作者 | 伍杏玲

出品 | CSDN（ID:CSDNnews）

據(jù)啟明星辰發(fā)布的《2019~2020網(wǎng)絡(luò)安全態(tài)勢觀察報告》顯示，在過去一年多時間里，勒索攻擊由 2014 年的廣泛無目的的傳播階段到2017 年 WannaCry 帶來的大規(guī)模自動化傳播階段，如今已進(jìn)化到以人為核心的“APT化”攻擊階段。勒索攻擊越來越趨于“APT”化，且逐漸瞄準(zhǔn)大型且有實力的價值型目標(biāo)。一旦在這些大型企業(yè)攻擊成功，帶來的經(jīng)濟損失十分嚴(yán)重。

在近年來網(wǎng)絡(luò)安全事故頻出下，實時防護(hù)固然重要，但如何對事故進(jìn)行評估與取證已成為企業(yè)的一大難題。因此，擁有20多年網(wǎng)絡(luò)安全技術(shù)經(jīng)驗的啟明星辰推出全流量分析取證系統(tǒng)（NFT）?，通過多種復(fù)雜流量組合的攻擊過程分析，具備完整攻擊鏈的全過程信息存儲和展示，可協(xié)助識別網(wǎng)絡(luò)攻擊的有效性，實現(xiàn)網(wǎng)絡(luò)攻擊超低誤報。?

這到底是什么黑科技？我們先睹為快：

設(shè)計初衷

?

NFT是通過存儲網(wǎng)絡(luò)中所有的流量，實現(xiàn)完整的攻擊過程在網(wǎng)絡(luò)數(shù)據(jù)傳輸中的快照，依據(jù)一定的查詢規(guī)則來展示攻擊鏈的所有相關(guān)信息。NFT可通過和傳統(tǒng)安全檢測設(shè)備、流量分析設(shè)備系統(tǒng)聯(lián)動，實現(xiàn)一鍵檢測，全攻擊鏈還原取證的能力，實現(xiàn)準(zhǔn)確的攻擊有效性判斷和關(guān)鍵證據(jù)的獲取。

談及其設(shè)計初衷，啟明星辰高級威脅檢測與響應(yīng)產(chǎn)品線總監(jiān)倪海洋表示，一是當(dāng)下很多安全工具如防火墻、IDS等是用于實時檢測，適合實時監(jiān)測和預(yù)警當(dāng)前攻擊，但是對于歷史攻擊的溯源取證目前很少有安全廠商關(guān)注。

二是資產(chǎn)損失評估，可能損失是發(fā)生在過去時，通過實時攻擊檢測手段是無法獲取的。

三是隨著如今攻擊手段的升級，從以前的”快”攻擊到現(xiàn)在的“慢”攻擊，如APT攻擊瞄準(zhǔn)一個目標(biāo)做慢攻擊，潛伏周期長，攻擊手法復(fù)雜，長周期的痕跡監(jiān)測與發(fā)現(xiàn)，實時監(jiān)測產(chǎn)品是無法做到的。在這三者下，全流量分析取證系統(tǒng)（NFT）?應(yīng)運而生。

? ?四大特性打造全立體防護(hù)

?

啟明星辰集團合伙人兼副總裁袁智輝闡述全流量分析取證系統(tǒng)（NFT）?時描述了四大特性：全程檢測、全范式檢測、全域檢測和全時檢測。

一、全程檢測。正如我們監(jiān)測流行病患者一樣，一旦患者被確診，我們需尋找和跟蹤其密切接觸者的軌跡。在攻擊流上也需要這樣的全程監(jiān)測，例如在載荷層做關(guān)聯(lián)檢測。

二、全范式檢測。檢測技術(shù)可基于特征監(jiān)測，也可基于沙箱動態(tài)分析（如APT沙箱樣本檢測），還有基于機器學(xué)習(xí)這三類范式來做監(jiān)測。

三、全域檢測。NFT系統(tǒng)提供從終端到網(wǎng)絡(luò)、云端全域檢測，提供全立體式服務(wù)。

四、全時檢測。上述主要集中在一個時間點上對不同的層次用不同的檢測技術(shù)在不同的空間域進(jìn)行的檢測，但是這個空間域檢測僅是一個點，例如我們觀察一張圖片一樣，如果將監(jiān)測過程換成視頻回放，將當(dāng)前這張圖片和前面的圖片做比較，形成時空維度做觀測。NFT便是這樣具備全流量存儲檢索回放后進(jìn)行事后檢測能力的產(chǎn)品。

如此一來，有了NFT后，我們可以完成從一個攻擊的線索發(fā)現(xiàn)到確認(rèn)整個攻擊流程的取證，從一個攻擊線索監(jiān)測到確認(rèn)其真正的影響范圍，進(jìn)而結(jié)合威脅情報來深挖和拓寬，可幫助用戶了解整個攻擊鏈全貌，這便是NFT和其他實時產(chǎn)品不同之處。

高倍速流量回放，全方位了解攻擊的“前世今生”

?

除了上述四大特性，NFT的核心能力有：支持大流量網(wǎng)絡(luò)環(huán)境部署，數(shù)據(jù)存儲可達(dá)6個月；支持高倍速流量回放能力，實現(xiàn)高效率回溯檢測流量數(shù)據(jù)；高性能原始報文快速存儲能力，保證大流量環(huán)境無丟包；集成啟明星辰的安全能力和安全監(jiān)測模型，可與IDS、CS、APT、TAR等產(chǎn)品無縫聯(lián)動，實現(xiàn)攻擊威脅自動化取證和監(jiān)測；支持Syslog、Kafka、Restful API等方式與上層態(tài)勢感知等中心化平臺產(chǎn)品形成完整的閉環(huán)全流量安全解決方案。

其中，值得一提的是其高倍速流量回放能力，倪海洋表示，高倍速回放功能就像攝像機高速倒帶，可以將完整保存的流量重新回放一遍，便于用最新的檢測能力查看和監(jiān)測潛在威脅。如需回看時間較長的記錄時，高速回放是必須的。“例如，對于已存了二十天的記錄，如果再花二十天的時間檢查一遍的話，用戶的時間成本太高，而高速回放可大幅節(jié)約這部分的時間。”?

倪海洋分享了一個實際案例，通過IDS發(fā)現(xiàn)了一個僵尸網(wǎng)絡(luò)攻擊特征，在用戶判別是否攻擊成功時，可用全流量分析取證系統(tǒng)（NFT）?進(jìn)行回溯檢測，回放整個攻擊過程。此時注意的是，不需要將過去所有的流量都回放，只要把疑似攻擊相關(guān)IP流取出來回放一遍，與此同時，配置好IDS、流安全、APT、沙箱策略，隨之猶如電影放映一樣，用戶可以觀察到攻擊的完整過程、影響的主機，進(jìn)而確定攻擊范圍。

隨著互聯(lián)網(wǎng)和5G的發(fā)展，大流量網(wǎng)絡(luò)環(huán)境越來越多，針對大流量環(huán)境所需的高性能處理能力，NFT該如何“見招拆招”呢？

對此，袁智輝表示，由于5G擁有更多的協(xié)議種類，檢測產(chǎn)品將會加強5G協(xié)議識別。另外 5G 帶寬增加，對于安全產(chǎn)品的性能要求將提高。因此，啟明星辰通過軟硬件結(jié)合的方式，進(jìn)一步加強和鞏固自身安全產(chǎn)品性能，更好地布局5G時代。

更多閱讀推薦

• 下一代 IDE：Eclipse Che 究竟有什么奧秘？

• 竊隱私、放高利貸，輸入法的騷操作真不少！

• 進(jìn)入編譯器后，一個函數(shù)經(jīng)歷了什么？
  

• 程序員離職后收到原公司 2400 元，被告違反競業(yè)協(xié)議賠 18 萬

• 5年5億美金，華為昇騰如何爭奪AI開發(fā)者？

總結(jié)

以上是生活随笔為你收集整理的让安全威胁无所遁形，全方位掌握攻击“前世今生”的黑科技来了的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。