在过去的几年里,随着互联网的多重发展,大量使业务运营更容易的服务和应用程序也出现了。随着广泛的用例和流量数据传输到不同来源,组织应该使用策略和工具来监控其网络。安全和风险管理已成为网络管理中越来越重要的方面,组织正在为之寻找有竞争力的解决方案。
在大型企业中,网络基础架构的复杂性和对可扩展性的需求往往更加普遍。使用传统的基于规则的安全系统,很难跟踪大量流量来检查异常并防止黑客攻击。
基于签名的技术可以被视为类似于采集指纹。他们监控网络流量,以找出特定模式是否与数据包头中存在的攻击签名匹配。使用此技术,网络管理员可以预先定义规则和妥协指标,以描述特定攻击之前的内容,例如攻击的行为、有害域或电子邮件主题行。
在当今的IT环境中,遵循这种技术的挑战在于,它不适用于Raspberry Robin、Stuxnet或Code Red等高级互联网蠕虫。网络管理员可以制定新规则来对抗他们怀疑的攻击,但大多数黑客可以通过将攻击伪装成文件或文件夹来绕过制定的规则,这些文件或文件夹在访问时会规避安全系统。因此,管理员无法保护网络免受没有签名匹配的零日攻击或利用链接的弱身份验证的攻击。
此外,有了攻击的相关知识,获得的信息可用于生成更多的误报,并不断发送可能有害的告警。这增加了管理员的工作量,迫使他们出于安全考虑而识别哪些流量是真实的,并保持签名更新以避免攻击。
组织需要一种动态技术,知道如何在主机和服务器与网络交互的方式上区分异常行为和正常行为。这就是基于机器学习的异常检测等统计方法可以派上用场的地方。简而言之,网络异常检测是基于通过将应用程序或设备的异常行为与组织网络管理员认为的正常行为区分开来对数据进行分类。统计理论和信息理论等方法主要由网络管理员使用。
机器学习已被各种领域采用来解开复杂问题,其在实时网络流量异常检测中的使用也一样强大。机器学习不是匹配当前的签名,而是适应识别复杂的流量模式,并分析与某些看不见且可能有害的攻击相关的行为,根据这些见解提供智能决策。这样,无论是已知的还是未知的攻击,管理员都不会措手不及。
使用基于异常的检测,网络管理员可以将行为标记为“良好”或“正常”以及“可疑”,并获取与正常流量不同的特定活动的告警。基于异常的检测可用于查找与基线行为不一致的攻击,例如用户在非营业时间登录、将流氓设备添加到网络或大量请求与网络建立连接时。因此,许多零日入侵可以被检测并立即发出告警,以保护网络安全。
NetFlow Analyzer是一个网络流量异常检测工具,可以全面查看网络元素,无论是数据中心还是云基础架构。我们基于流程的行为分析工具与高级安全模块集成,该模块监控可疑流量行为,并根据可疑流量、不良Src-Dst流量和DDoS/Flash人群等不同类别进行分类。借助其连续流挖掘引擎和您配置的算法,您可以密切关注异常的流量行为。