2020/04/04 -
本文是对文章[1]的读后分析,具体细节请参考原文。
定义
NTA是指网络流量分析(Network Traffci Analysis),具体含义为:以网络流量为基础,应用人工智能、大数据处理等先进技术,基于流量行为的实时分析,展示异常事件的客观事实。简单点说,就是利用网络流量为数据源,发现攻击、异常行为。
我在知道这个概念之后,一直有一个疑问,就是他和传统的IDS有什么区别。是说他分析的数据更透彻?我感觉应该是一个包含的过程:NTA包含IDS。
需求
企业用户对流量分析产品提出了新的要求,既要在网络层面实时、近实时的呈现网络流量,又要在受攻击后(数天/数周)进行网络入侵取证
我觉得,上面这句话中,透露出了两个关键点:1.实时的流量处理,反映出系统当前的运行状态;2. 能够在受攻击后进行入侵取证,这种取证就需要保证对之前的数据进行保存。
把NTA技术的发展引向”采集原始流量—流分析—应用协议元数据—持续监测网络对象—分析异常流量—溯源可疑行为—联动威胁情报应对高级威胁”的演进方向。
具体功能
-
网络全流量存储与检索
目前我能知道的这方面的攻击就是moloch,他是把这个全流量都存下来了。
其他得好像有的也能,但大部分都是处理成某种形式之后,来保存。其实,我觉得,数据包得负载是个问题,到底要不要保存,得看需求。毕竟大的网络环境每天那么大流量,全都留存,是个问题。 - 攻击行为检测
- 异常行为检测
- 基线式检测
- 数据智能安全分析
- 溯源与调查取证
- 可视化威胁狩猎
我觉得,上面说了这么多,让我感兴趣的就是1,6,7,这些都是对数据进行存储、然后分析、可视化的内容,其他的检测。说实话,不知道效果,不予置评。这些检测肯定是要有的,但是具体检测的是什么,他也没说,也不好理解。
文章的质量还是有的,但是有些太抽象,不够具体。
文章[2]从他的产品的几个功能上进行介绍。
通过机器学习、数据建模和流量分析技术,实现了基线学习、内网对象互访关系梳理、应用流量可视化呈现、威胁溯源等功能,主要从如下两个维度判定异常:1. 通过学习正常的网络行为流量,建立安全基线,然后发现偏离基线的异常网络行为;2. 梳理内网对象互访关系,并进行可视化呈现,发现非法的业务访问流量。
- 基线学习·发现异常
这个不清楚是不是还有继续挖掘的潜力,他只是利用了这个流量的大小作为分析依据 - 全局视角·互访梳理
这个挺好的,一方面做到这个内网的资产管理,另一方面,又有这个访问关系。但感觉,这种行为模式,不是非常好定义。会不会误报不好说。 - 威胁事件·全局追踪
这个不知道要说什么,是说主动发现?还是说发生攻击后?
简单总结一下,我觉得NTA的重点有:
- 全流量的留存
但是前面也说了,你怎么留存,是直接pcap,还是处理后,留存多久?这都是问题。 - 分析
这个分析的话,肯定是最重要的,终究要从数据中发现有价值的东西,但是我现在不知道什么。或者说,理解的不够系统 - 追踪溯源
这个东西,到底有什么比较高深的技术,是难在关联,还是难在什么地方,不懂。
网友评论