freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

试读版 | 《2020中国网络流量监测与分析产品研究报告》
2020-07-06 16:02:11

随着黑客攻击入侵技术的不断发展,在一些网络场景下入侵检测系统无法对网络威胁进行有效的发现。基于这种情况,NTA (Network Traffic Analysis)网络流量分析于2013年首次被提出,并且在2016年逐渐兴起。

此后,越来越多厂商进入流量监测与分析市场,NTA也在原本的网络流量分析的基础上,突破了技术局限性,开始强调针对高级威胁的检测和响应能力,由此,“NTA”(网络流量分析)这个描述已经不能够完全涵盖发展中的新的特征,NDR(网络检测与响应)逐渐成为NTA新的代名词。

NTA/NDR发展火热的背景下,FreeBuf咨询通过现场走访、资料整合及问卷调查的形式,调查了数百家企业,结合定量分析与定性分析,最终完成《2020中国网络流量监测与分析产品研究报告》

此外,因为本次报告在调研、数据分析、产品研究等阶段受到广大甲方、乙方厂商以及相关研究机构的关注和支持,秉持着进一步深化报告内容,提升整体质量的想法,FreeBuf 咨询携手中国信息通信研究院(以下简称信通院)安全研究所,于6月22-7月31日联合举办「2020 NTA/NDR类网络安全产品能力评测」,并以测评结果进一步丰富报告整体内容。

1594192394.png!small

注:本报告的测试结果由信通院独立提供。通过制定测试标准、搭建测试环境,信通院对国内主流的NTA/NDR产品进行了全面的测试,以产品基础能力和拓展能力为参考,充分调研产品流量采集、安全分析等方面的能力,并将逐步推进形成国内NTA/NDR国家或行业标准。

报告目录

报告试读节选

为了便于大家对《2020中国网络流量监测与分析产品研究报告》有更清晰的认知,特提供以下节选内容作为试读:

NTA/NDR应用场景:日常异常流量监测

1.高频攻击

现如今,绝大部分恶意流量都来自自动化程序,能够在短时间发起大量的请求或者攻击。例如常见的DDoS攻击或者黑灰产中高频业务访问,其中必然会产生不正常的网络流量。在应对此类攻击,可以利用机器学习训练大量正常访问时产生的行为、流量记录,当出现异常流量就进行判断是否是自动化工具导致的高频访问。

2.恶意软件入侵

恶意软件入侵是企业遭受的最常见的威胁之一,通过建立网络异常监控模型,实时监控如SMB、445、RDP、3389等特殊协议与端口,对网络流量进行识别与解析,建立流量监控模型,对特定端口、特定协议、特定资产的流量监控,并依据波峰、或异于常态的流量峰值时参考以往的监控结果,判断是否可能遭到是未知病毒入侵。

3.内网横移

企业在应对网络攻击时需要重点提防入侵者在内网扩散行为,一旦单个主机被攻破,攻击者往往会利用相同的手段或者利用恶意软件、蠕虫等手段去感染内网中其它主机。不同的内网扩散手段所体现出来的特征是不一样的,以勒索病毒为例,其在传播时首先需要通过TCP/ARP等扫描手段发现目标主机,确定其可利用的漏洞高危端口后进行攻击载荷的投递。在此期间病毒宿主主机需向外界发送不同于正常终端的大量TCP或ARP请求,其行为模式在网络层已具备明显异常特征。

4.数据外泄

随着核心数据所体现出来的价值越来越大,使其成为黑客重点窃取的目标。非正常的数据流通也会伴随着异常流量或者访问记录产生。通过对核心系统与数据访问用户、地域、时间、次数、结果等进行分析,实施检测核心数据异常访问;对数据访问路径、数据流向的监控,也能够尽早发现泄密事件。

5.僵尸网络

在基于网络的僵尸网络检测策略中,通过观察不同参数下的网络流量来捕获恶意流量,这些参数包括网络流量行为、流量模式、响应时间、网络负载和链接特征。

基于网络的方法进一步分为两种类型,主动监视和被动监视。主动监控:在主动监控僵尸网络检测策略中,为了检测恶意活动,会向网络注入新的数据包。被动监视:在被动监视中,当数据通过介质时,网络流量被嗅探。应用不同的异常检测技术对网络流量进行分析。

6.恶意挖矿

挖矿行为的识别可以通过很多方面进行判断,终端层面监控硬件资源的使用率及相关进程分析;流量层面通过识别挖矿行为的流量特征,从流量中识别出挖矿行为。stratum协议是目前主流的矿机和矿池之间的TCP通讯协议,通过对具体通信数据包进行相应特征字符串检测,以此来发现挖矿行为的存在。

7.网络蠕虫

蠕虫病毒是传播速度最快的手段之一,一台主机感染蠕虫病毒,若防护不当,会导致由于大量感染病毒的计算机不断向网络中发送数据包,使网络的效率非常低,大大影响网络的性能。可以留意应用排名,对比正常情况下,感染蠕虫病毒后HTTP占用资源会比正常更高;其次,分析每台计算机的流量情况,按源IP、目的IP、源协议端口、目的协议端口,如果某个地址所在的主机试图同网络中非常多的主机建立HTTP连接,而且查看那些地址且根本不是HTTP服务器,而且发出这些包的时间间隔非常短,为毫秒级,判定非人为发出,基本可以断定其感染了某种采用HTTP协议传播的病毒。

8.高级威胁

高级威胁呈现快速增长趋势,社会工程攻击增长率持续升高,恶意软件和社工在安全事件中的次数呈现指数级增长,以静态特征的安全手段面对高级威胁时,难以有效保护网络安全,主要表现在检测响应机制能力不够。

然而,NTA可以覆盖APT攻击链的检测,检测信息系统存在的弱点,遭受了哪些攻击,是否被远程恶意控制,是被利用进行黑产牟利,还是继续扫描内网,横向扩散,影响其他的系统,同时还检测重要敏感数据被窃取等。同时,基于基于不同的阶段检测出不同的安全事件和攻击,并通过关联分析准确定位威胁源头,给出详细的安全威胁分析、风险危害、处置建议,结合知识库了解攻击原理。

内容不止于此

对于NTA/NDR,企业依然存在很多困惑,而《2020中国网络流量监测与分析产品研究报告》还将带来:

一份前所未有的国内主流的NTA/NDR产品的真实、全面的测试结果

深入展现的甲方企业对于NTA/NDR产品的综合评价

聚焦金融行业,NTA/NDR产品的实际部署情况

探究NTA/NDR在攻防演练中的真实效果

……

这些将为乙方企业优化产品能力提供方向,为甲方企业选择产品提供参考的数据和结论,最终,都将在《2020中国网络流量监测与分析产品研究报告》完整版中一一呈现。

完整版报告,敬请期待!

关于 FreeBuf 咨询

FreeBuf.COM是斗象科技旗下国内网络安全行业门户,每日发布专业的安全资讯、技术剖析,分享国内外安全资源与行业洞见,是深受安全从业者与爱好者关注的网络安全网站与社区。

FreeBuf 咨询集结安全行业经验丰富的安全专家和分析师,常年对信息安全技术、行业动态保持追踪,洞悉安全行业现状和趋势,呈现最专业的研究与咨询服务。

*FreeBuf 咨询荣誉出品,未经许可严禁转载使用,欲合作请联系 FreeBuf 市场宋经理 :

电话:021-60495134/15311422102(同微信)

邮箱:dandan.song@tophant.com

# NTA # NDR # 试读 # 流量监测与分析
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者