（科來(lái)軟件CSNA網(wǎng)絡(luò)分析專家 徐文勇）

隨著網(wǎng)絡(luò)技術(shù)的進(jìn)步和不斷發(fā)展，讓大規(guī)模的監(jiān)控和數(shù)據(jù)收集行為變得越來(lái)越易，最近曝光的美國(guó)“棱鏡”項(xiàng)目監(jiān)就是非常典型的此類事件。從技術(shù)的角度來(lái)看，“棱鏡”項(xiàng)目得以實(shí)施，除了跨國(guó)公司（google、微軟、思科等）、政府提供支持以外，還有一項(xiàng)至關(guān)重要的技術(shù)，即近年被炒得火熱的“大數(shù)據(jù)”技術(shù)，情報(bào)部門(mén)通過(guò)遍布全球的監(jiān)控系統(tǒng)、設(shè)備系統(tǒng)0day漏洞、網(wǎng)絡(luò)攻擊等手段從世界各地獲取海量的數(shù)據(jù)，通過(guò)數(shù)據(jù)倉(cāng)庫(kù)、數(shù)據(jù)安全、數(shù)據(jù)分析、數(shù)據(jù)挖掘等手段將這些碎片數(shù)據(jù)拼成“大數(shù)據(jù)”并進(jìn)行利用，從而獲取到有價(jià)值的數(shù)據(jù)和線索。

那么，對(duì)大數(shù)據(jù)進(jìn)行利用的基礎(chǔ)和前提是什么呢？肯尼思·丘基爾在《大數(shù)據(jù)：一次將改變我們生活、工作和思考方式的革命》一書(shū)中提出：大數(shù)據(jù)的價(jià)值在于存儲(chǔ)后的再使用。也就是說(shuō)，首先是要把這些數(shù)據(jù)存下來(lái)，并在存儲(chǔ)過(guò)程中，為這些數(shù)據(jù)建立相應(yīng)的關(guān)聯(lián)依據(jù)，以方便用戶查詢使用。再說(shuō)得直白點(diǎn)，就是將數(shù)據(jù)保存下來(lái)，用戶可以對(duì)這些數(shù)據(jù)進(jìn)行回溯查詢、回溯分析、回溯挖掘，跟現(xiàn)在流行的網(wǎng)絡(luò)回溯分析技術(shù)相類似。

網(wǎng)絡(luò)回溯分析以數(shù)據(jù)包（Packet）為基礎(chǔ)，依托TB、PB級(jí)的存儲(chǔ)空間，在存儲(chǔ)過(guò)程中對(duì)海量的數(shù)據(jù)包進(jìn)行關(guān)聯(lián)，用戶可以隨時(shí)分類查看及調(diào)用任意時(shí)間段的數(shù)據(jù)，當(dāng)發(fā)現(xiàn)問(wèn)題時(shí)，提供一定時(shí)間范圍內(nèi)的回溯分析，為迅速定位問(wèn)題發(fā)生原因提供了更全面的分析依據(jù)，同時(shí)為網(wǎng)絡(luò)安全提供了強(qiáng)有力的數(shù)據(jù)分析保障。通常情況下，網(wǎng)絡(luò)回溯技術(shù)及產(chǎn)品可以廣泛用于局域網(wǎng)、互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、智能電網(wǎng)、工業(yè)控制系統(tǒng)等。圖1為回溯技術(shù)的功能及原理圖：

圖1 回溯技術(shù)的功能及原理圖

如圖1所示，網(wǎng)絡(luò)回溯分析技術(shù)適用于網(wǎng)絡(luò)管理的很多方面，那么它的優(yōu)勢(shì)具體體現(xiàn)在哪些方面呢？

分布式部署、安全事件智能感知及預(yù)警

回溯分析設(shè)備分布式部署，集中管理，同時(shí)能夠針對(duì)網(wǎng)絡(luò)全局制定統(tǒng)一的安全策略，也可針對(duì)下屬或分支網(wǎng)絡(luò)分別制定不同的預(yù)警條件，一旦發(fā)生告警，則可提取該時(shí)段的告警數(shù)據(jù)進(jìn)行深度分析，以此提前發(fā)現(xiàn)并解決安全隱患，防止安全事件的進(jìn)一步擴(kuò)大。

安全基線預(yù)警方式包括：流量預(yù)警，郵件敏感字預(yù) 警，可疑域名預(yù)警，數(shù)據(jù)流特征值預(yù)警等，通過(guò)對(duì)安全基線的制定，能夠準(zhǔn)確判斷網(wǎng)絡(luò)的安全運(yùn)行態(tài)勢(shì)，及時(shí)防止可能發(fā)生的安全事件。

回溯警報(bào)以網(wǎng)絡(luò)行為產(chǎn)生的數(shù)據(jù)包為依據(jù)，具有誤報(bào)率低，查找源頭方便等特點(diǎn)。

建立網(wǎng)絡(luò)通訊模型，快速發(fā)現(xiàn)異常通訊

企業(yè)、通過(guò)對(duì)“大數(shù)據(jù)”的分析，可以獲取用戶的行為習(xí)慣、愛(ài)好，從而更高效的為用戶提供服務(wù)，“棱鏡”項(xiàng)目通過(guò)對(duì)“大數(shù)據(jù)”的分析利用，可以獲取用戶的聯(lián)系方式、賬號(hào)、行為模式、通話記錄等。而利用回溯分析技術(shù)則可以對(duì)網(wǎng)絡(luò)通訊建立模型，快速發(fā)現(xiàn)網(wǎng)絡(luò)里的異常通訊和行為。

網(wǎng)絡(luò)行為模式識(shí)別技術(shù)依靠對(duì)大量的網(wǎng)絡(luò)數(shù)據(jù)分析，智能分析數(shù)據(jù)流的通訊行為特征并建立行為識(shí)別模型。主要針對(duì)源地址、目的地址、源端口、目地端口、協(xié)議、發(fā)送時(shí)間、接收時(shí)間、發(fā)送時(shí)間頻率等信息進(jìn)行綜合分析，建立綜合的識(shí)別模型，以作為對(duì)異常網(wǎng)絡(luò)通訊的判斷依據(jù)。

網(wǎng)絡(luò)攻擊自動(dòng)分析、發(fā)現(xiàn)

回溯技術(shù)通過(guò)對(duì)大量的網(wǎng)絡(luò)通訊特征，行為特征，行為模型以及OSI鏈路層到應(yīng)用層的深入分析，系統(tǒng)能夠檢測(cè)各種網(wǎng)絡(luò)安全通訊行為及可疑的異常通訊，包括：（1）蠕蟲(chóng)病毒檢測(cè)及其通訊特征分析；（2）木馬檢測(cè)及其特征分析；（3）網(wǎng)絡(luò)攻擊行為檢測(cè)（ARP攻擊/TCP 端口掃描/TCP SYN Flood/TCP ACK Flood/ICMP Flood/UDP Flood/MAC Flood等幾十種安全事件）；（4）其它網(wǎng)絡(luò)異常通訊檢測(cè)分析。

取證分析、責(zé)任界定

如果網(wǎng)絡(luò)中出現(xiàn)了問(wèn)題，可以對(duì)出現(xiàn)問(wèn)題當(dāng)時(shí)的所有訪問(wèn)流量和內(nèi)部的通訊流量進(jìn)行回溯分析，通過(guò)數(shù)據(jù)包級(jí)的分析能有效的定位問(wèn)題點(diǎn)，幫助快速解決問(wèn)題，保證網(wǎng)絡(luò)正常運(yùn)行。

（1）問(wèn)題的追溯分析：系統(tǒng)能長(zhǎng)期記錄保存所有訪問(wèn)運(yùn)系統(tǒng)以及各業(yè)務(wù)系統(tǒng)各主機(jī)間的通訊數(shù)據(jù)，一旦出現(xiàn)異常，能夠?qū)⒋鎯?chǔ)的數(shù)據(jù)包提取出來(lái)進(jìn)行分析，提供有效的分析依據(jù)。

（2）問(wèn)題的迅速定位：通過(guò)分析網(wǎng)絡(luò)系統(tǒng)的訪問(wèn)通訊數(shù)據(jù)，進(jìn)行數(shù)據(jù)包級(jí)的分析，能夠迅速定位到問(wèn)題點(diǎn)，是由于網(wǎng)絡(luò)問(wèn)題引起的還是應(yīng)用問(wèn)題引起的。

（3）安全問(wèn)題的分析取證：出現(xiàn)安全事件，可以通過(guò)詳細(xì)的數(shù)據(jù)分析來(lái)對(duì)當(dāng)時(shí)的網(wǎng)絡(luò)訪問(wèn)和所有通訊數(shù)據(jù)進(jìn)行深入分析，提供直接有效的分析依據(jù)和證據(jù)。

綜上所述，隨著網(wǎng)絡(luò)不斷的發(fā)展，網(wǎng)絡(luò)監(jiān)控、信息泄密、網(wǎng)絡(luò)攻擊等行為變得越來(lái)越容易，網(wǎng)絡(luò)管理者必須不斷的提高網(wǎng)絡(luò)管理的辦法，實(shí)踐證明利用網(wǎng)絡(luò)回溯分析技術(shù)能實(shí)時(shí)的監(jiān)控分析網(wǎng)絡(luò)運(yùn)行情況，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)及應(yīng)用系統(tǒng)的異常行為，并提供強(qiáng)大的安全分析功能，是保障網(wǎng)絡(luò)安全高效持續(xù)運(yùn)行的非常有效的手段。