网络异常检测

news2024/9/23 7:26:31

随着社交网络、视频流、点对点技术、云计算和 SaaS 的出现，可以肯定地说，现代企业的好坏取决于他们的网络，尤其是在它们提供的带宽和安全性方面。无论是银行保护其数据免遭盗窃，还是商业组织保护其网络免受安全威胁和攻击，被未知的零日入侵者破坏、破坏和损坏的潜在威胁始终是相关的。此外，入侵技术的不断发展使得确保网络安全的任务变得越来越困难，尽管变得更加关键。

安全系统主要分为三种类型：

防火墙系统
入侵检测/防御（IDS/IPS）系统
网络行为分析（NBA）系统，也称为网络行为异常检测（NBAD）系统

虽然这三者都有自己独特的优势和劣势，但它们相辅相成，形成了一个整体的网络安全策略。然而，前两个被广泛流行并被视为必不可少的组成部分，第三个则不然。这使得网络容易受到多次零日攻击、未知蠕虫、内部威胁等的攻击，并使它们在整体流量可见性、访问策略决策、安全态势评估和合理确定的网络安全确认方面落后。

随着 DDoS 攻击、未知恶意软件和其他安全威胁的增加，构建防火墙和使用简单的安全解决方案不足以保护网络免受网络异常或攻击，从而改变了网络安全格局。网络管理员必须主动分析其网络，获得对网络的完全控制，并全面了解网络流量活动。

网络安全攻击可以是被动的，攻击者访问、监视或窃取敏感数据，也可以是主动的，攻击者不仅可以访问这些数据，还可以加密、更改或永久删除这些数据。这些威胁可以是端点攻击、恶意软件、漏洞利用或高级持续性威胁。可能使网络处于危险之中的最常见安全威胁包括：

DoS 攻击：在拒绝服务（DoS）攻击中，攻击者通过短暂或无限期地破坏连接的主机的服务，使目标用户无法访问计算机或网络资源。这种网络攻击是通过向预期的目标机器或资源发送大量请求以使系统过载来执行的。
DDoS 攻击：分布式拒绝服务（DDoS）攻击是一种更严重的 DoS 攻击形式，其中淹没受害者的流量来自多个不同的来源，因此实际上不可能通过简单地阻止单个来源来阻止攻击。
端口扫描：端口扫描是攻击者用来监视和识别目标计算机上运行的易受攻击的服务和端口的方法，以便他们可以计划对它们进行攻击。这是最常见的网络探测类型。
僵尸网络：僵尸网络是由一个或多个机器人感染并运行的设备网络，一旦遭到入侵，设备或僵尸网络可用于窃取数据、发送垃圾邮件、允许攻击者访问设备及其连接或执行 DDoS 攻击。

网络行为分析和异常检测

网络行为分析（NBA）系统，也称为网络行为异常检测（NBAD）系统，提供了一种更高级的网络安全方法，它通过提供对网络行为模式的深入可见性来补充安全分析系统，网络异常检测工具或系统密切监视网络，以分析对话、诊断网络异常，并识别可能绕过防火墙的任何攻击或威胁。

安全模块检测网络异常

NetFlow Analyzer 通过其高级安全分析模块（ASAM）和取证报告为检测网络异常的挑战提供了答案，它使用内置算法分析网络行为并建立性能基线，以帮助网络管理员快速有效地检测安全漏洞。

安全模块是一种基于网络流的安全分析和异常检测工具，有助于检测零日网络入侵，使用最先进的连续流挖掘引擎™技术，并对入侵进行分类以实时应对网络安全威胁。安全模块提供可操作的情报，以检测广泛的外部和内部安全威胁，以及对网络安全的持续全面评估。

安全模块的“安全快照”将分组的威胁/异常列表显示为问题，此外，问题分为三个主要问题类别（不良 Src-Dst、DDoS、可疑流）。这里给出了用于对问题进行分类的类集，并给出了简要描述（问题分类法）。饼图和折线图帮助用户一目了然地掌握整体网络“安全态势”。在进一步深入分析时，它会显示特定问题的单个事件/异常列表，并附有详细信息整理，以便操作员进行更仔细的调查。

在这里插入图片描述