所谓全流量是建立在全量数据的保存和处理基础上,再与大数据处理、机器学习、深度学习相结合的技术。要说全流量最主要的特点,一个字就能概括:
全!全!全!
(就是一个字,不接受反驳)
第一个“全”
体现在全流量采集与保存
第二个“全”
体现在全行为分析
第三个“全”
体现在全流量回溯
下面我们来看看“三全”(醒醒吧,不是水饺)的具体实现和价值:
全流量采集与保存
在将网络流量全部保存下来的同时,实时提取其中的网元数据,并在数据库中索引、保存,以实现快速检索与分析。同时,通过标准的 RESTful API接口,供第三方大数据、安全态势感知等平台使用。
全行为分析
全行为分析是威胁检测的核心,再高级的攻击,都会留下网络痕迹,都会!都会!都会!
课间休息,空间站插播歌曲《野浪disco》
药药♪ ~后边攻击留痕会会会,前边流量分析全全全,前边流量分析全全全,后边攻击留痕会会会,在你胸口比划一个CSNA,记得关注么么哒♫,不断学习更多网络分析技术,走向人生的巅峰!顺便指下闪耀的灯球儿~药药切克闹♪
歌曲插播完毕,各位冷静继续
网络攻击者的行为和正常的网络访问行为所产生的数据是不一样。面对未知威胁,可通过对网络流量原始数据的透视与分析,从大流量数据中快速发现并定位网络异常行为。
全流量回溯
很多高级威胁产生的活动痕迹在大规模网络流量中只会占到非常小的比例,有多小呢?
举个“栗子”:
图中红框部分是xx.xx.7.101这个IP主机向其他主机发送的数据包,里面带有病毒,2个包一共20字节,一个包只有10字节。
But!正是如此小的通讯流量对于攻击检测分析尤为关键和重要!
需要通过事后的多线索关联和回溯分析才能有效定性和取证,要求必须对原始全流量数据包进行一段时间的完整保存。
保全证据,并能快速回溯所有流量,有了原始流量的存储,就能够将当前检测到的攻击行为与历史流量进行关联,实现完整的攻击溯源和取证分析,并在责任界定时提供真实可靠的证据依据。
全流量的价值
通过对全流量的存储和分析,便具备了对新型未知威胁的感知能力,让网络监测无死角,帮助用户建立自适应网络安全架构。如果说数据包是“真相唯一来源”,那么全流量则包含了一切真相!
全流量,让管理者将一切网络行为看得清、看得准、看得透,还管理者一个清明世界。
所谓全流量是建立在全量数据的保存和处理基础上,再与大数据处理、机器学习、深度学习相结合的技术。要说全流量最主要的特点,一个字就能概括: