基于數(shù)據(jù)包分析的大數(shù)據(jù)技術解決網(wǎng)絡安全問題
1.網(wǎng)絡攻擊簡介
網(wǎng)絡攻擊是利用網(wǎng)絡存在的漏洞和安全缺陷對網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)進行的攻擊���。網(wǎng)絡信息系統(tǒng)所面臨而對威脅來自很多方面�����,而且會隨著時間的變化而變化�����。從宏觀上看�,這些威脅可分為人為威脅和自然威脅�����。數(shù)據(jù)分析師培訓
自然威脅來自于各種自然災害���、惡劣的場地環(huán)境����、電磁干擾、網(wǎng)絡設備的自然老化等�����。這些威脅是無目的性的���,但會對網(wǎng)絡通信系統(tǒng)造成損害��,威脅通信安全��。
而人為威脅是對網(wǎng)絡信息系統(tǒng)的人為攻擊��,通常是通過尋找系統(tǒng)的弱點�,以非授權方式達到破壞��、欺騙和竊取數(shù)據(jù)信息等目的����。兩者相比,精心設計的人為攻擊通常威脅大��、難防備、種類多�、數(shù)量大。
2.數(shù)據(jù)包分析介紹
數(shù)據(jù)包分析���,經(jīng)常也被稱為數(shù)據(jù)包嗅探或協(xié)議分析����,指的是通過捕獲網(wǎng)絡上傳輸?shù)臄?shù)據(jù)包并對數(shù)據(jù)包進行解碼�����。由于網(wǎng)絡中的通訊都源于數(shù)據(jù)包����,盡管有些流量通過協(xié)議來看是正常的可信協(xié)議�����,但很可能在背地里進行不為人知的惡意行為�,為了能夠更加清楚透徹的了解網(wǎng)絡,就需要進入數(shù)據(jù)包層面進行分析�,在這個層面沒有任何的異常情況能夠逃脫我們的視線,能夠詳細的了解網(wǎng)絡中發(fā)生任何的事情(加密除外)�。
3.通過數(shù)據(jù)包分析發(fā)現(xiàn)���、追溯網(wǎng)絡攻擊
I.大數(shù)據(jù)采集
基于數(shù)據(jù)包的大數(shù)據(jù)技術的第一前提條件是能夠獲取有效的數(shù)據(jù)包,通常情況下網(wǎng)絡分析"數(shù)據(jù)分析師"人員會使用抓包軟件采集數(shù)據(jù)包�����,但由于抓包軟件通常只能捕獲短時間的數(shù)據(jù)包�����,但目前很多網(wǎng)絡攻擊不一定是在短時間內(nèi)進行�,其攻擊過程可能持續(xù)幾天、一周�、一年,甚至更長的時間�����。這就需要能夠對數(shù)據(jù)包進行不間斷的采集��,在采集的過程中對數(shù)據(jù)包進行分類展現(xiàn)及實時進行各項處理���;
II.數(shù)據(jù)包解碼
數(shù)據(jù)包是網(wǎng)絡傳輸中最小的人工可讀數(shù)據(jù)��,通過數(shù)據(jù)包的解碼分析能夠掌握網(wǎng)絡中最細微的變化��,"數(shù)據(jù)分析師"通過網(wǎng)絡中的變化找到異常問題���,發(fā)現(xiàn)可能的網(wǎng)絡攻擊����,并對攻擊過程進行深度還原�,掌握各種網(wǎng)絡攻擊模型,對網(wǎng)絡攻擊做到知己知彼����,做出有針對性并且最有效的防御;
III.快速發(fā)現(xiàn)網(wǎng)絡攻擊
通過解碼數(shù)據(jù)包可針對數(shù)據(jù)包內(nèi)的多中參數(shù)進行“與”�、“或”關系組合配置警報���,并可結合數(shù)據(jù)包特征值定義的方式�,針對網(wǎng)絡攻擊的特征值或行為進行有效的告警信息配置�����,快速的發(fā)現(xiàn)網(wǎng)絡中的攻擊�,并且能夠提取相關原始數(shù)據(jù)包進行詳細分析;
IV.數(shù)據(jù)包追溯分析
"數(shù)據(jù)分析師"要想使用大數(shù)據(jù)技術對網(wǎng)絡攻擊進行長期的追溯分析����,只有長期的數(shù)據(jù)包采集是不夠的��,還要對數(shù)據(jù)包和統(tǒng)計信息進行長期存儲����;并且在存儲的基礎上對數(shù)據(jù)包快速檢索及可視化展現(xiàn)���,這樣能夠幫助網(wǎng)絡管理人員掌握網(wǎng)絡的長期運行態(tài)勢�,快速定位網(wǎng)絡異常���、攻擊發(fā)生時間��,對問題時段進行追溯分析����,發(fā)現(xiàn)網(wǎng)絡攻擊的行為并進行深入分析���。
4.數(shù)據(jù)包分析快速發(fā)現(xiàn)�、長期追溯網(wǎng)絡攻擊案例
如上圖�����,網(wǎng)絡在6月11-12日突然出現(xiàn)大流量傳輸���;
并且網(wǎng)絡中TCP同步包與TCP同步確認包差值巨大�;
我們通過預先定義告警���,通過多參數(shù)“與”“或”組合及特征值定義,配置靈活的告警信息��,一旦網(wǎng)絡中出現(xiàn)異常數(shù)據(jù)包達到出發(fā)要求時�,會快速上報����,及時發(fā)現(xiàn)網(wǎng)絡中可能存在的攻擊��;
如上圖���,對異常數(shù)據(jù)包進行tcp會話重組���,可以看到每一個會話的異常行為(TCP同步位并且含有載荷數(shù)據(jù));
可對數(shù)據(jù)包進行深度解碼��,查看數(shù)據(jù)包級的內(nèi)容���,載荷內(nèi)容全部填充為0��,填充大量無效數(shù)據(jù)����,形成DOS攻擊��。
本案例通過告警信息快速發(fā)現(xiàn)網(wǎng)絡中可能存在異常攻擊��,并且能夠長時間追溯網(wǎng)絡攻擊,并且快速判斷網(wǎng)絡攻擊手法及攻擊根源�����,及時定位各類網(wǎng)絡安全問題���。
小結
通過上述內(nèi)容及案例���,可以看出基于數(shù)據(jù)包分析的大數(shù)據(jù)技術可幫助網(wǎng)絡管理"數(shù)據(jù)分析師"人員快速的發(fā)現(xiàn)、定位各類網(wǎng)絡攻擊��,并且能夠在存儲期內(nèi)對任意網(wǎng)絡攻擊及問題進行回溯分析���,做到精細化分析�,提供數(shù)據(jù)包級的支撐�,幫助網(wǎng)絡管理人員更加安全的管理網(wǎng)絡。
CDA數(shù)據(jù)分析師考試相關入口一覽(建議收藏):
? 想報名CDA認證考試�����,點擊>>>
“CDA報名”
了解CDA考試詳情�;
? 想學習CDA考試教材,點擊>>> “CDA教材” 了解CDA考試詳情�;
? 想加入CDA考試題庫��,點擊>>> “CDA題庫” 了解CDA考試詳情;
? 想了解CDA考試含金量�����,點擊>>> “CDA含金量” 了解CDA考試詳情���;
京公網(wǎng)安備 11010802034615號
經(jīng)營許可證編號:京B2-20210330