描述：通過 Network as a Sensor 方案，思科真正將網絡作為我們防御威脅的有力工具，通過網絡的覆蓋，做到真正的“安全無死角”。

正文：

在好萊塢大片中，黑客就像是使用計算機的黑魔導士，可以通過利用計算機炸毀房屋，關閉公路，釋放瘟疫引發混亂。也許很多人并不相信，但事實上，電影中的這些橋段總是不斷上演!某國山寨 Facebook 網站剛上線便被一名 18 歲的蘇格蘭大學生黑掉，Facebook CEO 小扎自己的 Twitter 和 Pinterest 帳戶雙雙被盜……在現實中，黑客行動的刺激程度絕對不亞于電影。

尤其是在數字經濟的浪潮下，黑客的任何行動造成任何信息的失竊，都等同于企業資產的流失。數據安全成為一個極為重要的挑戰!

不信?!舉個小栗子~

在現實中，黑客是在不斷成長的!現在，黑進企業的網絡只是黑客的第一步，做法之一就是，他們會把網絡內的一個主機當做跳板，從用戶的數據庫中拖取數據。這個數據讀取過程通常會傳輸大量數據，時間長短不一。而這個漫長而且危險的過程，網絡邊界的防火墻卻是看不到的。

好怕怕，那該怎么辦?

思科的 NaaS 方案實現安全“面布防”

思科 NaaS 方案通過網絡來收集網絡傳送的所有信息，然后利用 Netflow 協議發送至數據采集設備，這樣所有利用網絡的傳輸將一覽無余。接下來，數據分析設備對采集的數據進行大數據分析，從數據中發現安全隱患。例如，發現異常流量主機，發現違規訪問，發現蠕蟲病毒傳播，發現數據竊取行為。利用此方案可以對網絡的流量及所有的訪問行為一覽無余，真正做到無死角網絡監控，安全“面布防”。

思科正是利用路由交換設備部署位置的特點，結合了思科路由交換設備的功能，推出了 “Network as a sensor” 方案，完美的解決了這個問題。

思科NaaS實現主機異常行為檢測

千萬不要小看一個 ACK 數據包!千萬不要小看一個 ACK 數據包!千萬不要小看一個 ACK 數據包!一旦重復大量發送，這種數據流就會對網絡設備造成影響，特別是網絡中的 4-7 層設備對此類異常流量抵抗能力弱，輕的造成設備高 CPU利用率，網絡處理速度變慢時延變大。嚴重時候直接會導致網絡設備癱瘓，從而網絡癱瘓。

所以，每個數據包的正常并不代表主機就正常!

思科 NaaS 方案中，數據采集分析設備 Stealthwatch Management Console 在收集到 Netflow 信息后，會對信息進行存儲，然后進行大數據分析。針對網絡中出現流量的主機進行流量行為建模，每個主機的流量統計特征都不一樣。

思科 NaaS 方案中，數據分析設備 Stealthwatch 對自身收集的網絡訪問大數據進行整理建模后，進一步在數據中進行大數據分析來發現各類違規。Stealthwatch 設計了大量的異常行為事件模板，從數據中提取安全事件。這些安全事件包括地址掃描、暴力破解、各類泛洪攻擊、以及平時非常難檢測的隱藏超長連接等等。內置超過 100 個安全異常行為，同時用戶還可以定制自己的異常行為模板，讓 NaaS 幫用戶進行數據分析并告警。利用這些異常行為分析，能夠幫用戶發現網絡滲漏、數據竊取以及 DDOS 等惡意行為。

在產生事件告警后，管理人員還可以通過 Stealthwatch 進行相應設定，通過調用第三方設備對安全事件進行自動響應。例如：調用思科的路由器下發 null0 路由，將產生異常的主機對網路的攻擊進行阻斷。或者調用 ISE，將網絡中接入的異常主機物理端口進行關閉。

通過 Network as a Sensor 方案，思科真正將網絡作為防御威脅的有力工具，通過網絡的覆蓋，做到真正的 “安全無死角”。