網(wǎng)絡(luò)流量分析技術(shù)助力新基建高質(zhì)量安全發(fā)展
【時(shí)間】2020-06-29
【編輯】Admin
【瀏覽量】
【等級(jí)保護(hù)QQ交流群】881590869
“新基建”涉及諸多產(chǎn)業(yè)鏈,綜合來(lái)看呈現(xiàn)三網(wǎng)并發(fā)態(tài)勢(shì),即信息網(wǎng)、交通網(wǎng)、能源網(wǎng)。整體結(jié)構(gòu)向科技端傾斜,不同程度地依賴信息化基礎(chǔ)設(shè)施建設(shè)已取得的成果繼續(xù)深化發(fā)展。從產(chǎn)業(yè)布局來(lái)看,信息網(wǎng)為交通網(wǎng)、能源網(wǎng)提供“數(shù)字土壤”,是實(shí)現(xiàn)高質(zhì)量、高端化發(fā)展的基石。
發(fā)展網(wǎng)絡(luò)安全核心自主技術(shù)
信息網(wǎng)涉及領(lǐng)域?qū)τ谛畔⒓夹g(shù)表現(xiàn)出的強(qiáng)依賴性,使信息技術(shù)產(chǎn)業(yè)發(fā)展快速增長(zhǎng),而中國(guó)信息技術(shù)產(chǎn)業(yè)大發(fā)展的直接挑戰(zhàn)就是中國(guó)制造自主可控。習(xí)近平總書記曾強(qiáng)調(diào)“努力實(shí)現(xiàn)關(guān)鍵核心技術(shù)自主可控,把創(chuàng)新主動(dòng)權(quán)、發(fā)展主動(dòng)權(quán)牢牢掌握在自己手中”。自主可控與國(guó)家網(wǎng)絡(luò)安全緊密相關(guān),網(wǎng)絡(luò)安全本身也是信息技術(shù)產(chǎn)業(yè)快速發(fā)展的一個(gè)直接挑戰(zhàn)?!靶禄ā毕碌木W(wǎng)絡(luò)攻擊正在從數(shù)字空間延伸到物理空間,眾多信息產(chǎn)業(yè)優(yōu)秀科技成果可能在圖謀不軌的網(wǎng)絡(luò)攻擊面前一擊斃命。2020年3月3日,我國(guó)首次公開(kāi)美國(guó)中央情報(bào)局的國(guó)家級(jí)網(wǎng)絡(luò)攻擊組織對(duì)中國(guó)進(jìn)行長(zhǎng)達(dá)11年的網(wǎng)絡(luò)攻擊與滲透。在此期間,中國(guó)航空航天、科研機(jī)構(gòu)、石油行業(yè)、大型互聯(lián)網(wǎng)公司以及政府機(jī)構(gòu)等多個(gè)單位均遭到不同程度的攻擊。中國(guó)網(wǎng)絡(luò)信息安全產(chǎn)業(yè)正在跨入增量市場(chǎng),大發(fā)展的前提是核心技術(shù)自主可控,避免網(wǎng)絡(luò)安全領(lǐng)域出現(xiàn)“卡脖子”現(xiàn)象。國(guó)家層網(wǎng)絡(luò)安全不同于傳統(tǒng)的工業(yè)、制造業(yè),確切地說(shuō)網(wǎng)絡(luò)安全是一個(gè)組織或者國(guó)家的免疫能力,這種能力不能全部依靠外部力量構(gòu)建,應(yīng)該是由內(nèi)而外地自我生成。
網(wǎng)絡(luò)流量分析技術(shù)至關(guān)重要
網(wǎng)絡(luò)流量分析又稱NTA技術(shù),在2017年被GARTNER評(píng)為十大頂尖信息安全技術(shù)之一,被定義為“通過(guò)監(jiān)控網(wǎng)絡(luò)流量、連接和對(duì)象,找出惡意的行為跡象。那些正在尋求基于網(wǎng)絡(luò)的方法,來(lái)識(shí)別繞過(guò)周邊安全性的高級(jí)攻擊的企業(yè)應(yīng)該考慮使用NTA技術(shù)來(lái)幫助識(shí)別、管理和分類這些事件?!?/section>NTA技術(shù)對(duì)于網(wǎng)絡(luò)安全發(fā)展至關(guān)重要,是解決那些未知的、高級(jí)的、新型的網(wǎng)絡(luò)安全威脅的關(guān)鍵技術(shù)。針對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全環(huán)境,基于數(shù)據(jù)包級(jí)別的網(wǎng)絡(luò)流量分析是保障網(wǎng)絡(luò)安全行之有效的方法。不論何種高級(jí)攻擊都會(huì)留下網(wǎng)絡(luò)痕跡,從網(wǎng)絡(luò)流量入手,甄別流量中的異?;顒?dòng)能夠更高效的發(fā)現(xiàn)未知威脅。NTA技術(shù)是如何發(fā)現(xiàn)網(wǎng)絡(luò)威脅的?首先是全流量采集與保存,在將網(wǎng)絡(luò)流量全部保存下來(lái)的同時(shí),實(shí)時(shí)提取其中的網(wǎng)元數(shù)據(jù),并在數(shù)據(jù)庫(kù)中索引、保存,以實(shí)現(xiàn)快速檢索與分析。其次,全行為分析是威脅檢測(cè)的核心,網(wǎng)絡(luò)攻擊者的行為和我們正常的網(wǎng)絡(luò)訪問(wèn)行為所產(chǎn)生的數(shù)據(jù)不一樣。面對(duì)未知威脅,可通過(guò)對(duì)網(wǎng)絡(luò)流量原始數(shù)據(jù)的透視與分析,從大流量數(shù)據(jù)中快速發(fā)現(xiàn)并定位網(wǎng)絡(luò)異常行為。最后,通過(guò)全流量回溯,發(fā)現(xiàn)高級(jí)威脅。很多高級(jí)威脅產(chǎn)生的活動(dòng)痕跡在大規(guī)模網(wǎng)絡(luò)流量中只會(huì)占到非常小的比例,但正是這少量的通訊流量對(duì)于攻擊檢測(cè)分析尤為關(guān)鍵和重要,需要通過(guò)事后的多線索關(guān)聯(lián)和回溯分析后才能有效定性和取證,這就要求必須對(duì)原始全流量數(shù)據(jù)包進(jìn)行一段時(shí)間的完整保存,保全證據(jù),并能快速回溯所有流量。有了原始流量的存儲(chǔ),就能將當(dāng)前檢測(cè)到的攻擊行為與歷史流量進(jìn)行關(guān)聯(lián),實(shí)現(xiàn)完整的攻擊溯源和取證分析,并在責(zé)任界定時(shí)提供真實(shí)可靠的證據(jù)依據(jù)。對(duì)于網(wǎng)絡(luò)流量分析技術(shù)的研究和使用,前提是對(duì)網(wǎng)絡(luò)協(xié)議的透徹理解。網(wǎng)絡(luò)協(xié)議是網(wǎng)絡(luò)為了進(jìn)行數(shù)據(jù)交換而建立的規(guī)則、標(biāo)準(zhǔn)或是約定的集合,如同我們?nèi)祟惖恼Z(yǔ)言,需要建立在一定的標(biāo)準(zhǔn)上,才能相互理解相互溝通。因此,無(wú)論是從事網(wǎng)絡(luò)運(yùn)維或安全相關(guān)的工作,還是深層次地理解網(wǎng)絡(luò),都需要對(duì)網(wǎng)絡(luò)協(xié)議及它們之間的關(guān)系有著系統(tǒng)、清晰的認(rèn)識(shí)。而想要進(jìn)行深層次、精細(xì)化地分析,就需要具備識(shí)別和解析不同網(wǎng)絡(luò)協(xié)議的能力。以不同場(chǎng)景來(lái)分析NTA技術(shù)的作用:工業(yè)互聯(lián)網(wǎng)安全:過(guò)去幾年來(lái),工業(yè)領(lǐng)域網(wǎng)絡(luò)攻擊事件顯著上升,由2012年197件上升到2019年報(bào)告數(shù)量的329件,烏克蘭電網(wǎng)被攻擊、委內(nèi)瑞拉大范圍停電、印度核電公司遭受攻擊,在我國(guó)也有部分醫(yī)療電力系統(tǒng)遭受勒索軟件攻擊。低廉的攻擊代價(jià)與高危的攻擊結(jié)果,讓工業(yè)領(lǐng)域成為黑客們緊盯的目標(biāo)。工業(yè)互聯(lián)網(wǎng)是“新基建”的一大方向,其安全已成為國(guó)家基礎(chǔ)設(shè)施安全的重要組成部分,隨著工業(yè)互聯(lián)網(wǎng)系統(tǒng)與設(shè)備間日益互聯(lián)互通,互相協(xié)同,保護(hù)好工業(yè)互聯(lián)網(wǎng)數(shù)字空間以及延伸出的物理空間安全變得尤為關(guān)鍵。對(duì)工業(yè)互聯(lián)網(wǎng)絡(luò)通信協(xié)議進(jìn)行解碼分析,可實(shí)現(xiàn)入侵檢測(cè)與安全審計(jì),發(fā)現(xiàn)和分析其脆弱性及安全漏洞,提高工業(yè)網(wǎng)絡(luò)安全檢測(cè)和事后取證追查能力,強(qiáng)化對(duì)工業(yè)互聯(lián)網(wǎng)系統(tǒng)的安全態(tài)勢(shì)感知與防御能力。物聯(lián)網(wǎng)安全:萬(wàn)物互聯(lián),萬(wàn)物智聯(lián),近年來(lái)IoT聯(lián)網(wǎng)設(shè)備無(wú)論是在數(shù)量上、還是復(fù)雜度上均呈現(xiàn)幾何級(jí)數(shù)增長(zhǎng),這些新的連接形態(tài)必定會(huì)產(chǎn)生海量的數(shù)據(jù)。對(duì)物聯(lián)網(wǎng)協(xié)議的識(shí)別與解碼,能夠幫助深入而系統(tǒng)地了解IoT網(wǎng)絡(luò),理解在IoT網(wǎng)絡(luò)中的數(shù)據(jù)流動(dòng)。通過(guò)不斷挖掘數(shù)據(jù)之間復(fù)雜聯(lián)系的價(jià)值,讓其成為企業(yè)重要的數(shù)據(jù)資產(chǎn),實(shí)現(xiàn)對(duì)周邊世界認(rèn)知能力的革命性飛躍。物聯(lián)網(wǎng)的雛形就像互聯(lián)網(wǎng)早期的形態(tài)局域網(wǎng)一樣,雖然發(fā)揮的作用有限,但其昭示著的遠(yuǎn)大前景已經(jīng)有目共睹。顯然,協(xié)議的識(shí)別與解碼分析是對(duì)網(wǎng)絡(luò)流量分析技術(shù)進(jìn)行研發(fā)的基礎(chǔ),通過(guò)對(duì)TCP/IP、IoT、工控等八大協(xié)議簇分類呈現(xiàn)的方式,幫助網(wǎng)絡(luò)安全工作者更深入的了解網(wǎng)絡(luò)語(yǔ)言。
新技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用
網(wǎng)絡(luò)安全技術(shù)對(duì)于我國(guó)“新基建”領(lǐng)域起到了保駕護(hù)航的作用,同時(shí)“新基建”技術(shù)亦可應(yīng)用于現(xiàn)有信息安全領(lǐng)域,促進(jìn)信息安全技術(shù)再革新,二者互相推動(dòng)、發(fā)展、融合,對(duì)我國(guó)推動(dòng)信息技術(shù)應(yīng)用創(chuàng)新領(lǐng)域發(fā)展具有重要意義。以人工智能領(lǐng)域?yàn)槔?,中?guó)已是全球人工智能合作網(wǎng)絡(luò)的中心,深刻影響全球人工智能的發(fā)展。隨著人工智能在網(wǎng)絡(luò)安全領(lǐng)域應(yīng)用逐步走向成熟,流量數(shù)據(jù)將是人工智能技術(shù)最為核心和基礎(chǔ)的組成部分,網(wǎng)絡(luò)安全廠商應(yīng)該思考如何積累有效的高價(jià)值數(shù)據(jù)。傳統(tǒng)安全分析系統(tǒng)從數(shù)據(jù)源獲取方面就存在數(shù)據(jù)信息的細(xì)節(jié)損失不可控的問(wèn)題,高價(jià)值、高質(zhì)量的網(wǎng)絡(luò)數(shù)據(jù)只能來(lái)自于網(wǎng)絡(luò)全流量大數(shù)據(jù)。當(dāng)采集到有價(jià)值的數(shù)據(jù)后,再利用人工智能技術(shù)強(qiáng)大的理解和推理能力快速分析判斷網(wǎng)絡(luò)流量中是否存在異常。如果出現(xiàn)新的病毒攻擊或黑客入侵,人工智能還可以事后利用自身的學(xué)習(xí)能力將相關(guān)特征記錄在安全數(shù)據(jù)庫(kù)中,實(shí)現(xiàn)安全態(tài)勢(shì)感知與安全防范。在“新基建”的七個(gè)領(lǐng)域中,均不同程度地依靠互聯(lián)網(wǎng)實(shí)現(xiàn)產(chǎn)業(yè)智能化轉(zhuǎn)型與升級(jí),而網(wǎng)絡(luò)流量分析將是保障“新基建”數(shù)字化轉(zhuǎn)型穩(wěn)步安全推進(jìn)的有力手段。目前,全球超90萬(wàn)用戶正在使用網(wǎng)絡(luò)流量分析技術(shù),遍布全球110多個(gè)國(guó)家和地區(qū),專業(yè)網(wǎng)絡(luò)分析產(chǎn)品和解決方案,已在政府、金融、能源、運(yùn)營(yíng)商、軍工等眾多關(guān)鍵領(lǐng)域落地。未來(lái),這項(xiàng)技術(shù)將與更多“新基建”應(yīng)用場(chǎng)景融合落地,幫助更多用戶發(fā)現(xiàn)、分析原有網(wǎng)絡(luò)體系的脆弱點(diǎn)及安全漏洞,實(shí)現(xiàn)網(wǎng)絡(luò)平穩(wěn)、高效、安全的運(yùn)行。