回溯分析洞悉一切
——科来全流量分析监控异常
2017-11-08赵志远,季莹,章继刚
网络安全和信息化 2017年12期
随着互联网+的不断推进,单位业务与网络深度融合,单位对网络服务质量及运维要求,尤其是对网络稳定、高效、安全运行的需求在不断提高。
然而,另一方面令单位困惑的是,网络防御在不断的投入,为何有些问题依然没有感知。其归根到底是因为传统的防御措施诸如防火墙、IDS等缺乏对未知攻击的检测能力和对流量的深度分析能力。
现有威胁发现与追踪技术存在这样那样的死角:基于签名的检测方式易被绕过、缺乏必要的数据对异常事件进行识别以及缺乏看全看得见的能力。
既然黑客知道如何够绕过防御,那应当如何改进现有的防御架构?科来公司的齐宇飞(如图1)表示,再高级的攻击,都会留下网络痕迹,唯一万无一失的办法是监测全流量、全行为。
图1 科来 齐宇飞
图2 现有安全防御体系面临的挑战
图3 全行为、全流量分析
由于网络安全法条款要求单位采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。这使得全流量回溯分析技术对单位网络运维有着非常重要的意义,做到对网络原始流量数据的完整记录、安全事件追溯以及会话文件还原等。
另外,在安全合规性要求上,抗APT攻击和网络回溯等系统或设备可以满足要求。
业务性能保障方面,全流量回溯分析实施对IT基础设施的网络性能、业务性能、负载和可用性的持续监控。
在应急响应方面,完整记录网络原始数据包,并且通过回溯分析,实现是否需要处置,如何处置,以及处置效果提供充足的数据依据。
科来的全流量回溯分析,首先定位异常流量,然后发现并检索异常流量,最终提取异常流量的攻击模型。
因在全流量回溯分析检测安全威胁,感知并保障单位IT运维管理上的成绩,科来在“2017中国IT运维大会”上荣获“2017中国IT运维服务优秀企业”奖。