网络流量分析简称为NTA，主要用来监控网络流量中的安全攻击。常见的网络流量中的攻击有：①由于早期的网络协议考虑不完善而造成的协议安全隐患，如BGP协议攻击、CDP协议攻击、MAC地址欺骗、ARP缓存投毒、DHCP饥饿攻击、RogueDHCPServer攻击、VLANhopping攻击、802.1x协议攻击等；②由于恶意并发请求而造成的拒绝服务攻击（DDoS），如SYNFlood、UDPFlood、NTP反射攻击、SSDP反射攻击、DNS反射攻击、memcache反射攻击、CC攻击等；③各种探测扫描，如IP扫描、端口扫描、漏洞扫描，以及病毒蠕虫传播、挖矿传播、勒索软件传播、暴力破解等进行的扫描；④APT和C&C通信，如硬编码IP域名、DGA随机域名、DNStunnel、加密流量分析等；⑤可解密的应用协议攻击，如HTTP攻击、SMTP攻击、MySQL攻击、SMB攻击等。除了NTA，还可以结合机器学习和大数据分析发现异常流量，并进行事后流量的调查取证分析等。

数据流量采集可以通过路由器、交换机镜像口或分光器获取，也可以通过一些硬件防护设备（如防火墙、IPS、UTM等）获取，还可以通过自行开发流量探针获取。获取后可以通过常见的流量协议传输收集，如NetFlow、IPFIX、sFlow、jFlow等，最后通过Spark、Flink进行大数据实时分析、离线机器学习和聚合分析，最后输出告警并展示数据。

传统的网络流量安全产品有NIDS和NIPS，1998年诞生的Snort是一款不错的开源网络入侵检测产品，很多早期的网络安全厂商都基于它开发了自己的网络安全产品，但随着时间的推移很多功能已经落后]。另一款较新的知名同类产品是Suricata，Suricata兼容Snort的规则并改进了性能，支持将检测结果导入SIEM系统（如Splunk和ELK）。除了这两款产品，还有一款更聚焦于网络流量分析的开源产品——Bro，Bro于1995年出现，规则区别于Snort和Suricata，主要以脚本形式定义，也支持将日志导入ELK平台。除了这几个重量级产品，还有轻量级的开源网络安全分析产品，如Haka，它可以很方便地使用Lua脚本进行自定义规则，也支持将日志导入ELK平台，但比较遗憾的是已经有几年没再开发了。还有专门做网络流量索引回溯分析的Moloch，Moloch可以每秒处理高达10GB的网络流量，适合做全流量镜像分析系统，不过该大数据流量索引分析的能力也主要建立在Elasticsearch集群上。最后介绍几款NTA开源系统。首先是ApacheSpot，ApacheSpot使用了大数据和无监督机器学习技术（Hadoop、Spark）对网络流量中的扫描、反射攻击、DNS隧道、Web攻击进行检测，并提供了不错的可视化管理界面。Stream4Flow是基于Spark的开源大数据流量分析系统，可以检测DDoS攻击、端口扫描等攻击。NetCap是一个使用机器学习进行流量分析的大学学位论文开源项目。

对于有足够安全及研发实力的公司来说，比较好的解决方案是借助Snort或Suricata的检测能力，然后结合大数据分析和威胁情报建立自己的NTA系统。通过网络流量分析解决DDoS攻击和其他威胁的系统有Google的CloudArmor系统。通过大数据分析得出的恶意IP被导入硬件防火墙或负载均衡设备以进行拦截。比较好的高性能的开源负载均衡产品有Facebook的Katran，以及由爱奇艺公司开源的基于DPDK改进的LVS产品——DPVS。不过对于绝大多数公司来说，购买软硬件一体机化的NTA仍然是一个最优化的选择，如对商业化NTA需要深入了解，请联系蓝盟IT外包获取免费的咨询。

文/上海蓝盟   IT外包专家

• 上一篇: 中小企业喜获“上海市质量金奖” ，蓝盟IT外包以匠心品质树立行业标杆
  下一篇: 蓝盟IT外包聊聊“钓鱼邮件”

• 分享到：