为什么以安全为中心的流量分析非常重要?
网络攻击的不断增加,要求NTA(网络流量分析)除了传统的监控(即延迟监控、服务可用性…..)外,还要注重安全方面。
特别是新的挑战,包括:
- 加密流量分析
- 检测易受攻击的协议和密码
- 完全可视性包括可能造成严重问题的IoT设备(如标记阅读器)
- 实时识别威胁和可疑事件
网络安全分类
网络安全监控:需求
- 分布式监控平台
- 网络边缘流量监控+集中分析
- 深度网络流量剖析,同时检测加密流量(越来越流行)。
- 解读流量监控数据,从原始信号中创建警报,并触发可操作的见解(例如,缓解已确定的问题)
- 以开放的格式向多个消费者/用户导出监控信息
典型部署:流量处理
nDPI是一个开源的DPI工具包,在它的基础上,nProbe可以计算流统计。包括:
- 解码检测的应用协议的初始流数据包(如谷歌地图)
- 分析加密的流量,以检测隐藏但无法检测的有效载荷内容的问题。
- 从选定的协议(如DNS,HTTP,TLS…)中提取元数据,并与已知的算法进行匹配,以检测特定的威胁(如DGA主机,域生成算法)。
nDPI识别流量风险:
- XSS (Cross Site Scripting)
- SQL注入
- 任意代码注入/执行
- 二进制/.exe 应用传输(例如:在HTTP中)非标准端口上的已知协议
- TLS自签名证书
- TLS 过时版本
- TLS 弱密码
- TLS 证书过期
- TLS 证书不匹配
- HTTP可疑用户代理
- HTTP连接的数字IP主机
- HTTP可疑URL
- HTTP可疑协议报头
- TLS连接未携带HTTPS (例如:TLS上的VPN)
- 可疑的DGA域名连接
- 畸形数据包
- SSH/SMB过时的协议/应用版本
- TLS可疑的ESNI使用
- 使用不安全的协议
ntopng流量合并
- nProbe是一个面向流的探针,用于监控边缘的流量,ntopng是一个数据采集器,用于关联来自分布式探针的信号和:
- 在主机,AS,网络接口层面进行内部流(Intra-flow)关联,以发现更高层次的威胁。
- 可对检测到的问题作出反应的可操作性见解。
- 基于网络的报告并导出到外部系统。
应用案例
ETA加密流量分析
通过用户脚本进行威胁检测
在噪音流量中搜索老鼠流
低带宽的周期性连接可能会掩盖滥用(例如:周期性任务),僵尸网络命令和控制通信,未经授权的监控。
工业IoT/Scada监控
- nDPI支持一些流行IoT/Scada协议,包括modbus、DNP3和IEC 60870。
- IEC 60870是非常重要的,因为它可以用来检测问题如下:
- 未知遥测地址
- 连接丢失和恢复
- 丢失来自远程系统的数据
- ntopng具有IEC60870的永久性监控功能,除了传统的流量监控外,还可以检测工业异常。
可操作性见解:通过SNMP进行攻击缓解
- Score是用来检测主机、AS、网络等实体问题的指标。
- SNMP可用于轮询,但也可用于修改设备配置。