以安全为中心的流量分析

为什么以安全为中心的流量分析非常重要?

网络攻击的不断增加,要求NTA(网络流量分析)除了传统的监控(即延迟监控、服务可用性…..)外,还要注重安全方面。

特别是新的挑战,包括

  • 加密流量分析
  • 检测易受攻击的协议和密码
  • 完全可视性包括可能造成严重问题的IoT设备(如标记阅读器)
  • 实时识别威胁和可疑事件

网络安全分类

网络安全监控:需求

  • 分布式监控平台
    • 网络边缘流量监控+集中分析
  • 深度网络流量剖析,同时检测加密流量(越来越流行)。
  • 解读流量监控数据,从原始信号中创建警报,并触发可操作的见解(例如,缓解已确定的问题)
  • 以开放的格式向多个消费者/用户导出监控信息

典型部署:流量处理

nDPI是一个开源的DPI工具包,在它的基础上,nProbe可以计算流统计。包括:

  • 解码检测的应用协议的初始流数据包(如谷歌地图)
  • 分析加密的流量,以检测隐藏但无法检测的有效载荷内容的问题。
  • 从选定的协议(如DNS,HTTP,TLS…)中提取元数据,并与已知的算法进行匹配,以检测特定的威胁(如DGA主机,域生成算法)。

nDPI识别流量风险:

  • XSS (Cross Site Scripting)
  • SQL注入
  • 任意代码注入/执行
  • 二进制/.exe 应用传输(例如:在HTTP中)非标准端口上的已知协议
  • TLS自签名证书
  • TLS 过时版本
  • TLS 弱密码
  • TLS 证书过期
  • TLS 证书不匹配
  • HTTP可疑用户代理
  • HTTP连接的数字IP主机
  • HTTP可疑URL
  • HTTP可疑协议报头
  • TLS连接未携带HTTPS (例如:TLS上的VPN)
  • 可疑的DGA域名连接
  • 畸形数据包
  • SSH/SMB过时的协议/应用版本
  • TLS可疑的ESNI使用
  • 使用不安全的协议

ntopng流量合并

  • nProbe是一个面向流的探针,用于监控边缘的流量,ntopng是一个数据采集器,用于关联来自分布式探针的信号和:
    • 在主机,AS,网络接口层面进行内部流(Intra-flow)关联,以发现更高层次的威胁。
    • 可对检测到的问题作出反应的可操作性见解。
    • 基于网络的报告并导出到外部系统。

应用案例

ETA加密流量分析

通过用户脚本进行威胁检测

在噪音流量中搜索老鼠流

低带宽的周期性连接可能会掩盖滥用(例如:周期性任务),僵尸网络命令和控制通信,未经授权的监控。

工业IoT/Scada监控

  • nDPI支持一些流行IoT/Scada协议,包括modbus、DNP3和IEC 60870。
  • IEC 60870是非常重要的,因为它可以用来检测问题如下:
    • 未知遥测地址
    • 连接丢失和恢复
    • 丢失来自远程系统的数据
  • ntopng具有IEC60870的永久性监控功能,除了传统的流量监控外,还可以检测工业异常。

可操作性见解:通过SNMP进行攻击缓解

  • Score是用来检测主机、AS、网络等实体问题的指标。
  • SNMP可用于轮询,但也可用于修改设备配置。