近日,由国内领先的安全媒体平台FreeBuf举办的“FIT 2019互联网安全创新大会”在上海召开。来自全球的安全从业者、优秀技术专家、白帽安全专家、研究机构等齐聚一堂,共襄盛会。科来产品运营总监李飞先生受邀参会,并带来《解构协议解码》主题演讲。科来对网络流量分析技术的研究已经长达15年时间,在这一技术领域拥有更为前瞻的视角和更为深厚的技术积淀。科来认为网络流量分析技术的核心之一是协议解码,通过在这一核心技术的不断深入探究与创新,更好的让网络流量分析技术为网络性能管理与网络安全保驾护航。
IT技术风起云涌,技术的变革正在不断加速,随着云计算、边缘计算、大数据、物联网、人工智能等信息技术的引入和演进,联网设备数量激增。根据Gartner报告指出,到2020年,将有多达200亿台连接设备为每位用户生成高达数十亿字节的数据。这样规模的设备和海量数据,对运维模型和安全模型均提出了巨大的挑战,因此亟需引入新的思路和技术来解决此类问题。
作为网络流量分析(NTA)技术的全球领导者,科来提出并开发了快速协议解码引擎(FPDE)及快速协议解码语言(FPDL),以实现对新协议的快速支持解码,应对更加高速及复杂的网络环境。
所谓“快速协议解码引擎(FPDE)”,是将每种协议视为一种形式语言,并抽象语言逻辑,使之能够描述绝大部分协议。而“快速协议解码语言(FPDL)”则是专门为网络协议解码设计的解释语言。目前,基于科来快速协议解码引擎技术,可以支持高达40Gb的线速流量采集、PB级别的全流量数据存储,同时做到秒级的数据检索。
协议解码是对具体行为的分析,它的最大价值是将非结构化数据转成结构化数据,为大数据分析提供数据准备,可以在以下环境中实现诸多应用:
安全态势感知:
网络流量数据是安全态势感知体系中必不可少的数据。一方面可以通过协议解码对流量行为进行分析并建立行为模型,实现对网络威胁的感知;另一方面,检测类告警日志数据存在误报和漏报的可能,如果叠加网络流量数据就可以还原现场,有效区分出真正威胁。
网络空间探测:
网络空间探测是对各类网络空间资源及其属性进行探测、融合分析和绘制。通过网络流量分析技术获取各设备、端口、服务等节点的特征数据,使用特定算法对获取的数据进行分析,可以为单个节点打上属性标签,汇聚这些标签并建立大数据库,就能为管理者提供多维度的信息检索。
网络与交易性能分析:
利用网络流量分析技术可以从网络视角监控业务系统的运行状态和性能。相比其他监控手段,网络流量分析技术具备更强大的异常感知能力。例如:流量解码到TCP层,可以监控主机的性能;解码到应用层,可以对业务交易性能进行分析统计。在异常发生初期,帮助运维人员及时定位隐患点并采取应对措施。
用户实体行为分析:
网络元数据能够反映实体和人的行为,通过采集一段时间的流量数据,利用机器学习建立历史基线,超过基线行为可判定为异常行为。依据不同异常行为制定不同的分值,可及时发现来自内部的威胁和绕过防御体系的高级网络攻击,为管理者指引监测方向。
科来对网络流量分析技术的研究已经长达15年时间,在这一技术领域拥有更为前瞻的视角和更为深厚的技术积淀。科来认为网络流量分析技术的核心之一是协议解码,通过在这一核心技术的不断深入探究与创新,更好的让网络流量分析技术为网络性能管理与网络安全保驾护航。