基于數據包分析的大數據技術解決網絡安全問題

1.網絡攻擊簡介

網絡攻擊是利用網絡存在的漏洞和安全缺陷對網絡系統的硬件、軟件及其系統中的數據進行的攻擊。網絡信息系統所面臨而對威脅來自很多方面，而且會隨著時間的變化而變化。從宏觀上看，這些威脅可分為人為威脅和自然威脅。數據分析師培訓

自然威脅來自于各種自然災害、惡劣的場地環境、電磁干擾、網絡設備的自然老化等。這些威脅是無目的性的，但會對網絡通信系統造成損害，威脅通信安全。

而人為威脅是對網絡信息系統的人為攻擊，通常是通過尋找系統的弱點，以非授權方式達到破壞、欺騙和竊取數據信息等目的。兩者相比，精心設計的人為攻擊通常威脅大、難防備、種類多、數量大。

2.數據包分析介紹

數據包分析，經常也被稱為數據包嗅探或協議分析，指的是通過捕獲網絡上傳輸的數據包并對數據包進行解碼。由于網絡中的通訊都源于數據包，盡管有些流量通過協議來看是正常的可信協議，但很可能在背地里進行不為人知的惡意行為，為了能夠更加清楚透徹的了解網絡，就需要進入數據包層面進行分析，在這個層面沒有任何的異常情況能夠逃脫我們的視線，能夠詳細的了解網絡中發生任何的事情（加密除外）。

3.通過數據包分析發現、追溯網絡攻擊

I.大數據采集

基于數據包的大數據技術的第一前提條件是能夠獲取有效的數據包，通常情況下網絡分析"數據分析師"人員會使用抓包軟件采集數據包，但由于抓包軟件通常只能捕獲短時間的數據包，但目前很多網絡攻擊不一定是在短時間內進行，其攻擊過程可能持續幾天、一周、一年，甚至更長的時間。這就需要能夠對數據包進行不間斷的采集，在采集的過程中對數據包進行分類展現及實時進行各項處理；

II.數據包解碼

數據包是網絡傳輸中最小的人工可讀數據，通過數據包的解碼分析能夠掌握網絡中最細微的變化，"數據分析師"通過網絡中的變化找到異常問題，發現可能的網絡攻擊，并對攻擊過程進行深度還原，掌握各種網絡攻擊模型，對網絡攻擊做到知己知彼，做出有針對性并且最有效的防御；

III.快速發現網絡攻擊

通過解碼數據包可針對數據包內的多中參數進行“與”、“或”關系組合配置警報，并可結合數據包特征值定義的方式，針對網絡攻擊的特征值或行為進行有效的告警信息配置，快速的發現網絡中的攻擊，并且能夠提取相關原始數據包進行詳細分析；

IV.數據包追溯分析

"數據分析師"要想使用大數據技術對網絡攻擊進行長期的追溯分析，只有長期的數據包采集是不夠的，還要對數據包和統計信息進行長期存儲；并且在存儲的基礎上對數據包快速檢索及可視化展現，這樣能夠幫助網絡管理人員掌握網絡的長期運行態勢，快速定位網絡異常、攻擊發生時間，對問題時段進行追溯分析，發現網絡攻擊的行為并進行深入分析。

4.數據包分析快速發現、長期追溯網絡攻擊案例

如上圖，網絡在6月11-12日突然出現大流量傳輸；

并且網絡中TCP同步包與TCP同步確認包差值巨大；

我們通過預先定義告警，通過多參數“與”“或”組合及特征值定義，配置靈活的告警信息，一旦網絡中出現異常數據包達到出發要求時，會快速上報，及時發現網絡中可能存在的攻擊；

如上圖，對異常數據包進行tcp會話重組，可以看到每一個會話的異常行為（TCP同步位并且含有載荷數據）；

可對數據包進行深度解碼，查看數據包級的內容，載荷內容全部填充為0，填充大量無效數據，形成DOS攻擊。

本案例通過告警信息快速發現網絡中可能存在異常攻擊，并且能夠長時間追溯網絡攻擊，并且快速判斷網絡攻擊手法及攻擊根源，及時定位各類網絡安全問題。

小結

通過上述內容及案例，可以看出基于數據包分析的大數據技術可幫助網絡管理"數據分析師"人員快速的發現、定位各類網絡攻擊，并且能夠在存儲期內對任意網絡攻擊及問題進行回溯分析，做到精細化分析，提供數據包級的支撐，幫助網絡管理人員更加安全的管理網絡。