基于數(shù)據(jù)包分析的大數(shù)據(jù)技術(shù)解決網(wǎng)絡(luò)安全問(wèn)題
1.網(wǎng)絡(luò)攻擊簡(jiǎn)介
網(wǎng)絡(luò)攻擊是利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對(duì)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)進(jìn)行的攻擊。網(wǎng)絡(luò)信息系統(tǒng)所面臨而對(duì)威脅來(lái)自很多方面����,而且會(huì)隨著時(shí)間的變化而變化。從宏觀上看����,這些威脅可分為人為威脅和自然威脅����。數(shù)據(jù)分析師培訓(xùn)
自然威脅來(lái)自于各種自然災(zāi)害、惡劣的場(chǎng)地環(huán)境���、電磁干擾�����、網(wǎng)絡(luò)設(shè)備的自然老化等�����。這些威脅是無(wú)目的性的���,但會(huì)對(duì)網(wǎng)絡(luò)通信系統(tǒng)造成損害�,威脅通信安全�。
而人為威脅是對(duì)網(wǎng)絡(luò)信息系統(tǒng)的人為攻擊,通常是通過(guò)尋找系統(tǒng)的弱點(diǎn)�,以非授權(quán)方式達(dá)到破壞、欺騙和竊取數(shù)據(jù)信息等目的�。兩者相比,精心設(shè)計(jì)的人為攻擊通常威脅大�、難防備、種類(lèi)多���、數(shù)量大。
2.數(shù)據(jù)包分析介紹
數(shù)據(jù)包分析�����,經(jīng)常也被稱(chēng)為數(shù)據(jù)包嗅探或協(xié)議分析�����,指的是通過(guò)捕獲網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包并對(duì)數(shù)據(jù)包進(jìn)行解碼。由于網(wǎng)絡(luò)中的通訊都源于數(shù)據(jù)包���,盡管有些流量通過(guò)協(xié)議來(lái)看是正常的可信協(xié)議��,但很可能在背地里進(jìn)行不為人知的惡意行為�,為了能夠更加清楚透徹的了解網(wǎng)絡(luò)����,就需要進(jìn)入數(shù)據(jù)包層面進(jìn)行分析,在這個(gè)層面沒(méi)有任何的異常情況能夠逃脫我們的視線��,能夠詳細(xì)的了解網(wǎng)絡(luò)中發(fā)生任何的事情(加密除外)����。
3.通過(guò)數(shù)據(jù)包分析發(fā)現(xiàn)、追溯網(wǎng)絡(luò)攻擊
I.大數(shù)據(jù)采集
基于數(shù)據(jù)包的大數(shù)據(jù)技術(shù)的第一前提條件是能夠獲取有效的數(shù)據(jù)包�����,通常情況下網(wǎng)絡(luò)分析"數(shù)據(jù)分析師"人員會(huì)使用抓包軟件采集數(shù)據(jù)包����,但由于抓包軟件通常只能捕獲短時(shí)間的數(shù)據(jù)包,但目前很多網(wǎng)絡(luò)攻擊不一定是在短時(shí)間內(nèi)進(jìn)行���,其攻擊過(guò)程可能持續(xù)幾天����、一周、一年���,甚至更長(zhǎng)的時(shí)間���。這就需要能夠?qū)?shù)據(jù)包進(jìn)行不間斷的采集,在采集的過(guò)程中對(duì)數(shù)據(jù)包進(jìn)行分類(lèi)展現(xiàn)及實(shí)時(shí)進(jìn)行各項(xiàng)處理��;
II.數(shù)據(jù)包解碼
數(shù)據(jù)包是網(wǎng)絡(luò)傳輸中最小的人工可讀數(shù)據(jù)��,通過(guò)數(shù)據(jù)包的解碼分析能夠掌握網(wǎng)絡(luò)中最細(xì)微的變化����,"數(shù)據(jù)分析師"通過(guò)網(wǎng)絡(luò)中的變化找到異常問(wèn)題,發(fā)現(xiàn)可能的網(wǎng)絡(luò)攻擊���,并對(duì)攻擊過(guò)程進(jìn)行深度還原,掌握各種網(wǎng)絡(luò)攻擊模型����,對(duì)網(wǎng)絡(luò)攻擊做到知己知彼�,做出有針對(duì)性并且最有效的防御����;
III.快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊
通過(guò)解碼數(shù)據(jù)包可針對(duì)數(shù)據(jù)包內(nèi)的多中參數(shù)進(jìn)行“與”、“或”關(guān)系組合配置警報(bào)���,并可結(jié)合數(shù)據(jù)包特征值定義的方式�����,針對(duì)網(wǎng)絡(luò)攻擊的特征值或行為進(jìn)行有效的告警信息配置�,快速的發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊���,并且能夠提取相關(guān)原始數(shù)據(jù)包進(jìn)行詳細(xì)分析����;
IV.數(shù)據(jù)包追溯分析
"數(shù)據(jù)分析師"要想使用大數(shù)據(jù)技術(shù)對(duì)網(wǎng)絡(luò)攻擊進(jìn)行長(zhǎng)期的追溯分析�����,只有長(zhǎng)期的數(shù)據(jù)包采集是不夠的���,還要對(duì)數(shù)據(jù)包和統(tǒng)計(jì)信息進(jìn)行長(zhǎng)期存儲(chǔ)��;并且在存儲(chǔ)的基礎(chǔ)上對(duì)數(shù)據(jù)包快速檢索及可視化展現(xiàn)�����,這樣能夠幫助網(wǎng)絡(luò)管理人員掌握網(wǎng)絡(luò)的長(zhǎng)期運(yùn)行態(tài)勢(shì)��,快速定位網(wǎng)絡(luò)異常�����、攻擊發(fā)生時(shí)間�,對(duì)問(wèn)題時(shí)段進(jìn)行追溯分析,發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的行為并進(jìn)行深入分析�����。
4.數(shù)據(jù)包分析快速發(fā)現(xiàn)���、長(zhǎng)期追溯網(wǎng)絡(luò)攻擊案例
如上圖�,網(wǎng)絡(luò)在6月11-12日突然出現(xiàn)大流量傳輸�;
并且網(wǎng)絡(luò)中TCP同步包與TCP同步確認(rèn)包差值巨大;
我們通過(guò)預(yù)先定義告警����,通過(guò)多參數(shù)“與”“或”組合及特征值定義,配置靈活的告警信息�,一旦網(wǎng)絡(luò)中出現(xiàn)異常數(shù)據(jù)包達(dá)到出發(fā)要求時(shí),會(huì)快速上報(bào)��,及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中可能存在的攻擊����;
如上圖,對(duì)異常數(shù)據(jù)包進(jìn)行tcp會(huì)話(huà)重組���,可以看到每一個(gè)會(huì)話(huà)的異常行為(TCP同步位并且含有載荷數(shù)據(jù))�;
可對(duì)數(shù)據(jù)包進(jìn)行深度解碼���,查看數(shù)據(jù)包級(jí)的內(nèi)容���,載荷內(nèi)容全部填充為0,填充大量無(wú)效數(shù)據(jù)���,形成DOS攻擊���。
本案例通過(guò)告警信息快速發(fā)現(xiàn)網(wǎng)絡(luò)中可能存在異常攻擊,并且能夠長(zhǎng)時(shí)間追溯網(wǎng)絡(luò)攻擊,并且快速判斷網(wǎng)絡(luò)攻擊手法及攻擊根源�,及時(shí)定位各類(lèi)網(wǎng)絡(luò)安全問(wèn)題。
小結(jié)
通過(guò)上述內(nèi)容及案例��,可以看出基于數(shù)據(jù)包分析的大數(shù)據(jù)技術(shù)可幫助網(wǎng)絡(luò)管理"數(shù)據(jù)分析師"人員快速的發(fā)現(xiàn)�����、定位各類(lèi)網(wǎng)絡(luò)攻擊��,并且能夠在存儲(chǔ)期內(nèi)對(duì)任意網(wǎng)絡(luò)攻擊及問(wèn)題進(jìn)行回溯分析�����,做到精細(xì)化分析��,提供數(shù)據(jù)包級(jí)的支撐���,幫助網(wǎng)絡(luò)管理人員更加安全的管理網(wǎng)絡(luò)����。
CDA數(shù)據(jù)分析師考試相關(guān)入口一覽(建議收藏):
? 想報(bào)名CDA認(rèn)證考試����,點(diǎn)擊>>>
“CDA報(bào)名”
了解CDA考試詳情���;
? 想學(xué)習(xí)CDA考試教材,點(diǎn)擊>>> “CDA教材” 了解CDA考試詳情�����;
? 想加入CDA考試題庫(kù)���,點(diǎn)擊>>> “CDA題庫(kù)” 了解CDA考試詳情;
? 想了解CDA考試含金量����,點(diǎn)擊>>> “CDA含金量” 了解CDA考試詳情;
京公網(wǎng)安備 11010802034615號(hào)
經(jīng)營(yíng)許可證編號(hào):京B2-20210330