中国国际大数据产业博览会于今日在贵阳市国际生态会议中心拉开帷幕。由中国信息安全测评中心承办的《第三届大数据安全高峰论坛》分论坛同期举行,来自政府、金融、能源、运营商等各行业国家重要部门的300余位重要高层领导出席。科来应邀参会,并发表演讲《全流量分析技术感知未知网络威胁》,与会领导共同分享在大数据领域的实践。

WannaCry的爆发因其后果恶劣明显,引起了众多企业政府部门的关注,加大在网络安全方面的投入资金。然而以窃密和控制为目的APT攻击及其他新型攻击手段,由于其隐蔽性,威胁难被觉察,始终未能得到相关企业和部门足够的重视。网络全流量分析技术可以帮助用户发现未知网络流量异常、感知潜在威胁,从技术发展的趋势来看,全流量分析技术是网络安全的有力保障手段。

全流量分析技术特征主要体现在三个“全”上,即全流量鉴别,全行为分析以及全流量回溯。

1、全流量鉴别——全流量鉴别是威胁检测的基础

只有把全部流量“看清,看透”,才能发现异常流量,发现未知攻击。“看清”指的是了解全部流量的构成,包含哪些协议,哪些应用产生的流量;“看透”指的是对各类协议的解码分析,通过解码了解流量中传输的协议是否合规,比如正常HTTPS通信是包含证书交互过程,如果没有,极有可能是窃密通信。在流量鉴别领域,科来通过14年的积累,实现了对1500+网络通讯协议的鉴别和解码,该能力保持国际领先。

2、全行为分析——全行为分析是威胁检测的核心

对网络行为的描述主要借助网络元数据实现。网络元数据是描述网络连接行为的数据,包括L4会话元数据,即TCP/UDP会话的统计,包括源目IP、源目端口、发送数据量、接收数据量、开始时间、结束时间、持续时间、平均包长等,以及L7协议元数据,包括HTTP、DNS、邮件、Telnet等网络协议的关键字段,如HTTP协议的user-agent、cookie、host、refer字段等。科来目前积累了多种不同网络,不同场景下的流量模型,帮助用户快速发现未知威胁。

3、全流量回溯——验证未知威胁、还原事发现场的重要手段

很多高级威胁产生的活动痕迹在大规模网络流量中只会占到非常小的比例,但正是这少量的通讯流量对于攻击检测分析尤为关键和重要,需要通过事后的多线索关联和回溯分析后才能有效定性和取证,要求必须对原始全流量数据包进行一段时间的完整保存,保全证据,并能快速回溯所有流量,有了原始流量的存储,就能够将当前检测到的攻击行为与历史流量进行关联,实现完整的攻击溯源和取证分析。在流量回溯能力方面,科来目前能够实现TB级流量的实时保存,以及海量存储的秒级流量回溯能力。

全流量分析是建立海量历史数据的保存和处理基础上的威胁检测技术,结合大数据技术,科来安全大数据分析解决方案实现通过全流量分析设备,实现全流量鉴别、保存和回溯流量,并提取网络元数据上传到大数据分析平台实现全行为分析。快速发现并定位网络异常行为,大大提升了用户对网络威胁的感知能力。同时能够还原完整的攻击行为过程,快速定位攻击者,确定攻击手段及评估攻击损失。

肩负使命,自强不息。科来全流量分析解决方案已经在发改委,农业部,中国农业银行等单位成功运用。未来将帮助更多国家关键信息基础设施实现安全检测“无死角”,保卫国家网络空间安全。