Flood/TCP ACK Flood/ICMP Flood/UDP Flood/MAC Flood等几十种安全事件);(4)其它网络异常通讯检测分析。
取证分析、责任界定
如果网络中出现了问题,可以对出现问题当时的所有访问流量和内部的通讯流量进行回溯分析,通过数据包级的分析能有效的定位问题点,帮助快速解决问题,保证网络正常运行。
(1)问题的追溯分析:系统能长期记录保存所有访问运系统以及各业务系统各主机间的通讯数据,一旦出现异常,能够将存储的数据包提取出来进行分析,提供有效的分析依据。
(2)问题的迅速定位:通过分析网络系统的访问通讯数据,进行数据包级的分析,能够迅速定位到问题点,是由于网络问题引起的还是应用问题引起的。
(3)安全问题的分析取证:出现安全事件,可以通过详细的数据分析来对当时的网络访问和所有通讯数据进行深入分析,提供直接有效的分析依据和证据。
综上所述,随着网络不断的发展,网络监控、信息泄密、网络攻击等行为变得越来越容易,网络管理者必须不断的提高网络管理的办法,实践证明利用网络回溯分析技术能实时的监控分析网络运行情况,及时发现网络及应用系统的异常行为,并提供强大的安全分析功能,是保障网络安全高效持续运行的非常有效的手段。