让安全威胁无所遁形，全方位掌握攻击“前世今生”的黑科技来了

作者 | 伍杏玲

出品 | CSDN（ID:CSDNnews）

据启明星辰发布的《2019~2020网络安全态势观察报告》显示，在过去一年多时间里，勒索攻击由 2014 年的广泛无目的的传播阶段到2017 年 WannaCry 带来的大规模自动化传播阶段，如今已进化到以人为核心的“APT化”攻击阶段。勒索攻击越来越趋于“APT”化，且逐渐瞄准大型且有实力的价值型目标。一旦在这些大型企业攻击成功，带来的经济损失十分严重。

在近年来网络安全事故频出下，实时防护固然重要，但如何对事故进行评估与取证已成为企业的一大难题。因此，拥有20多年网络安全技术经验的启明星辰推出全流量分析取证系统（NFT），通过多种复杂流量组合的攻击过程分析，具备完整攻击链的全过程信息存储和展示，可协助识别网络攻击的有效性，实现网络攻击超低误报。

这到底是什么黑科技？我们先睹为快：

设计初衷

NFT是通过存储网络中所有的流量，实现完整的攻击过程在网络数据传输中的快照，依据一定的查询规则来展示攻击链的所有相关信息。NFT可通过和传统安全检测设备、流量分析设备系统联动，实现一键检测，全攻击链还原取证的能力，实现准确的攻击有效性判断和关键证据的获取。

谈及其设计初衷，启明星辰高级威胁检测与响应产品线总监倪海洋表示，一是当下很多安全工具如防火墙、IDS等是用于实时检测，适合实时监测和预警当前攻击，但是对于历史攻击的溯源取证目前很少有安全厂商关注。

二是资产损失评估，可能损失是发生在过去时，通过实时攻击检测手段是无法获取的。

三是随着如今攻击手段的升级，从以前的”快”攻击到现在的“慢”攻击，如APT攻击瞄准一个目标做慢攻击，潜伏周期长，攻击手法复杂，长周期的痕迹监测与发现，实时监测产品是无法做到的。在这三者下，全流量分析取证系统（NFT）应运而生。

四大特性打造全立体防护

启明星辰集团合伙人兼副总裁袁智辉阐述全流量分析取证系统（NFT）时描述了四大特性：全程检测、全范式检测、全域检测和全时检测。

一、全程检测。正如我们监测流行病患者一样，一旦患者被确诊，我们需寻找和跟踪其密切接触者的轨迹。在攻击流上也需要这样的全程监测，例如在载荷层做关联检测。

二、全范式检测。检测技术可基于特征监测，也可基于沙箱动态分析（如APT沙箱样本检测），还有基于机器学习这三类范式来做监测。

三、全域检测。NFT系统提供从终端到网络、云端全域检测，提供全立体式服务。

四、全时检测。上述主要集中在一个时间点上对不同的层次用不同的检测技术在不同的空间域进行的检测，但是这个空间域检测仅是一个点，例如我们观察一张图片一样，如果将监测过程换成视频回放，将当前这张图片和前面的图片做比较，形成时空维度做观测。NFT便是这样具备全流量存储检索回放后进行事后检测能力的产品。

如此一来，有了NFT后，我们可以完成从一个攻击的线索发现到确认整个攻击流程的取证，从一个攻击线索监测到确认其真正的影响范围，进而结合威胁情报来深挖和拓宽，可帮助用户了解整个攻击链全貌，这便是NFT和其他实时产品不同之处。

高倍速流量回放，全方位了解攻击的“前世今生”

除了上述四大特性，NFT的核心能力有：支持大流量网络环境部署，数据存储可达6个月；支持高倍速流量回放能力，实现高效率回溯检测流量数据；高性能原始报文快速存储能力，保证大流量环境无丢包；集成启明星辰的安全能力和安全监测模型，可与IDS、CS、APT、TAR等产品无缝联动，实现攻击威胁自动化取证和监测；支持Syslog、Kafka、Restful API等方式与上层态势感知等中心化平台产品形成完整的闭环全流量安全解决方案。

其中，值得一提的是其高倍速流量回放能力，倪海洋表示，高倍速回放功能就像摄像机高速倒带，可以将完整保存的流量重新回放一遍，便于用最新的检测能力查看和监测潜在威胁。如需回看时间较长的记录时，高速回放是必须的。“例如，对于已存了二十天的记录，如果再花二十天的时间检查一遍的话，用户的时间成本太高，而高速回放可大幅节约这部分的时间。”

倪海洋分享了一个实际案例，通过IDS发现了一个僵尸网络攻击特征，在用户判别是否攻击成功时，可用全流量分析取证系统（NFT）进行回溯检测，回放整个攻击过程。此时注意的是，不需要将过去所有的流量都回放，只要把疑似攻击相关IP流取出来回放一遍，与此同时，配置好IDS、流安全、APT、沙箱策略，随之犹如电影放映一样，用户可以观察到攻击的完整过程、影响的主机，进而确定攻击范围。

随着互联网和5G的发展，大流量网络环境越来越多，针对大流量环境所需的高性能处理能力，NFT该如何“见招拆招”呢？

对此，袁智辉表示，由于5G拥有更多的协议种类，检测产品将会加强5G协议识别。另外 5G 带宽增加，对于安全产品的性能要求将提高。因此，启明星辰通过软硬件结合的方式，进一步加强和巩固自身安全产品性能，更好地布局5G时代。