关于全流量分析产品的重要性.docxVIP

近年来，以高级持续性威胁（APT）为代表的新型攻击手段渐渐兴起，谷歌、RSA、索尼等业界巨头接连爆出被入侵的新闻，引起了整个社会的极大关注。与此同时，为了应对APT，信息安全产业界也浮现了一批新兴的安全检测产品，这些产品的技术原理和实现方式都与传统安全产品有显著的区别，全流量存储分析产品就是其中的典型代表。 ?与传统的以特征匹配为基础的实时检测产品相比，全流量存储分析产品的最大特点是对原始流量的存储，以及采用以异常检测为主的判断机制。有了原始流量的存储，就能够将当前检测到的攻击行为与历史流量进行关联，实现完整的攻击溯源和取证分析；有了异常检测方法，就能够通过对各类正常网络行为建模，实现对未知攻击行为的检测。可以说，全流量存储分析产品的出现，恰好弥补了传统检测技术在应对APT挑战方面的不足。 全流量存储分析产品是随着信息技术发展而产生的。回顾入侵检测系统的发展史，在上个世纪90年代“入侵检测”概念出现的早期，当时著名的入侵检测系统大都产生于大学实验室和科研机构，采用的主流技术就是以数据挖掘、神经网络技术为代表的异常检测技术；后来随着应用的推广，安全企业受限于异常检测技术的高漏报和高误报，纷纷采用了以特征匹配为主的误用检测技术，这也是目前成熟入侵检测产品的通用技术；近年来随着以云计算、大数据为代表的新技术的涌现，单位计算和存储的成本越来越低，这使得采用更大的样本空间、更智能的分析算法降低异常检测的误报率和漏报率成为可能，从而使得异常检测技术真正在安全产品中得到实际应用，并最终促成了全流量存储分析产品的产生。 本文介绍了几款当前业界领先的全流量存储分析产品，总结了该类产品的共同点，并展望了该类产品的应用前景。 当前主流产品介绍 RSA NetWitness RSA NetWitness是安全产业巨头RSA公司推出的企业级安全分析产品体系。RSA将其描述为“一个革命性的网络安全监控平台，帮助企业感知网络上发生的全部事情，以应对全方位的信息安全挑战”。RSA NetWitness处理的对象包括各类报警事件和原始流量数据，它通过对各类数据的采集、存储、分析、挖掘和可视化展示，实现APT攻击的检测和持续监控。 RSA NetWitness的特点在于具备丰富、完整的体系架构，具备良好的伸缩性，可适应不同规模、不同粒度的安全监控需求。RSA NetWitness产品体系包括以下组件： (1) 采集及存储组件，可细分为： ——Decoder：完成实时采集、过滤和分析网络数据，是企业级网络数据存储分析架构的基石。 ——Concentrator：分层级汇总元数据，以保证框架的可扩展性和灵活性。 ——Broker：处于企业应用架构的最上层，当部署多个Concentrator时，可提供跨整个架构的单一视图。 ——Capacity：应用于Decoder和Concentrator的附加存储设备，可采用直接连接模式（DAC）和存储区域网络（SAN）两种模式，可扩充至PB级的存储容量。 (2) 分析组件，可细分为： ——For Logs：安全日志汇总工具，可实现安全日志和全流量数据的无缝融合，在分析安全日志时可展示与该事件相关的上下文原始流量数据。 ——Informer：报表和报告生成工具，可通过灵活的模板定制分析人员关心的各类报表。 ——Investigator：应用还原、可视化流量分析工具，通过对2-7层协议的解析，实现对原始流量数据的钻取分析。 ——Live：安全情报整合工具，可整合公共情报和RSA专业分析人员分析后得到的情报。 ——SIEMLink：RSA公司两大安全管理平台（NetWitness和enVision）数据交换中间件，可实现二者之间的数据连接。 ——Spectrum：恶意代码检测工具，不基于恶意代码签名，而是通过沙箱虚拟执行、信誉体系、文件内容、网络行为等方面综合进行恶意代码检测。 ——Visualize：数据可视化分析工具，主要是对还原后的文件进行可视化分析，可监控文件的传播状况，进行数据防泄密检测。 Solera DeepSee Solera DeepSee是Solera Networks公司（注：该公司已于2013年5月被Blue Coat公司收购）研发的面向高级威胁防护的大数据安全情报与分析产品。它通过对流量数据的记录、索引、分类和存储，提供给安全分析人员全方位的感知能力。 正如其名称所体现出的含义，Solera DeepSee的特长在于对数据流的深度解析和可视化。Solera DeepSee在数据处理能力方面具备丰富的积累，在数据包捕获方面，它采用了经过优化的DS File System，支持10Gbps级流量的实时捕获、解析和存储；在存储方面，它采用了专有的Solera DB，特别适合网络数据包的压缩