1.網絡攻擊簡介
網絡攻擊是利用網絡存在的漏洞和安全缺陷對網絡系統的硬件、軟件及其系統中的數據進行的攻擊。網絡信息系統所面臨而對威脅來自很多方面,而且會隨著時間的變化而變化。從宏觀上看,這些威脅可分為人為威脅和自然威脅。
自然威脅來自于各種自然災害、惡劣的場地環境、電磁干擾、網絡設備的自然老化等。這些威脅是無目的性的,但會對網絡通信系統造成損害,威脅通信安全。
而人為威脅是對網絡信息系統的人為攻擊,通常是通過尋找系統的弱點,以非授權方式達到破壞、欺騙和竊取數據信息等目的。兩者相比,精心設計的人為攻擊通常威脅大、難防備、種類多、數量大。
2.數據包分析介紹
數據包分析,經常也被稱為數據包嗅探或協議分析,指的是通過捕獲網絡上傳輸的數據包并對數據包進行解碼。由于網絡中的通訊都源于數據包,盡管有些流量通過協議來看是正常的可信協議,但很可能在背地里進行不為人知的惡意行為,為了能夠更加清楚透徹的了解網絡,就需要進入數據包層面進行分析,在這個層面沒有任何的異常情況能夠逃脫我們的視線,能夠詳細的了解網絡中發生任何的事情(加密除外)。
3.通過數據包分析發現、追溯網絡攻擊
I.大數據采集
基于數據包的大數據技術的第一前提條件是能夠獲取有效的數據包,通常情況下網絡分析人員會使用抓包軟件采集數據包,但由于抓包軟件通常只能捕獲短時間的數據包,但目前很多網絡攻擊不一定是在短時間內進行,其攻擊過程可能持續幾天、一周、一年,甚至更長的時間。這就需要能夠對數據包進行不間斷的采集,在采集的過程中對數據包進行分類展現及實時進行各項處理;
II.數據包解碼
數據包是網絡傳輸中最小的人工可讀數據,通過數據包的解碼分析能夠掌握網絡中最細微的變化,通過網絡中的變化找到異常問題,發現可能的網絡攻擊,并對攻擊過程進行深度還原,掌握各種網絡攻擊模型,對網絡攻擊做到知己知彼,做出有針對性并且最有效的防御;
III.快速發現網絡攻擊
通過解碼數據包可針對數據包內的多中參數進行“與”、“或”關系組合配置警報,并可結合數據包特征值定義的方式,針對網絡攻擊的特征值或行為進行有效的告警信息配置,快速的發現網絡中的攻擊,并且能夠提取相關原始數據包進行詳細分析;
IV.數據包追溯分析
要想使用大數據技術對網絡攻擊進行長期的追溯分析,只有長期的數據包采集是不夠的,還要對數據包和統計信息進行長期存儲;并且在存儲的基礎上對數據包快速檢索及可視化展現,這樣能夠幫助網絡管理人員掌握網絡的長期運行態勢,快速定位網絡異常、攻擊發生時間,對問題時段進行追溯分析,發現網絡攻擊的行為并進行深入分析。
4.數據包分析快速發現、長期追溯網絡攻擊案例
如上圖,網絡在6月11-12日突然出現大流量傳輸;
并且網絡中TCP同步包與TCP同步確認包差值巨大;
我們通過預先定義告警,通過多參數“與”“或”組合及特征值定義,配置靈活的告警信息,一旦網絡中出現異常數據包達到出發要求時,會快速上報,及時發現網絡中可能存在的攻擊;
如上圖,對異常數據包進行tcp會話重組,可以看到每一個會話的異常行為(TCP同步位并且含有載荷數據);
可對數據包進行深度解碼,查看數據包級的內容,載荷內容全部填充為0,填充大量無效數據,形成DOS攻擊。
本案例通過告警信息快速發現網絡中可能存在異常攻擊,并且能夠長時間追溯網絡攻擊,并且快速判斷網絡攻擊手法及攻擊根源,及時定位各類網絡安全問題。
小結
通過上述內容及案例,可以看出基于數據包分析的大數據技術可幫助網絡管理人員快速的發現、定位各類網絡攻擊,并且能夠在存儲期內對任意網絡攻擊及問題進行回溯分析,做到精細化分析,提供數據包級的支撐,幫助網絡管理人員更加安全的管理網絡。
京公網安備 11010502049343號