基于数据包分析的大数据技术解决网络安全问题

1.网络攻击简介

网络攻击是利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击。网络信息系统所面临而对威胁来自很多方面，而且会随着时间的变化而变化。从宏观上看，这些威胁可分为人为威胁和自然威胁。数据分析师培训

自然威胁来自于各种自然灾害、恶劣的场地环境、电磁干扰、网络设备的自然老化等。这些威胁是无目的性的，但会对网络通信系统造成损害，威胁通信安全。

而人为威胁是对网络信息系统的人为攻击，通常是通过寻找系统的弱点，以非授权方式达到破坏、欺骗和窃取数据信息等目的。两者相比，精心设计的人为攻击通常威胁大、难防备、种类多、数量大。

2.数据包分析介绍

数据包分析，经常也被称为数据包嗅探或协议分析，指的是通过捕获网络上传输的数据包并对数据包进行解码。由于网络中的通讯都源于数据包，尽管有些流量通过协议来看是正常的可信协议，但很可能在背地里进行不为人知的恶意行为，为了能够更加清楚透彻的了解网络，就需要进入数据包层面进行分析，在这个层面没有任何的异常情况能够逃脱我们的视线，能够详细的了解网络中发生任何的事情（加密除外）。

3.通过数据包分析发现、追溯网络攻击

I.大数据采集

基于数据包的大数据技术的第一前提条件是能够获取有效的数据包，通常情况下网络分析"数据分析师"人员会使用抓包软件采集数据包，但由于抓包软件通常只能捕获短时间的数据包，但目前很多网络攻击不一定是在短时间内进行，其攻击过程可能持续几天、一周、一年，甚至更长的时间。这就需要能够对数据包进行不间断的采集，在采集的过程中对数据包进行分类展现及实时进行各项处理；

II.数据包解码

数据包是网络传输中最小的人工可读数据，通过数据包的解码分析能够掌握网络中最细微的变化，"数据分析师"通过网络中的变化找到异常问题，发现可能的网络攻击，并对攻击过程进行深度还原，掌握各种网络攻击模型，对网络攻击做到知己知彼，做出有针对性并且最有效的防御；

III.快速发现网络攻击

通过解码数据包可针对数据包内的多中参数进行“与”、“或”关系组合配置警报，并可结合数据包特征值定义的方式，针对网络攻击的特征值或行为进行有效的告警信息配置，快速的发现网络中的攻击，并且能够提取相关原始数据包进行详细分析；

IV.数据包追溯分析

"数据分析师"要想使用大数据技术对网络攻击进行长期的追溯分析，只有长期的数据包采集是不够的，还要对数据包和统计信息进行长期存储；并且在存储的基础上对数据包快速检索及可视化展现，这样能够帮助网络管理人员掌握网络的长期运行态势，快速定位网络异常、攻击发生时间，对问题时段进行追溯分析，发现网络攻击的行为并进行深入分析。

4.数据包分析快速发现、长期追溯网络攻击案例

如上图，网络在6月11-12日突然出现大流量传输；

并且网络中TCP同步包与TCP同步确认包差值巨大；

我们通过预先定义告警，通过多参数“与”“或”组合及特征值定义，配置灵活的告警信息，一旦网络中出现异常数据包达到出发要求时，会快速上报，及时发现网络中可能存在的攻击；

如上图，对异常数据包进行tcp会话重组，可以看到每一个会话的异常行为（TCP同步位并且含有载荷数据）；

可对数据包进行深度解码，查看数据包级的内容，载荷内容全部填充为0，填充大量无效数据，形成DOS攻击。

本案例通过告警信息快速发现网络中可能存在异常攻击，并且能够长时间追溯网络攻击，并且快速判断网络攻击手法及攻击根源，及时定位各类网络安全问题。

小结

通过上述内容及案例，可以看出基于数据包分析的大数据技术可帮助网络管理"数据分析师"人员快速的发现、定位各类网络攻击，并且能够在存储期内对任意网络攻击及问题进行回溯分析，做到精细化分析，提供数据包级的支撑，帮助网络管理人员更加安全的管理网络。