流量分析是网络安全领域的一个子领域,其主要重点是调查网络数据,以发现问题和异常情况。本文将涵盖网络安全和流量分析的基础知识。
网络安全与网络中的数据
网络安全的两个最关键概念就是:认证(Authentication)和授权(Authorization)。目前已经有多种工具、技术和方法可以确保及衡量这两个关键概念的实施情况,并进一步提供连续性和可靠性。网络安全运营包含了三个基本控制层级,以确保最大限度地提供安全管理。
基本的网络安全控制层级
| 层级 | 描述 |
|---|---|
| 物理层级 | 防止未经授权的物理接触或破坏网络设备及基础设施 |
| 技术层级 | 保护网络数据的机密性、完整性、可用性,阻止未经授权的逻辑访问 |
| 管理层级 | 通过政策和流程规范安全管理,确保安全措施的一致性和持续性 |
在这些控制层级下有两种主要方法和多个要素。下面将列出网络安全运营中常用的几个要素。
两种主要方法
| 访问控制 | 威胁控制 |
|---|---|
| 网络安全的起点。它是一套确保身份验证和授权的控制措施 | 检测和预防网络上的异常/恶意活动,它包含内外部流量数据探测器 |
访问控制中的关键要素
| 名称 | 描述 |
|---|---|
| 防火墙保护 | 基于预设的安全规则,控制网络流量进出,拦截可疑或恶意流量 |
| 网络访问控制(Network Access Control, NAC) | 在设备接入网络前验证其合规性,确保设备符合安全策略 |
| 身份和访问管理(Identity and Access Management, IAM) | 集中管理用户身份及其对资源的访问权限 |
| 负载均衡 | 优化资源分配,提升数据处理效率与可用性 |
| 网络分段 | 通过逻辑隔离,限制用户或设备的横向移动 |
| 虚拟专用网络(Virtual Private Networks,VPN) | 建立加密通道,保障远程通信安全 |
| 零信任模型 | 默认不信任任何用户或设备,持续验证访问请求 |
威胁控制中的关键要素
| 名称 | 描述 |
|---|---|
| 入侵检测和预防系统(Intrusion Detection/Prevention System,IDS/IPS) | 监控网络流量,识别并响应异常或攻击行为 |
| 数据防泄漏(Data Loss Prevention,DLP) | 防止敏感数据被非法外泄 |
| 终端保护 | 保护接入网络的各类设备安全 |
| 云安全 | 保障云上资源(如SaaS应用、虚拟机)的安全性 |
| 安全信息和事件管理(Security Information and Event Management,SIEM) | 集中分析日志数据,实现威胁检测与合规管理 |
| 安全编排自动化与响应(Security Orchestration Automation and Response,SOAR) | 在单一平台内协调不同人员、工具和数据之间的任务,以实现自动化安全运营流程,提升事件响应效率 |
| 网络流量分析与网络检测响应(Network Detection and Response,NDR) | 通过深度流量分析发现隐蔽威胁 |
典型的网络安全运营操作
| 部署 | 配置 | 管理 | 监控 | 维护 |
|---|---|---|---|---|
| - 设备与软件安装 - 初始配置(设置设备的IP地址、默认路由等) - 自动化部署:使用脚本或工具批量配置设备 |
- 功能配置(如防火墙规则、VPN参数) - 初始网络访问配置(如子网划分) |
- 安全策略实施(如制定密码复杂度规则) - NAT 与 VPN 实现 - 威胁缓解:隔离受感染设备,阻断恶意IP的流量 |
- 系统监控 - 用户活动监控 - 威胁监控 - 日志与流量捕获 |
- 升级与安全更新 - 规则调整 - 许可证管理 - 配置更新 |
托管安全服务
可能由于预算、员工技能和组织规模等原因,并非每个组织都有足够资源为特定的安全域创建专门的组,因此托管安全服务(Managed Security Services,MSS)产生了。MSS 是外包给服务提供商的服务,这些服务提供商被称为托管安全服务提供商(Managed Security Service Providers,MSSP)。如今大多数MSS都具有时间和成本效益,可在内部或外包进行,易于参与且能简化管理流程。
MSS中也有诸多要素,其中最常见的要素列于下表。
MSS常见要素
| 名称 | 描述 |
|---|---|
| 网络渗透测试 | 通过模拟外部或内部攻击者的手段,来评估网络的防御能力 |
| 漏洞评估 | 系统化识别、分类和量化网络环境中的安全漏洞 |
| 事件响应 | 通过标准化流程快速处置安全事件,最小化损失 |
| 行为分析 | 通过监控用户与系统行为,识别偏离正常模式的异常活动 |
**Q1:**哪个安全控制层级包含创建安全策略?
**答:**管理层级
**Q2:**哪个访问控制元素与数据指标一起管理数据流?
**答:**负载均衡
**Q3:**哪种技术有助于关联不同的工具输出和数据源?
答:SOAR
网络流量
流量分析是一种拦截、记录、监控和分析网络数据和通信模式的方法,用于检测和应对系统健康问题、网络异常和威胁。网络是一个丰富的数据源,因此流量分析对安全和操作问题非常有用。运营问题包括系统可用性检查和性能测量,安全问题包括网络异常和可疑活动检测。
流量分析是网络安全中使用的基本方法之一,是网络安全运营中的一部分。在流量分析中有两个主要技术:
流量分析中的两个主要技术
| 流量分析 | 数据包分析 |
|---|---|
| 从网络设备中收集数据。这类分析旨在通过数据汇总提供统计结果,而不进行深入的数据包级调查。 - 优势:易于收集和分析 - 劣势:不提供完整的数据包细节,无法了解事件发生的根本原因 |
收集所有可用的网络数据。应用深入的数据包级调查——通常也称为深度数据包检测(Deep Packet Inspection,DPI)——来检测和阻止异常数据包和恶意数据包。 - 优势:提供完整的数据包详细信息,以了解事件的根本原因 - 劣势:对时间和技能有要求 |
流量分析的优势有:
- 提供全面的网络可视性
- 有助于为资产跟踪提供全面的基准
- 有助于检测、应对异常和威胁
虽然安全工具/服务的广泛使用以及向云计算的日益转变,迫使攻击者改变战术和技术,以避免被发现,但是网络数据是一种纯粹而丰富的数据源。即使是经过编码/加密的数据,也能通过意想不到的模式/情况提供价值。因此,对于任何想要检测和应对高级威胁的安全分析人员来说,流量分析仍然是一项必备技能。
流量分析初尝试
如图所示,有若干PC机,它们中间有终端会发送一些恶意请求包,我们需要按照日志来揪出它们。日志内容如下:
**Q4:**识别和过滤恶意 IP 地址,会得到Flag,要过滤哪两个IP地址?
此处只需关注IP地址,我们主要看 IDS/IPS System。我们发现10.10.99.99这个IP有多次登录尝试和Metasploit的流量,这个必有问题,先过滤它。然后虽然10.10.99.74也有可疑的ARP行为,但是相比起来,10.10.99.62是100%的 Bad Traffic,因此更应该先过滤后者。
所以这一题我们需要过滤的只有10.10.99.99和10.10.99.62这两个IP地址。
**Q5:**识别和过滤恶意 IP 地址和端口地址,会得到Flag,要过滤哪三个目标端口?
此处只需要关注 Traffic Analyzer的结果。结合上一题的分析,我们重点关注IP与10.10.99.99、10.10.99.74和10.10.99.62有关的日志内容。整理出来发现有这四个:
其中的21端口是FTP所用,因此为了可能的服务可用性,这个端口不应被过滤。因此我们要过滤的三个端口号就是4444、7777和2222。