为什么需要全流量回溯
随着网络信息化的高速发展与全面建设,网络中承担了越来越多核心业务和网络应用,这些信息网络技术为我们的工作生活带来了相当便利的科技手段,同时也对各行业网络信息和数据的依赖程度也越来越高,因此带来了不可忽视的网络安全问题。
对于传统的安全监测方法而言,大多方法是基于已知规则库进行监测,可检测出已知的安全威胁,但对未知威胁却没有事前的预知,并且对正在发生或已造成损失的入侵行为无法做到完整的溯源取证和损失评估。
等保2.0中的发文要求,在《基本要求》中明确规定,应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析。在对应《测评要求》中,要求部署抗APT攻击系统、网络回溯系统和威胁情报检测系统或相关组件,并验证是否对网络行为进行分析,实现对网络攻击特别是未知的新型网络攻击的检测和分析。
综合而言,对于稍纵即逝且不可预测性的网络攻击行为,需要针对网络中通信数据包的完整保存,做到数据包级的溯源取证分析,帮助网络运维人员充分了解和掌握各类情况,避免类似的网络故障再一次发生。
网络回溯则可保留全部网络流量,全流量回溯能够对历史的流量进行分析。在对安全事件分析时,可以针对攻击者进行历史数据追溯,通过上下文分析,追查攻击行为轨迹;对于刚刚报出的漏洞,可通过历史流量数据回溯,分析是否该漏洞已被利用。
聚铭网络自主研发的聚铭网络流量智能分析审计系统(简称:iNFA),是一款以全流量还原为基础的智能化审计专家,系统具备强劲的流量全留存回溯功能,能够实现从发现安全事件到包级分析只需1秒。
秒级安全事件发现到包级分析
聚铭iNFA系统流量全留存回溯功能支持自定义留存协议,支持秒级时间段选择、自定义条件过滤等功能。灵活多样的配置,可以让数据更大程度的满足事件的定位,流量的保存等不同的要求。
系统以“安全事件–会话回溯–数据包回溯”的方式,可在安全运维场景下,一步步引导用户便于快速查找某攻击事件的报文,秒级时间段选择、自定义条件过滤等。系统还增加了数据包检索的精细化,以便于快速定位到关键数据,比如仅需要对某IP或者某端口的流量进行回溯分析。
(安全事件)
(会话回溯)
(数据包回溯)
此外,数据包支持在线分析,无需下载便可在线对原数据包进行分析,体验如同本地分析,大大提升了安全问题回溯分析的效率,减轻网络运维人员运维压力。
系统部署方式
聚铭网络流量智能分析审计系统采用旁路SPAN部署方式和TAP部署方式,两种部署方式均不会改变用户现有网络架构和网络配置,且不会对用户现有的生产业务或应用产生任何影响;设备部署的示意图如下:
作为聚铭网络重点网络安全产品,聚铭网络流量智能分析审计系统具有独特而强大的网络流量审计和分析功能。系统可以通过多维度的纵深检测打造完备的检测体系,包括网络攻击检测、失陷分析、恶意文件检测、未知威胁分析、威胁情报分析以及网络质量检测等。
并且,系统能将安全态势进行可视化呈现,展现全网流量安全情况,助力决策者进一步把握行动先机。欢迎有兴趣的客户及厂商机构前来了解咨询~
—- END —-
来源:freebuf.com 2021-04-28 15:09:51 by: 南京聚铭网络
请登录后发表评论
注册