源头分析: 网络安全的分布式方法

news2024/11/15 17:39:31

部署网络可见性和网络检测和响应 (NDR) 解决方案来收集、查看和分析网络活动,以检测网络上的可疑和恶意活动。

这些解决方案中的大多数都是为了将数据从收集点 (或传感器) 移动到中央存储库进行分析而构建的。

这种方法有几个缺点,包括规模、性能、成本和准确性 (误报) 的问题。所有这些问题都可以通过以分布式方式在源处执行流量分析的解决方案来克服。 

集中式网络安全方法的问题

在集中式方法中,数据包传感器连接到企业网络以监视网络流量,并将收集的数据发送到集中式服务器进行分析。

中央服务器通常在云中,但也可以是客户驻地内的数据库和分析服务器。这种方法的第一个问题是它复制了网络内的流量,因为所有收集的数据必须由中央服务器移动以进行分析。

由于对网络的影响,中央数据库的大小和分析成本,这是昂贵的。

为了克服分组数据复制的成本,大多数解决方案减少发送到中央服务器的数据。它们以元数据或NetFlow的形式发送提取的数据,而不是发送完整的网络数据包。

这产生了第二个问题,即分析工作在有限的信息上,这导致在检测到可疑或恶意流量时,不准确且缺乏供安全分析人员查看的真实取证信息。

虽然信息的减少有助于降低网络数据传输的成本,但它仍然需要大型中央数据库和分析引擎,这不能完全解决成本问题。

它可以在小型网络中工作,但是随着企业发展到每秒数千个主机和许多千兆比特的聚合网络数据,存储元数据或NetFlow的成本是巨大的。 

第三个问题是集中式分析引擎如何与网络分段、微分段和重叠ip地址一起工作。一旦收集到中央分析引擎,就需要额外的信息,这增加了维护系统和创建准确分析的复杂性。

采用集中式方法的解决方案体现了分析引擎的价值,该分析引擎可以在网络的多个位置检测到类似的问题。然而,网络分析是关于客户端和服务器之间的通信。只要在关键收集点部署传感器,分析数据的位置就没有任何价值。

由于集中式方法的成本,网络可见性通常仅部署在网络的边缘。这为内部网络可见性留下了空白,可以在违规后检测受感染主机的操作。

事实上,根据网络安全和基础设施安全局 (CISA) 的说法,顶部错误配置在网络安全中,内部网络监控不足。

一种分布式的网络安全方法

在分布式方法中,传感器放置在网络中以收集和分析网络数据包,以检测网络上的威胁和恶意活动,就像集中式方法中需要传感器一样。然而,在这种情况下,分析是在传感器内、在集合的源处执行的,而不是移动到中央服务器。

这种方法有几个优点: 

首先,完整的数据包和网络通信可用于分析。它不仅限于元数据或NetFlow,这可以提高准确性,并为安全分析师提供更好的取证。它还降低了解决方案的成本,因为不需要复制业务。

其次,成本可以随着企业的增长而扩展,因为可以随着业务的增长而添加传感器。在集中式和分布式方法中,随着增长,需要额外的传感器,然而,对于分布式方法,组织只需要添加传感器,而不需要扩展中央数据库的大小来容纳更多的主机和网络数据。可以以类似的方式适应企业向云的增长。 

第三,由于数据是在源头进行分析的,因此可以处理网络和微分段的复杂性,而无需按照集中式方法的要求添加复杂的配置。

虽然以分布式方式执行分析,但是这些分布式解决方案仍然在单个服务器中收集所有可疑和恶意检测,以允许分析人员从单个工作流进行工作。

这种检测结果的收集明显小于收集作为分析引擎的输入所需的所有数据。这些解决方案仍然可以实现集中式分析方法所声称的任何好处,因为结果是在安全分析师的中央工作流程中收集的。

源头分析更真实

为了进一步挖掘分布式方法的优势,IT组织现在可以投资购买基于可扩展深度数据包检测 (DPI) 的高级NDR综合解决方案。

该策略提供了适应性强的网络检测工具,在不同的网络基础设施 (包括本地、虚拟和混合云环境) 中扩展了全面的数据包级可见性。 

通过分布式方法实现的这种强大的可见性是IT团队检测威胁和制定有效事件响应的更可靠方式。这是因为源处的分析直接调查客户端和服务器之间的通信。

团队使用完整的数据包,而不是提取有限的数据并将其复制到基于云的分析引擎,而不是将元数据传输到另一个源。

正因为如此,这种数据分析方法更直接,导致更真实和准确的分析。

这种多方面的分布式网络分析方法还可以使用有针对性的机器学习 (ML) 技术进行实时威胁检测。

这种方法还可以使用多维威胁检测方法,例如妥协指标 (ioc),策略,签名和特定协议的检测或应用程序检测,以确保全面的网络安全覆盖。

最后,为了实现全面的网络保护,IT组织需要投资新技术,在数据包捕获的源头提供即时分析。这样做可以进行更彻底和诚实的检测,从而最大程度地减少潜在的网络损害。

通过直接分析完整的网络数据包,IT组织可以全面了解合法和恶意网络流量,而不会造成延迟,从而实现更准确的威胁检测和实时取证分析。

采用分布式方法最终将使IT组织能够更准确地识别漏洞和威胁,确保更强大,可扩展的网络安全覆盖范围,以便组织可以随时为未来的攻击做好准备。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2053330.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

乌龟对对碰在线版

爆肝两天使用vue开发了一个在线版的乌龟对对碰小游戏之幸运对对碰。没有找到合适的乌龟素材,现在使用小兔子代替。 体验地址:幸运对对碰 | 乌龟对对碰小游戏 之前的python版本的乌龟对对碰:写文章-CSDN博客 乌龟对对碰-幸运对对碰

无需测试环境!如何利用测试脚手架隔离微服务,实现功能自动化

以下为作者观点: 想在不建立完整测试环境的情况下测试微服务? 想在将变更推送到主线分支之前完成测试? 这是我们在进行项目交付时经常遇到的难题。最近,当我们开始一个新的项目,为客户构建一个新的聚合平台时&#…

【springboot】springboot接口参数全局解密,解决request内容修改后如何重新设置回去的问题

文章目录 核心思路spring&servelt基础核心接口类body解密核心原理讲解get解密核心原理讲解 核心思路 拦截每次请求 所以要么在拦截器 要么在过滤器中做 (正常来说 其实只能在过滤器做)修改request中的参数把修改后的参数设置回去(难点) spring&servelt基础…

RegFormer:用于大规模点云配准的高效投影感知Transformer网络

目录 一、导言 二、相关工作 1、点云配准工作 2、大规模点云配准 3、Transformer引入配准工作 三、RegFormer 1、柱面投影 2、特征提取Transformer 3、双射关联Transformer(BAT) 4、刚性变换估计 5、损失函数 四、实验 一、导言 该论文来自于ICCV2023(…

如何搞定聊天记录找回?三款数据恢复工具分享

聊天记录丢了怎么办?别急,我这就带大家看看市面上比较火的三款数据恢复软件在恢复聊天记录方面的表现如何。首先,我们得知道,聊天记录这东西,一旦误删,那可是心急如焚啊。所以,选择一款靠谱的数…

场外个股期权可以分批建仓吗?

场外个股期权的优势是可以进行风险的精细化管理,但由于期权价格变化的非线性特性,盈利与标的行情走势的相关性不断变化,场外个股期权最便宜的可以用2-5万买到100万市值的股票持仓一个月,下面是整理得出的场外个股期权可以分批建仓…

SwiftUI 6.0(iOS 18)监听滚动视图视口中子视图可见性的极简方法

概览 在 SwiftUI 的应用开发中,我们有时需要监听滚动视图中子视图当前的显示状态:它们现在是被滚动到可见视口(Viewport)?或仍然是隐藏在“未知的黑暗”中呢? 在 SwiftUI 早期版本中为了得偿所愿,我们需要借助一些“取巧”的手段。不过,从 SwiftUI 6.0(iOS 18)开始情…

echarts柱状图使用自定义图片填充柱体

这是我的柱状图图片纹理的实现过程的流水账式记录 方法一: 在option.series里面,给每一项配置上图片路径 let Image2 new Image() Image2.src src/assets/image/BarChart-line.pngcolor: {image: Image,repeat: repeat } 出来的效果比较适合整体纹样…

[Linux]如何在Ubuntu中安装Docker,并且学习基本操作?

一、我们为什么需要Docker? 相信大家都遇到过部署一个应用时缺少依赖的情况,往往我们需要手动解决依赖问题,在解决了依赖问题以后,好不容易安装了这个应用,但是我们更换了计算机以后又需要重复上面步骤将这个软件再安装…

Unity(2022.3.38LTS) - Project Settings详细介绍不看你就亏大了(一)

目录 一. 简介 二. 详细介绍 1. Adaptive Performance(自适应性能) 2.音频 3. 编辑器 4. 图形 5. 输入管理器 6.包管理器 7.物理 8.2D物理 9.玩家 10.预设管理器 一. 简介 在 Unity 中,Project Settings(项目设置)页面是一个非常…

企业组网中MPLS和SD-WAN方案各有什么特点?

MPLS(多协议标签交换)和SD-WAN(软件定义广域网)是企业组网的两大关键技术方案,各自具备独特的特点和优势。 MPLS作为一种传统的专线技术,通过给数据包附加标签,实现了网络流量的高效转发。这种方…

教你如何安装并使用小熊猫c++

目录 前言 一、获取安装包 二、安装 1.打开安装包 2.选择语言 3.接受协议 4.安装场景 5.选择组件 6.选择位置 7.完成安装 三、如何使用 1.打开软件并选择主题 2.创建项目 3.新建空项目 4.创建源文件 5.测试C语言代码 6.编译 7.运行 总结 前言 已有的C/…

地震采集的观测系统

这张图表明,为什么在速度分析论文中,与CMP有关的数据都有CDP序号的影子——因为CDP序号是对一条测线上布置的观测系统对地下反射点的信号记录。换句话说,不同的CDP序号(类似测井位置)意味着不同的CMP道集。 几种论文中…

【Python快速入门和实践013】Python常用脚本-目标检测之按照类别数量划分数据集

一、功能介绍 这段代码实现了从给定的图像和标签文件夹中分割数据集为训练集、验证集和测试集的功能。以下是代码功能的总结: 创建目标文件夹结构: 在指定的根目录(dataset_root)下创建images和labels两个文件夹。在这两个文件夹下…

scoket通信 -- 网络字节序

include <arpa/inet.h> 考虑到不同语言不同库函数的参数可能不同&#xff0c;我这里以c语言的arpa/inet.h库中的函数为例. 网络字节序是什么 网络字节序&#xff08;Network Byte Order&#xff09;是指在网络通信中用于数据交换时所采用的字节序&#xff0c;它是大端…

log4j日志配置%X{TransId}

log4j日志配置文件中的%X{TransId}是怎么动态获取值的 在Log4j中&#xff0c;%X{TransId} 是用来从MDC&#xff08;Mapped Diagnostic Context&#xff09;中获取值的占位符。MDC 是 Log4j 提供的一种机制&#xff0c;用于在同一个线程的不同日志记录中传递上下文信息。通过 M…

centos ssh免密登录配置

ssh免密登录 centos 系统中&#xff0c;配置免密需要确保ssh配置文件免密登录权限打开了 sudo vim /etc/ssh/sshd_config 查看PubkeyAuthentication值为yes 修改之后&#xff0c;重启sshd sudo systemctl restart sshd免密配置 &#xff08;1&#xff09;生成秘钥文件 ssh-…

Linux 下 RocketMQ 安装、配置与运维(详细讲解)

一 RocketMQ 下载安装 1 下载 RocketMQ&#xff1a; 下载当前最新版本RocketMQ 官网下载&#xff1a; https://dist.apache.org/repos/dist/release/rocketmq/5.3.0/rocketmq-all-5.3.0-bin-release.zip wget https://dist.apache.org/repos/dist/release/rocket…

安装搭建MongoDB及配置副本集

目录 一、什么是MongoDB的副本集 简介 &#xff08;1&#xff09;冗余和数据可用性 &#xff08;2&#xff09;MongoDB中的复制 &#xff08;3&#xff09;主从复制和副本集区别 二、副本集的架构 三、副本集的成员 四、部署副本集 1、节点划分 2、安装MongoDB 2.1、…

数据结构与算法——平衡二叉树

1、基本介绍 1&#xff09;平衡二叉树又叫平衡二叉搜索树(Self-balanceing binary search tree)&#xff0c;又被称为AVL树&#xff0c;可以保证查询效率较高。 2&#xff09;具有以下特点&#xff1a;它是一颗空树或它的左右两颗子树的高度差绝对值不超过1&#xff0c;并且左…