热线电话:13121318867

登录
首页精彩阅读基于数据包分析的大数据技术解决网络安全问题
基于数据包分析的大数据技术解决网络安全问题
2016-01-29
收藏

基于数据包分析的大数据技术解决网络安全问题

1.网络攻击简介

网络攻击是利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击。网络信息系统所面临而对威胁来自很多方面,而且会随着时间的变化而变化。从宏观上看,这些威胁可分为人为威胁和自然威胁。数据分析师培训

自然威胁来自于各种自然灾害、恶劣的场地环境、电磁干扰、网络设备的自然老化等。这些威胁是无目的性的,但会对网络通信系统造成损害,威胁通信安全。

而人为威胁是对网络信息系统的人为攻击,通常是通过寻找系统的弱点,以非授权方式达到破坏、欺骗和窃取数据信息等目的。两者相比,精心设计的人为攻击通常威胁大、难防备、种类多、数量大。

2.数据包分析介绍

数据包分析,经常也被称为数据包嗅探或协议分析,指的是通过捕获网络上传输的数据包并对数据包进行解码。由于网络中的通讯都源于数据包,尽管有些流量通过协议来看是正常的可信协议,但很可能在背地里进行不为人知的恶意行为,为了能够更加清楚透彻的了解网络,就需要进入数据包层面进行分析,在这个层面没有任何的异常情况能够逃脱我们的视线,能够详细的了解网络中发生任何的事情(加密除外)。

3.通过数据包分析发现、追溯网络攻击

I.大数据采集

基于数据包的大数据技术的第一前提条件是能够获取有效的数据包,通常情况下网络分析"数据分析师"人员会使用抓包软件采集数据包,但由于抓包软件通常只能捕获短时间的数据包,但目前很多网络攻击不一定是在短时间内进行,其攻击过程可能持续几天、一周、一年,甚至更长的时间。这就需要能够对数据包进行不间断的采集,在采集的过程中对数据包进行分类展现及实时进行各项处理;

II.数据包解码

数据包是网络传输中最小的人工可读数据,通过数据包的解码分析能够掌握网络中最细微的变化,"数据分析师"通过网络中的变化找到异常问题,发现可能的网络攻击,并对攻击过程进行深度还原,掌握各种网络攻击模型,对网络攻击做到知己知彼,做出有针对性并且最有效的防御;

III.快速发现网络攻击

通过解码数据包可针对数据包内的多中参数进行“与”、“或”关系组合配置警报,并可结合数据包特征值定义的方式,针对网络攻击的特征值或行为进行有效的告警信息配置,快速的发现网络中的攻击,并且能够提取相关原始数据包进行详细分析;

IV.数据包追溯分析

"数据分析师"要想使用大数据技术对网络攻击进行长期的追溯分析,只有长期的数据包采集是不够的,还要对数据包和统计信息进行长期存储;并且在存储的基础上对数据包快速检索及可视化展现,这样能够帮助网络管理人员掌握网络的长期运行态势,快速定位网络异常、攻击发生时间,对问题时段进行追溯分析,发现网络攻击的行为并进行深入分析。

4.数据包分析快速发现、长期追溯网络攻击案例

如上图,网络在6月11-12日突然出现大流量传输;

并且网络中TCP同步包与TCP同步确认包差值巨大;

我们通过预先定义告警,通过多参数“与”“或”组合及特征值定义,配置灵活的告警信息,一旦网络中出现异常数据包达到出发要求时,会快速上报,及时发现网络中可能存在的攻击;

如上图,对异常数据包进行tcp会话重组,可以看到每一个会话的异常行为(TCP同步位并且含有载荷数据);

可对数据包进行深度解码,查看数据包级的内容,载荷内容全部填充为0,填充大量无效数据,形成DOS攻击。

本案例通过告警信息快速发现网络中可能存在异常攻击,并且能够长时间追溯网络攻击,并且快速判断网络攻击手法及攻击根源,及时定位各类网络安全问题。

小结

通过上述内容及案例,可以看出基于数据包分析的大数据技术可帮助网络管理"数据分析师"人员快速的发现、定位各类网络攻击,并且能够在存储期内对任意网络攻击及问题进行回溯分析,做到精细化分析,提供数据包级的支撑,帮助网络管理人员更加安全的管理网络。


数据分析咨询请扫描二维码

最新资讯
更多
客服在线
立即咨询