随着社交网络、视频流、点对点技术、云计算和 SaaS 的出现,可以肯定地说,现代企业的好坏取决于他们的网络,尤其是在它们提供的带宽和安全性方面。无论是银行保护其数据免遭盗窃,还是商业组织保护其网络免受安全威胁和攻击,被未知的零日入侵者破坏、破坏和损坏的潜在威胁始终是相关的。此外,入侵技术的不断发展使得确保网络安全的任务变得越来越困难,尽管变得更加关键。
安全系统主要分为三种类型:
- 防火墙系统
- 入侵检测/防御(IDS/IPS)系统
- 网络行为分析(NBA)系统,也称为网络行为异常检测(NBAD)系统
虽然这三者都有自己独特的优势和劣势,但它们相辅相成,形成了一个整体的网络安全策略。然而,前两个被广泛流行并被视为必不可少的组成部分,第三个则不然。这使得网络容易受到多次零日攻击、未知蠕虫、内部威胁等的攻击,并使它们在整体流量可见性、访问策略决策、安全态势评估和合理确定的网络安全确认方面落后。
随着 DDoS 攻击、未知恶意软件和其他安全威胁的增加,构建防火墙和使用简单的安全解决方案不足以保护网络免受网络异常或攻击,从而改变了网络安全格局。网络管理员必须主动分析其网络,获得对网络的完全控制,并全面了解网络流量活动。
网络安全攻击可以是被动的,攻击者访问、监视或窃取敏感数据,也可以是主动的,攻击者不仅可以访问这些数据,还可以加密、更改或永久删除这些数据。这些威胁可以是端点攻击、恶意软件、漏洞利用或高级持续性威胁。可能使网络处于危险之中的最常见安全威胁包括:
- DoS 攻击:在拒绝服务(DoS)攻击中,攻击者通过短暂或无限期地破坏连接的主机的服务,使目标用户无法访问计算机或网络资源。这种网络攻击是通过向预期的目标机器或资源发送大量请求以使系统过载来执行的。
- DDoS 攻击:分布式拒绝服务(DDoS)攻击是一种更严重的 DoS 攻击形式,其中淹没受害者的流量来自多个不同的来源,因此实际上不可能通过简单地阻止单个来源来阻止攻击。
- 端口扫描:端口扫描是攻击者用来监视和识别目标计算机上运行的易受攻击的服务和端口的方法,以便他们可以计划对它们进行攻击。这是最常见的网络探测类型。
- 僵尸网络:僵尸网络是由一个或多个机器人感染并运行的设备网络,一旦遭到入侵,设备或僵尸网络可用于窃取数据、发送垃圾邮件、允许攻击者访问设备及其连接或执行 DDoS 攻击。
网络行为分析和异常检测
网络行为分析(NBA)系统,也称为网络行为异常检测(NBAD)系统,提供了一种更高级的网络安全方法,它通过提供对网络行为模式的深入可见性来补充安全分析系统,网络异常检测工具或系统密切监视网络,以分析对话、诊断网络异常,并识别可能绕过防火墙的任何攻击或威胁。
安全模块检测网络异常
NetFlow Analyzer 通过其高级安全分析模块(ASAM)和取证报告为检测网络异常的挑战提供了答案,它使用内置算法分析网络行为并建立性能基线,以帮助网络管理员快速有效地检测安全漏洞。
安全模块是一种基于网络流的安全分析和异常检测工具,有助于检测零日网络入侵,使用最先进的连续流挖掘引擎™技术,并对入侵进行分类以实时应对网络安全威胁。安全模块提供可操作的情报,以检测广泛的外部和内部安全威胁,以及对网络安全的持续全面评估。
安全模块的“安全快照”将分组的威胁/异常列表显示为问题,此外,问题分为三个主要问题类别(不良 Src-Dst、DDoS、可疑流)。这里给出了用于对问题进行分类的类集,并给出了简要描述(问题分类法)。饼图和折线图帮助用户一目了然地掌握整体网络“安全态势”。在进一步深入分析时,它会显示特定问题的单个事件/异常列表,并附有详细信息整理,以便操作员进行更仔细的调查。
安全模块是网络分析工具NetFlow Analyzer的简单附加模块,利用底层平台的无代理集中式数据收集和取证分析功能,提供更大的价值。
统一带宽监控和零日安全分析
带宽监控和流量分析以及网络安全分析和行为异常检测本质上是相互依存和互补的,NetFlow Analyzer与安全模块相结合,统一了这些互补的解决方案,在单一用户友好的界面中提供全面可靠的决策支持系统。可让管理员深入了解网络流量和带宽利用率,而安全模块则提供持续的网络安全监控和网络异常检测功能。
ASAM主动监控和分析带宽使用趋势和网络流量行为模式,检测网络异常,并确保网络不会受到未知恶意软件、零日入侵、DDoS攻击、端口扫描和其他内部或外部安全威胁的攻击。
取证报告被动监控历史数据和对话,以识别异常行为、反复出现的峰值和带宽占用。它提供了对任何选定时间段的网络详细信息的可见性,例如流量、应用程序、源和目标 IP、DSCP、TCP 标志和热门对话。这有助于网络管理员进行网络异常检测,并确定网络问题和异常的根本原因,以便更快地进行故障排除。
NetFlow Analyzer 是一个全面的、基于流量的、高度可扩展的带宽监控和网络流量分析工具。它兼作安全分析和网络行为异常检测工具,可帮助管理员深入了解网络设备、接口、应用程序、对话、带宽使用情况和网络流量,这种洞察力使诊断和排除网络安全威胁变得更加容易。