基于數(shù)據(jù)包分析的大數(shù)據(jù)技術(shù)解決網(wǎng)絡(luò)安全問題

責(zé)任編輯:editor006

2015-12-15 17:10:16

摘自:中國青年網(wǎng)

網(wǎng)絡(luò)攻擊是利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)進(jìn)行的攻擊。本案例通過告警信息快速發(fā)現(xiàn)網(wǎng)絡(luò)中可能存在異常攻擊,并且能夠長時(shí)間追溯網(wǎng)絡(luò)攻擊,并且快速判斷網(wǎng)絡(luò)攻擊手法及攻擊根源,及時(shí)定位各類網(wǎng)絡(luò)安全問題。

1.網(wǎng)絡(luò)攻擊簡介

網(wǎng)絡(luò)攻擊是利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)進(jìn)行的攻擊。網(wǎng)絡(luò)信息系統(tǒng)所面臨而對威脅來自很多方面,而且會(huì)隨著時(shí)間的變化而變化。從宏觀上看,這些威脅可分為人為威脅和自然威脅。

自然威脅來自于各種自然災(zāi)害、惡劣的場地環(huán)境、電磁干擾、網(wǎng)絡(luò)設(shè)備的自然老化等。這些威脅是無目的性的,但會(huì)對網(wǎng)絡(luò)通信系統(tǒng)造成損害,威脅通信安全。

而人為威脅是對網(wǎng)絡(luò)信息系統(tǒng)的人為攻擊,通常是通過尋找系統(tǒng)的弱點(diǎn),以非授權(quán)方式達(dá)到破壞、欺騙和竊取數(shù)據(jù)信息等目的。兩者相比,精心設(shè)計(jì)的人為攻擊通常威脅大、難防備、種類多、數(shù)量大。

2.數(shù)據(jù)包分析介紹

數(shù)據(jù)包分析,經(jīng)常也被稱為數(shù)據(jù)包嗅探或協(xié)議分析,指的是通過捕獲網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包并對數(shù)據(jù)包進(jìn)行解碼。由于網(wǎng)絡(luò)中的通訊都源于數(shù)據(jù)包,盡管有些流量通過協(xié)議來看是正常的可信協(xié)議,但很可能在背地里進(jìn)行不為人知的惡意行為,為了能夠更加清楚透徹的了解網(wǎng)絡(luò),就需要進(jìn)入數(shù)據(jù)包層面進(jìn)行分析,在這個(gè)層面沒有任何的異常情況能夠逃脫我們的視線,能夠詳細(xì)的了解網(wǎng)絡(luò)中發(fā)生任何的事情(加密除外)。

3.通過數(shù)據(jù)包分析發(fā)現(xiàn)、追溯網(wǎng)絡(luò)攻擊

I.大數(shù)據(jù)采集

基于數(shù)據(jù)包的大數(shù)據(jù)技術(shù)的第一前提條件是能夠獲取有效的數(shù)據(jù)包,通常情況下網(wǎng)絡(luò)分析人員會(huì)使用抓包軟件采集數(shù)據(jù)包,但由于抓包軟件通常只能捕獲短時(shí)間的數(shù)據(jù)包,但目前很多網(wǎng)絡(luò)攻擊不一定是在短時(shí)間內(nèi)進(jìn)行,其攻擊過程可能持續(xù)幾天、一周、一年,甚至更長的時(shí)間。這就需要能夠?qū)?shù)據(jù)包進(jìn)行不間斷的采集,在采集的過程中對數(shù)據(jù)包進(jìn)行分類展現(xiàn)及實(shí)時(shí)進(jìn)行各項(xiàng)處理;

II.數(shù)據(jù)包解碼

數(shù)據(jù)包是網(wǎng)絡(luò)傳輸中最小的人工可讀數(shù)據(jù),通過數(shù)據(jù)包的解碼分析能夠掌握網(wǎng)絡(luò)中最細(xì)微的變化,通過網(wǎng)絡(luò)中的變化找到異常問題,發(fā)現(xiàn)可能的網(wǎng)絡(luò)攻擊,并對攻擊過程進(jìn)行深度還原,掌握各種網(wǎng)絡(luò)攻擊模型,對網(wǎng)絡(luò)攻擊做到知己知彼,做出有針對性并且最有效的防御;

III.快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊

通過解碼數(shù)據(jù)包可針對數(shù)據(jù)包內(nèi)的多中參數(shù)進(jìn)行“與”、“或”關(guān)系組合配置警報(bào),并可結(jié)合數(shù)據(jù)包特征值定義的方式,針對網(wǎng)絡(luò)攻擊的特征值或行為進(jìn)行有效的告警信息配置,快速的發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊,并且能夠提取相關(guān)原始數(shù)據(jù)包進(jìn)行詳細(xì)分析;

IV.數(shù)據(jù)包追溯分析

要想使用大數(shù)據(jù)技術(shù)對網(wǎng)絡(luò)攻擊進(jìn)行長期的追溯分析,只有長期的數(shù)據(jù)包采集是不夠的,還要對數(shù)據(jù)包和統(tǒng)計(jì)信息進(jìn)行長期存儲(chǔ);并且在存儲(chǔ)的基礎(chǔ)上對數(shù)據(jù)包快速檢索及可視化展現(xiàn),這樣能夠幫助網(wǎng)絡(luò)管理人員掌握網(wǎng)絡(luò)的長期運(yùn)行態(tài)勢,快速定位網(wǎng)絡(luò)異常、攻擊發(fā)生時(shí)間,對問題時(shí)段進(jìn)行追溯分析,發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的行為并進(jìn)行深入分析。

4.數(shù)據(jù)包分析快速發(fā)現(xiàn)、長期追溯網(wǎng)絡(luò)攻擊案例

如上圖,網(wǎng)絡(luò)在6月11-12日突然出現(xiàn)大流量傳輸;

并且網(wǎng)絡(luò)中TCP同步包與TCP同步確認(rèn)包差值巨大;

我們通過預(yù)先定義告警,通過多參數(shù)“與”“或”組合及特征值定義,配置靈活的告警信息,一旦網(wǎng)絡(luò)中出現(xiàn)異常數(shù)據(jù)包達(dá)到出發(fā)要求時(shí),會(huì)快速上報(bào),及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中可能存在的攻擊;

如上圖,對異常數(shù)據(jù)包進(jìn)行tcp會(huì)話重組,可以看到每一個(gè)會(huì)話的異常行為(TCP同步位并且含有載荷數(shù)據(jù));

可對數(shù)據(jù)包進(jìn)行深度解碼,查看數(shù)據(jù)包級的內(nèi)容,載荷內(nèi)容全部填充為0,填充大量無效數(shù)據(jù),形成DOS攻擊。

本案例通過告警信息快速發(fā)現(xiàn)網(wǎng)絡(luò)中可能存在異常攻擊,并且能夠長時(shí)間追溯網(wǎng)絡(luò)攻擊,并且快速判斷網(wǎng)絡(luò)攻擊手法及攻擊根源,及時(shí)定位各類網(wǎng)絡(luò)安全問題。

小結(jié)

通過上述內(nèi)容及案例,可以看出基于數(shù)據(jù)包分析的大數(shù)據(jù)技術(shù)可幫助網(wǎng)絡(luò)管理人員快速的發(fā)現(xiàn)、定位各類網(wǎng)絡(luò)攻擊,并且能夠在存儲(chǔ)期內(nèi)對任意網(wǎng)絡(luò)攻擊及問題進(jìn)行回溯分析,做到精細(xì)化分析,提供數(shù)據(jù)包級的支撐,幫助網(wǎng)絡(luò)管理人員更加安全的管理網(wǎng)絡(luò)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號