近日,由公安部网络安全保卫局指导,公安部第三研究所承办的“首届县域网络安全工作创新论坛”在北京举办。论坛邀请了公安相关部门主管领导、网络安全领域权威专家、部分省市基层公安网络安全负责同志参会,并在会中结合基层工作实际情况等展开深入探讨。科来产品运营总监李飞,发表《全流量分析,安全监测无死角》主题演讲,助力基层公安网络安全监管工作。
加强基层网络安全工作,是建设网络强国的基础工作。在新的网络安全环境下,基层信息系统受到大面积威胁,也突显了网络安全保障能力的薄弱。现阶段,网络安全最大的问题不是防御能力的不足,而是感知能力的脆弱,因此,能否分析和发现未知威胁,成为网络安全工作成败的关键。
现有的安全检测方法大部分基于安全边界防御的特征匹配技术,可针对已知安全威胁进行检测,但是对未知威胁则无能为力。基于边界防御的防护思路导致边界一旦被突破,黑客将畅通无阻,且用户也同时失去进一步感知威胁的机会;对于正在发生或已造成损失的入侵行为,则缺乏有效的数据进行复盘,无法定位问题,也无从了解到底发生了什么,失去了增强防御体系的机会。
基于以上几点,科来认为“网络全流量分析是行之有效的手段,因为再高级的攻击,都会留下网络痕迹。网络攻击者的行为和我们正常的网络访问行为所产生的数据是不一样的。”
黑客突破边界进入系统有利用0day漏洞、sql注入等多种手段,但只要在入侵者发现目标数据,并把数据拿走之前,能够及时的发现,并切断攻击,用户的数据就仍然是安全的。因此,我们需要对全部的网络流量进行实时的监控和分析。
网络全流量分析是对网络全部数据的分析,最大的难点是对网络协议和网络应用进行识别。科来将网络全部数据进行保存,并通过多种威胁检测手段解码识别,以实现对威胁的追踪,溯源和取证。具体体现在以下三个方面:
一、网络协议的鉴别能力是安全检测的基础
对网络流量的了解决定了是否能够准确鉴别出正常访问和异常行为。科来长期专注于网络协议与应用研究,通过15年的积累,实现了对2000 种网络协议的鉴别。更进一步,针对http,smtp/pop/imap,dns等400 常见的网络协议进行解码。科来可准确识别工作在这些协议下的行为和内容,并可将这些行为完整还原,实现网络流量从“血液”级可视到“基因”级可视的跨越。在此级别的可视化下,各类异常行为一目了然。
二、利用多种检测手段实现对威胁的感知
一方面,科来通过特征匹配技术实现对各类已知威胁的检测。另一方面,通过行为分析对未知威胁进行检测。科来通过基于“基因”级分析的深度,利用科来各类网络元数据字段对异常行为进行准确描述,从而发现未知威胁的蛛丝马迹。同时,科来凭借着多年异常流量样本和大量安全分析实战案例的积累,形成了独特的威胁情报体系,通过积累的黑ip、黑域名和黑md5值等“机读情报”实现失陷主机的检测和威胁排序,安全分析人员也能阅读事件的上下文信息、背景信息和分析结果等“人读情报”,实施具体威胁处置
三、长时间、大容量的保存网络全流量数据
网络全流量数据,包括原始数据包、统计数据、网络会话、警报等信息,通过将数据流重组实现对内容的还原。价值在于,知其然,更知其所以然。对于鉴别网络攻击是否成功、告警是否属于误报、未知威胁的发现、攻击过程的还原,以及受害面分析等都需要全量数据来做支撑。
网络全流量分析好比网络中的视频监控系统,我们能够利用全流量分析技术打造网络空间的“平安城市”与“雪亮工程”,实现安全监测无死角,维护国家网络空间安全。