作者 | 伍杏玲

出品 | CSDN（ID:CSDNnews）

據啟明星辰發布的《2019~2020網絡安全態勢觀察報告》顯示，在過去一年多時間里，勒索攻擊由 2014 年的廣泛無目的的傳播階段到2017 年 WannaCry 帶來的大規模自動化傳播階段，如今已進化到以人為核心的“APT化”攻擊階段。勒索攻擊越來越趨于“APT”化，且逐漸瞄準大型且有實力的價值型目標。一旦在這些大型企業攻擊成功，帶來的經濟損失十分嚴重。

在近年來網絡安全事故頻出下，實時防護固然重要，但如何對事故進行評估與取證已成為企業的一大難題。因此，擁有20多年網絡安全技術經驗的啟明星辰推出全流量分析取證系統（NFT）?，通過多種復雜流量組合的攻擊過程分析，具備完整攻擊鏈的全過程信息存儲和展示，可協助識別網絡攻擊的有效性，實現網絡攻擊超低誤報。?

這到底是什么黑科技？我們先睹為快：

設計初衷

?

NFT是通過存儲網絡中所有的流量，實現完整的攻擊過程在網絡數據傳輸中的快照，依據一定的查詢規則來展示攻擊鏈的所有相關信息。NFT可通過和傳統安全檢測設備、流量分析設備系統聯動，實現一鍵檢測，全攻擊鏈還原取證的能力，實現準確的攻擊有效性判斷和關鍵證據的獲取。

談及其設計初衷，啟明星辰高級威脅檢測與響應產品線總監倪海洋表示，一是當下很多安全工具如防火墻、IDS等是用于實時檢測，適合實時監測和預警當前攻擊，但是對于歷史攻擊的溯源取證目前很少有安全廠商關注。

二是資產損失評估，可能損失是發生在過去時，通過實時攻擊檢測手段是無法獲取的。

三是隨著如今攻擊手段的升級，從以前的”快”攻擊到現在的“慢”攻擊，如APT攻擊瞄準一個目標做慢攻擊，潛伏周期長，攻擊手法復雜，長周期的痕跡監測與發現，實時監測產品是無法做到的。在這三者下，全流量分析取證系統（NFT）?應運而生。

? ?四大特性打造全立體防護

?

啟明星辰集團合伙人兼副總裁袁智輝闡述全流量分析取證系統（NFT）?時描述了四大特性：全程檢測、全范式檢測、全域檢測和全時檢測。

一、全程檢測。正如我們監測流行病患者一樣，一旦患者被確診，我們需尋找和跟蹤其密切接觸者的軌跡。在攻擊流上也需要這樣的全程監測，例如在載荷層做關聯檢測。

二、全范式檢測。檢測技術可基于特征監測，也可基于沙箱動態分析（如APT沙箱樣本檢測），還有基于機器學習這三類范式來做監測。

三、全域檢測。NFT系統提供從終端到網絡、云端全域檢測，提供全立體式服務。

四、全時檢測。上述主要集中在一個時間點上對不同的層次用不同的檢測技術在不同的空間域進行的檢測，但是這個空間域檢測僅是一個點，例如我們觀察一張圖片一樣，如果將監測過程換成視頻回放，將當前這張圖片和前面的圖片做比較，形成時空維度做觀測。NFT便是這樣具備全流量存儲檢索回放后進行事后檢測能力的產品。

如此一來，有了NFT后，我們可以完成從一個攻擊的線索發現到確認整個攻擊流程的取證，從一個攻擊線索監測到確認其真正的影響范圍，進而結合威脅情報來深挖和拓寬，可幫助用戶了解整個攻擊鏈全貌，這便是NFT和其他實時產品不同之處。

高倍速流量回放，全方位了解攻擊的“前世今生”

?

除了上述四大特性，NFT的核心能力有：支持大流量網絡環境部署，數據存儲可達6個月；支持高倍速流量回放能力，實現高效率回溯檢測流量數據；高性能原始報文快速存儲能力，保證大流量環境無丟包；集成啟明星辰的安全能力和安全監測模型，可與IDS、CS、APT、TAR等產品無縫聯動，實現攻擊威脅自動化取證和監測；支持Syslog、Kafka、Restful API等方式與上層態勢感知等中心化平臺產品形成完整的閉環全流量安全解決方案。

其中，值得一提的是其高倍速流量回放能力，倪海洋表示，高倍速回放功能就像攝像機高速倒帶，可以將完整保存的流量重新回放一遍，便于用最新的檢測能力查看和監測潛在威脅。如需回看時間較長的記錄時，高速回放是必須的。“例如，對于已存了二十天的記錄，如果再花二十天的時間檢查一遍的話，用戶的時間成本太高，而高速回放可大幅節約這部分的時間?！?

倪海洋分享了一個實際案例，通過IDS發現了一個僵尸網絡攻擊特征，在用戶判別是否攻擊成功時，可用全流量分析取證系統（NFT）?進行回溯檢測，回放整個攻擊過程。此時注意的是，不需要將過去所有的流量都回放，只要把疑似攻擊相關IP流取出來回放一遍，與此同時，配置好IDS、流安全、APT、沙箱策略，隨之猶如電影放映一樣，用戶可以觀察到攻擊的完整過程、影響的主機，進而確定攻擊范圍。

隨著互聯網和5G的發展，大流量網絡環境越來越多，針對大流量環境所需的高性能處理能力，NFT該如何“見招拆招”呢？

對此，袁智輝表示，由于5G擁有更多的協議種類，檢測產品將會加強5G協議識別。另外 5G 帶寬增加，對于安全產品的性能要求將提高。因此，啟明星辰通過軟硬件結合的方式，進一步加強和鞏固自身安全產品性能，更好地布局5G時代。

更多閱讀推薦

• 下一代 IDE：Eclipse Che 究竟有什么奧秘？

• 竊隱私、放高利貸，輸入法的騷操作真不少！

• 進入編譯器后，一個函數經歷了什么？
  

• 程序員離職后收到原公司 2400 元，被告違反競業協議賠 18 萬

• 5年5億美金，華為昇騰如何爭奪AI開發者？

總結

以上是生活随笔為你收集整理的让安全威胁无所遁形，全方位掌握攻击“前世今生”的黑科技来了的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。