以安全为中心的流量分析 | 艾体宝

为什么以安全为中心的流量分析非常重要？

网络攻击的不断增加，要求NTA（网络流量分析）除了传统的监控（即延迟监控、服务可用性…..）外，还要注重安全方面。

特别是新的挑战，包括：

加密流量分析
检测易受攻击的协议和密码
完全可视性包括可能造成严重问题的IoT设备（如标记阅读器）
实时识别威胁和可疑事件

网络安全分类

网络安全监控：需求

分布式监控平台
- 网络边缘流量监控+集中分析
深度网络流量剖析，同时检测加密流量（越来越流行）。
解读流量监控数据，从原始信号中创建警报，并触发可操作的见解（例如，缓解已确定的问题）
以开放的格式向多个消费者/用户导出监控信息

典型部署：流量处理

nDPI是一个开源的DPI工具包，在它的基础上，nProbe可以计算流统计。包括：

解码检测的应用协议的初始流数据包（如谷歌地图）
分析加密的流量，以检测隐藏但无法检测的有效载荷内容的问题。
从选定的协议（如DNS,HTTP,TLS…）中提取元数据，并与已知的算法进行匹配，以检测特定的威胁（如DGA主机，域生成算法）。

nDPI识别流量风险：

XSS (Cross Site Scripting)
SQL注入
任意代码注入/执行
二进制/.exe 应用传输(例如：在HTTP中)非标准端口上的已知协议
TLS自签名证书
TLS 过时版本
TLS 弱密码
TLS 证书过期
TLS 证书不匹配

HTTP可疑用户代理
HTTP连接的数字IP主机
HTTP可疑URL
HTTP可疑协议报头
TLS连接未携带HTTPS (例如：TLS上的VPN)
可疑的DGA域名连接
畸形数据包
SSH/SMB过时的协议/应用版本
TLS可疑的ESNI使用
使用不安全的协议

ntopng流量合并

nProbe是一个面向流的探针，用于监控边缘的流量，ntopng是一个数据采集器，用于关联来自分布式探针的信号和：
- 在主机，AS，网络接口层面进行内部流（Intra-flow）关联，以发现更高层次的威胁。
- 可对检测到的问题作出反应的可操作性见解。
- 基于网络的报告并导出到外部系统。

应用案例

ETA加密流量分析

通过用户脚本进行威胁检测

在噪音流量中搜索老鼠流

低带宽的周期性连接可能会掩盖滥用（例如：周期性任务），僵尸网络命令和控制通信，未经授权的监控。

工业IoT/Scada监控

nDPI支持一些流行IoT/Scada协议，包括modbus、DNP3和IEC 60870。
IEC 60870是非常重要的，因为它可以用来检测问题如下：
- 未知遥测地址
- 连接丢失和恢复
- 丢失来自远程系统的数据
ntopng具有IEC60870的永久性监控功能，除了传统的流量监控外，还可以检测工业异常。

可操作性见解：通过SNMP进行攻击缓解

Score是用来检测主机、AS、网络等实体问题的指标。
SNMP可用于轮询，但也可用于修改设备配置。