CSNA网络分析论坛
网络分析技术
学习交流平台
科来网络回溯分析系统 下载网络分析软件↓
下载网络分析教程↓
下载高清网络协议图↓

返回列表 回复 发帖

[原创] 网络流量分析技术,助力“新基建”高质量安全发展

本篇文章由科来撰稿并发表于《中国信息安全》杂志2020年05期,全文如下:






“新基建”涉及诸多产业链,综合来看呈现三网并发态势,即信息网、交通网、能源网。整体结构向科技端倾斜,不同程度地依赖信息化基础设施建设已取得的成果继续深化发展。从产业布局来看,信息网为交通网、能源网提供“数字土壤”,是实现高质量、高端化发展的基石。


发展网络安全核心自主技术

信息网涉及领域对于信息技术表现出的强依赖性,使信息技术产业发展快速增长,而中国信息技术产业大发展的直接挑战就是中国制造自主可控。自主可控与国家网络安全紧密相关,网络安全本身也是信息技术产业快速发展的一个直接挑战。“新基建”下的网络攻击正在从数字空间延伸到物理空间,众多信息产业优秀科技成果可能在图谋不轨的网络攻击面前一击毙命。2020年3月3日,我国首次公开美国中央情报局的国家级网络攻击组织对中国进行长达11年的网络攻击与渗透。在此期间,中国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位均遭到不同程度的攻击。

中国网络信息安全产业正在跨入增量市场,大发展的前提是核心技术自主可控,避免网络安全领域出现“卡脖子”现象。国家层网络安全不同于传统的工业、制造业,确切地说网络安全是一个组织或者国家的免疫能力,这种能力不能全部依靠外部力量构建,应该是由内而外地自我生成。


网络流量分析技术至关重要

网络流量分析又称NTA技术,在2017年被GARTNER评为十大顶尖信息安全技术之一,被定义为“通过监控网络流量、连接和对象,找出恶意的行为迹象。那些正在寻求基于网络的方法,来识别绕过周边安全性的高级攻击的企业应该考虑使用NTA技术来帮助识别、管理和分类这些事件。”


NTA技术对于网络安全发展至关重要,是解决那些未知的、高级的、新型的网络安全威胁的关键技术。针对日益严峻的网络安全环境,基于数据包级别的网络流量分析是保障网络安全行之有效的方法。不论何种高级攻击都会留下网络痕迹,从网络流量入手,甄别流量中的异常活动能够更高效的发现未知威胁。

NTA技术是如何发现网络威胁的?首先是全流量采集与保存,在将网络流量全部保存下来的同时,实时提取其中的网元数据,并在数据库中索引、保存,以实现快速检索与分析。其次,全行为分析是威胁检测的核心,网络攻击者的行为和我们正常的网络访问行为所产生的数据不一样。面对未知威胁,可通过对网络流量原始数据的透视与分析,从大流量数据中快速发现并定位网络异常行为。最后,通过全流量回溯,发现高级威胁。很多高级威胁产生的活动痕迹在大规模网络流量中只会占到非常小的比例,但正是这少量的通讯流量对于攻击检测分析尤为关键和重要,需要通过事后的多线索关联和回溯分析后才能有效定性和取证,这就要求必须对原始全流量数据包进行一段时间的完整保存,保全证据,并能快速回溯所有流量。有了原始流量的存储,就能将当前检测到的攻击行为与历史流量进行关联,实现完整的攻击溯源和取证分析,并在责任界定时提供真实可靠的证据依据。

对于网络流量分析技术的研究和使用,前提是对网络协议的透彻理解。网络协议是网络为了进行数据交换而建立的规则、标准或是约定的集合,如同我们人类的语言,需要建立在一定的标准上,才能相互理解相互沟通。因此,无论是从事网络运维或安全相关的工作,还是深层次地理解网络,都需要对网络协议及它们之间的关系有着系统、清晰的认识。而想要进行深层次、精细化地分析,就需要具备识别和解析不同网络协议的能力。以不同场景来分析NTA技术的作用:

工业互联网安全:过去几年来,工业领域网络攻击事件显著上升,由2012年197件上升到2019年报告数量的329件,乌克兰电网被攻击、委内瑞拉大范围停电、印度核电公司遭受攻击,在我国也有部分医疗电力系统遭受勒索软件攻击。低廉的攻击代价与高危的攻击结果,让工业领域成为黑客们紧盯的目标。

工业互联网是“新基建”的一大方向,其安全已成为国家基础设施安全的重要组成部分,随着工业互联网系统与设备间日益互联互通,互相协同,保护好工业互联网数字空间以及延伸出的物理空间安全变得尤为关键。对工业互联网络通信协议进行解码分析,可实现入侵检测与安全审计,发现和分析其脆弱性及安全漏洞,提高工业网络安全检测和事后取证追查能力,强化对工业互联网系统的安全态势感知与防御能力。

物联网安全:万物互联,万物智联,近年来IoT联网设备无论是在数量上、还是复杂度上均呈现几何级数增长,这些新的连接形态必定会产生海量的数据。对物联网协议的识别与解码,能够帮助深入而系统地了解IoT网络,理解在IoT网络中的数据流动。通过不断挖掘数据之间复杂联系的价值,让其成为企业重要的数据资产,实现对周边世界认知能力的革命性飞跃。物联网的雏形就像互联网早期的形态局域网一样,虽然发挥的作用有限,但其昭示着的远大前景已经有目共睹。

显然,协议的识别与解码分析是对网络流量分析技术进行研发的基础,目前已被识别的上万种网络协议及应用可参考《科来网络通讯协议图》,通过对TCP/IP、IoT、工控等八大协议簇分类呈现的方式,帮助网络安全工作者更深入的了解网络语言。


新技术在网络安全中的应用

网络安全技术对于我国“新基建”领域起到了保驾护航的作用,同时“新基建”技术亦可应用于现有信息安全领域,促进信息安全技术再革新,二者互相推动、发展、融合,对我国推动信息技术应用创新领域发展具有重要意义。

以人工智能领域为例,中国已是全球人工智能合作网络的中心,深刻影响全球人工智能的发展。随着人工智能在网络安全领域应用逐步走向成熟,流量数据将是人工智能技术最为核心和基础的组成部分,网络安全厂商应该思考如何积累有效的高价值数据。传统安全分析系统从数据源获取方面就存在数据信息的细节损失不可控的问题,高价值、高质量的网络数据只能来自于网络全流量大数据。当采集到有价值的数据后,再利用人工智能技术强大的理解和推理能力快速分析判断网络流量中是否存在异常。如果出现新的病毒攻击或黑客入侵,人工智能还可以事后利用自身的学习能力将相关特征记录在安全数据库中,实现安全态势感知与安全防范。

在“新基建”的七个领域中,均不同程度地依靠互联网实现产业智能化转型与升级,而网络流量分析将是保障“新基建”数字化转型稳步安全推进的有力手段。目前,全球超90万用户正在使用网络流量分析技术,遍布全球110多个国家和地区,专业网络分析产品和解决方案,已在政府、金融、能源、运营商、军工等众多关键领域落地。未来,这项技术将与更多“新基建”应用场景融合落地,帮助更多用户发现、分析原有网络体系的脆弱点及安全漏洞,实现网络平稳、高效、安全的运行。


备注:本文部分内容有修改。


- END -

返回列表