1.网络攻击简介
网络攻击是利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击。网络信息系统所面临而对威胁来自很多方面,而且会随着时间的变化而变化。从宏观上看,这些威胁可分为人为威胁和自然威胁。
自然威胁来自于各种自然灾害、恶劣的场地环境、电磁干扰、网络设备的自然老化等。这些威胁是无目的性的,但会对网络通信系统造成损害,威胁通信安全。
而人为威胁是对网络信息系统的人为攻击,通常是通过寻找系统的弱点,以非授权方式达到破坏、欺骗和窃取数据信息等目的。两者相比,精心设计的人为攻击通常威胁大、难防备、种类多、数量大。
2.数据包分析介绍
数据包分析,经常也被称为数据包嗅探或协议分析,指的是通过捕获网络上传输的数据包并对数据包进行解码。由于网络中的通讯都源于数据包,尽管有些流量通过协议来看是正常的可信协议,但很可能在背地里进行不为人知的恶意行为,为了能够更加清楚透彻的了解网络,就需要进入数据包层面进行分析,在这个层面没有任何的异常情况能够逃脱我们的视线,能够详细的了解网络中发生任何的事情(加密除外)。
3.通过数据包分析发现、追溯网络攻击
I.大数据采集
基于数据包的大数据技术的第一前提条件是能够获取有效的数据包,通常情况下网络分析人员会使用抓包软件采集数据包,但由于抓包软件通常只能捕获短时间的数据包,但目前很多网络攻击不一定是在短时间内进行,其攻击过程可能持续几天、一周、一年,甚至更长的时间。这就需要能够对数据包进行不间断的采集,在采集的过程中对数据包进行分类展现及实时进行各项处理;
II.数据包解码
数据包是网络传输中最小的人工可读数据,通过数据包的解码分析能够掌握网络中最细微的变化,通过网络中的变化找到异常问题,发现可能的网络攻击,并对攻击过程进行深度还原,掌握各种网络攻击模型,对网络攻击做到知己知彼,做出有针对性并且最有效的防御;
III.快速发现网络攻击
通过解码数据包可针对数据包内的多中参数进行“与”、“或”关系组合配置警报,并可结合数据包特征值定义的方式,针对网络攻击的特征值或行为进行有效的告警信息配置,快速的发现网络中的攻击,并且能够提取相关原始数据包进行详细分析;
IV.数据包追溯分析
要想使用大数据技术对网络攻击进行长期的追溯分析,只有长期的数据包采集是不够的,还要对数据包和统计信息进行长期存储;并且在存储的基础上对数据包快速检索及可视化展现,这样能够帮助网络管理人员掌握网络的长期运行态势,快速定位网络异常、攻击发生时间,对问题时段进行追溯分析,发现网络攻击的行为并进行深入分析。
4.数据包分析快速发现、长期追溯网络攻击案例
如上图,网络在6月11-12日突然出现大流量传输;
并且网络中TCP同步包与TCP同步确认包差值巨大;
我们通过预先定义告警,通过多参数“与”“或”组合及特征值定义,配置灵活的告警信息,一旦网络中出现异常数据包达到出发要求时,会快速上报,及时发现网络中可能存在的攻击;
如上图,对异常数据包进行tcp会话重组,可以看到每一个会话的异常行为(TCP同步位并且含有载荷数据);
可对数据包进行深度解码,查看数据包级的内容,载荷内容全部填充为0,填充大量无效数据,形成DOS攻击。
本案例通过告警信息快速发现网络中可能存在异常攻击,并且能够长时间追溯网络攻击,并且快速判断网络攻击手法及攻击根源,及时定位各类网络安全问题。
小结
通过上述内容及案例,可以看出基于数据包分析的大数据技术可帮助网络管理人员快速的发现、定位各类网络攻击,并且能够在存储期内对任意网络攻击及问题进行回溯分析,做到精细化分析,提供数据包级的支撑,帮助网络管理人员更加安全的管理网络。